Mofuta o mocha oa ransomware encrypts difaele ebe o eketsa ".SaveTheQueen" katoloso ho tsona, o hasana ka SYSVOL netweke foldara ho Active Directory domain controller.
Bareki ba rona ba kopane le malware ana haufinyane. Re fana ka tlhahlobo ea rona e felletseng, liphetho le liqeto tsa eona ka tlase.
Ho sibolla
E mong oa bareki ba rona o ile a ikopanya le rona ka mor'a hore ba kopane le mofuta o mocha oa ransomware o neng o eketsa ".SaveTheQueen" ho lifaele tse ncha tse patiloeng tikolohong ea bona.
Nakong ea lipatlisiso tsa rona, kapa mothating oa ho batla mehloli ea ts'oaetso, re fumane hore kabo le ho lateloa ha bahlaseluoa ba tšoaelitsoeng ho ne ho etsoa ho sebelisoa. foldareng ea marang-rang SYSVOL ho molaoli oa sebaka sa moreki.
SYSVOL ke foldara ea bohlokoa bakeng sa molaoli e mong le e mong oa domain name e sebelisetsoang ho fana ka Lintho tsa Pholisi ea Sehlopha (GPOs) le lingoloa tsa logon le logoff likhomphutha tse sebakeng seo. Litaba tsa sephutheli sena li kopitsoa lipakeng tsa li-domain controller ho hokahanya lintlha tsena libakeng tsohle tsa mokhatlo. Ho ngolla SYSVOL ho hloka litokelo tse phahameng tsa marang-rang, leha ho le joalo, hang ha e sekiselitsoe, letlotlo lena le fetoha sesebelisoa se matla bakeng sa bahlaseli ba ka se sebelisang ho jala meroalo e kotsi ka potlako le ka nepo sebakeng sa marang-rang.
Ketane ea tlhahlobo ea Varonis e thusitse kapele ho tseba tse latelang:
- Ak'haonte ea mosebelisi e tšoaelitsoeng e thehile faele e bitsoang "hora le hora" ho SYSVOL
- Lifaele tse ngata tsa log li entsoe ka SYSVOL - e 'ngoe le e' ngoe e rehiloe ka lebitso la sesebelisoa sa domain
- Liaterese tse ngata tse fapaneng tsa IP li ne li fihlella "faele ea hora".
Re ile ra etsa qeto ea hore lifaele tsa log li ne li sebelisetsoa ho lekola ts'ebetso ea ts'oaetso ho lisebelisoa tse ncha, le hore "hora le hora" e ne e le mosebetsi o reriloeng o neng o phethahatsa tefo e mpe ea lisebelisoa tse ncha ho sebelisa mongolo oa Powershell - sampole "v3" le "v4".
Mohlomong mohlaseli o ile a fumana le ho sebelisa litokelo tsa molaoli oa domain ho ngolla lifaele ho SYSVOL. Ho mabotho a tšoaelitsoeng, mohlaseli o ile a tsamaisa khoutu ea PowerShell e thehileng kemiso ea mosebetsi ho bula, ho hlakola le ho tsamaisa malware.
Ho hlakola malware
Re lekile mekhoa e mengata ea ho hlalosa lisampole ho se na thuso:
Re ne re batla re itokiselitse ho tela ha re etsa qeto ea ho leka mokhoa oa "Magic" oa botle bo hlollang
lisebelisoa
Molaetsa oa mofetoleli Bona
Boselamose bo ile ba etsa qeto ea hore ho sebelisitsoe pakete ea GZip e kentsoeng ea base64, kahoo re khonne ho theola faele mme ra fumana khoutu ea ente.
Drropper: “Ho na le seoa sebakeng seo! Liente tse akaretsang. Lefu la Maoto le Molomo”
Drop e ne e le faele ea kamehla ea .NET ntle le tšireletso leha e le efe. Kamora ho bala khoutu ea mohloli le
Shellcode kapa mathata a bonolo
Re sebelisitse sesebelisoa sa bongoli sa Hexacorn −
Ho ngola esita le shellcode e bonolo ka phetolelo ea puo ea kopano ea matsoalloa ho ka ba thata, empa ho ngola shellcode e feletseng e sebetsang mefuta e 'meli ea litsamaiso ho hloka tsebo e phahameng, kahoo re ile ra qala ho hlolloa ke ho rarahana ha mohlaseli.
Ha re arola shellcode e hlophisitsoeng re sebelisa
Ha e le hantle, mongoli oa malware ha aa ka a ngola shellcode ena e rarahaneng ho hang - software e khethehileng bakeng sa mosebetsi ona e ne e sebelisetsoa ho fetolela lifaele le mangolo a sebetsang ho shellcode.
Re fumane sesebelisoa
Donut e hlahisa x86 kapa x64 shellcode ho tloha VBScript, JScript, EXE, DLL (ho kenyeletsoa .NET assemblies). Shellcode ena e ka kenngoa ts'ebetsong efe kapa efe ea Windows e lokelang ho etsoa
memori ea phihlello e sa reroang.
Ho tiisa khopolo ea rona, re ile ra iketsetsa khoutu ea rona re sebelisa Donut mme ra e bapisa le sampole - mme ... e, re fumane karolo e 'ngoe ea lisebelisoa tse sebelisitsoeng. Ka mor'a sena, re ne re se re khona ho ntša le ho hlahloba faele ea pele ea .NET e sebetsang.
Tšireletso ea khoutu
Faele ena e sebelisitsoe hampe
ConfuserEx ke mohloli o bulehileng oa .NET morero oa ho sireletsa khoutu ea liphetoho tse ling. Sehlopha sena sa software se lumella batho ba ntlafatsang ho sireletsa khoutu ea bona ho tsoa ho boenjiniere ba morao-rao ba sebelisa mekhoa e kang ho fetola litlhaku, ho laola ho phalla ha taelo, le mokhoa oa ho pata. Bangoli ba Malware ba sebelisa li-obfuscators ho qoba ho fumanoa le ho etsa hore boenjiniere bo khutlelang morao bo be thata le ho feta.
Kea leboha
Sephetho - moputso
Thepa e hlahisoang ke vaerase e bonolo haholo ea ransomware. Ha ho na mokhoa oa ho netefatsa boteng ba sistimi, ha ho likhokahano setsing sa litaelo - encryption e ntle ea khale ea asymmetric ho etsa hore data ea motho ea hlasetsoeng e se ke ea baloa.
Mosebetsi o ka sehloohong o khetha mela e latelang e le li-parameter:
- Katoloso ea faele eo u ka e sebelisang kamora ho ngolisoa (SaveTheQueen)
- Lengolo-tsoibila la sengoli le tla kenngoa faeleng ea lintlha tsa thekollo
- Konopo ea sechaba e sebelisitsoeng ho khopisa lifaele
Tshebetso ka boeona e shebahala tjena:
- Malware e hlahloba li-drive tsa lehae le tse hokahaneng sesebelisoa sa motho ea hlasetsoeng
- E batla lifaele tseo u ka li ngollang
- E leka ho emisa ts'ebetso e sebelisang faele eo e leng mothating oa ho e ngolla
- E reha faele ho "OriginalFileName.SaveTheQueenING" ka ho sebelisa mosebetsi oa MoveFile ebe oa e patala.
- Ka mor'a hore faele e kenngoe ka senotlolo sa sechaba sa mongoli, malware e e reha lebitso hape, hona joale ho "Original FileName.SaveTheQueen"
- Faele e nang le tlhoko ea thekollo e ngolloa foldareng e tšoanang
Ho ipapisitsoe le ts'ebeliso ea ts'ebetso ea "CreateDecryptor" ea matsoalloa, e 'ngoe ea mesebetsi ea malware e bonahala e na le paramethara mokhoa oa ho hlakola o hlokang senotlolo sa lekunutu.
Kokoana-hloko ea Ransomware HA E Encrypt lifaele, e bolokiloe ka har'a li-directory:
C: lifensetere
C: Lifaele tsa Lenaneo
C: Lifaele tsa Lenaneo (x86)
C: BasebelisiAppData
C: netpub
Le eena HA E nyenyefatse mefuta e latelang ea lifaele:EXE, DLL, MSI, ISO, SYS, CAB.
Liphetho le liqeto
Le hoja thekollo ka boeona e ne e se na likarolo tse sa tloaelehang, mohlaseli o sebelisitse Active Directory ka boqhetseke ho aba dropper, 'me malware ka boeona e ile ea re hlahisa litšitiso tse thahasellisang, haeba li sa rarahane nakong ea tlhahlobo.
Re nahana hore moqapi oa malware ke:
- O ngotse kokoana-hloko ea ransomware e nang le ente e hahelletsoeng ka har'a ts'ebetso ea winlogon.exe, hammoho le
encryption ea faele le ts'ebetso ea decryption - O ile a pata khoutu e mpe a sebelisa ConfuserEx, a fetola sephetho a sebelisa Donut mme a pata "base64 Gzip dropper".
- O ile a fumana litokelo tse phahameng sebakeng sa motho ea hlokofalitsoeng 'me a li sebelisa ho kopitsa
malware a patiloeng le mesebetsi e hlophisitsoeng ho foldara ea marang-rang ea SYSVOL ea balaoli ba domain - Sebelisa mongolo oa PowerShell ho lisebelisoa tsa marang-rang ho hasanya malware le ho tlaleha tsoelo-pele ea tlhaselo ho li-log ho SYSVOL
Haeba u na le lipotso mabapi le mofuta ona oa vaerase ea ransomware, kapa lipatlisiso tse ling tsa forensics le cybersecurity tse entsoeng ke lihlopha tsa rona,
Source: www.habr.com