A galur anyar ransomware encrypts file na nambahkeun ".SaveTheQueen" extension ka aranjeunna, nyebarkeun ngaliwatan folder jaringan SYSVOL on Controllers domain Active Directory.
Palanggan kami mendakan malware ieu nembe. Kami nampilkeun analisis lengkep, hasil sareng kacindekan di handap ieu.
Detéksi
Salah sahiji palanggan kami ngahubungi kami saatos aranjeunna mendakan galur ransomware énggal anu nambihan ekstensi ".SaveTheQueen" kana file énkripsi énggal di lingkunganana.
Salila panalungtikan kami, atanapi langkung tepat dina tahap milarian sumber inféksi, kami mendakan yén distribusi sareng nyukcruk korban anu katépaan dilaksanakeun nganggo folder jaringan SYSVOL on controller domain customer urang.
SYSVOL mangrupakeun folder konci pikeun tiap controller domain anu dipaké pikeun nganteurkeun Objék Sarat jeung Kaayaan Grup (GPOs) jeung logon na logoff Aksara ka komputer dina domain nu. Eusi folder ieu ditiron antara controller domain pikeun nyingkronkeun data ieu sakuliah situs organisasi. Nulis ka SYSVOL meryogikeun hak istimewa domain anu luhur, tapi, sakali dikompromi, aset ieu janten alat anu kuat pikeun panyerang anu tiasa ngagunakeunana pikeun gancang sareng éfisién nyebarkeun muatan jahat ka domain.
Ranté audit Varonis ngabantosan gancang ngaidentipikasi hal-hal ieu:
- Akun pangguna anu katépaan nyiptakeun file anu disebut "per jam" dina SYSVOL
- Seueur file log didamel dina SYSVOL - masing-masing dingaranan nami alat domain
- Seueur alamat IP anu béda-béda ngaksés file "per jam".
Kami nyimpulkeun yén file log dianggo pikeun ngalacak prosés inféksi dina alat énggal, sareng yén "satiap jam" mangrupikeun padamelan anu dijadwalkeun anu ngalaksanakeun muatan jahat dina alat énggal nganggo skrip Powershell - conto "v3" sareng "v4".
Panyerang sigana nampi sareng nganggo hak istimewa administrator domain pikeun nyerat file ka SYSVOL. Dina host anu kainféksi, panyerang ngajalankeun kode PowerShell anu nyiptakeun jadwal padamelan pikeun muka, ngadekrip, sareng ngajalankeun malware.
Ngadékripsi malware
Urang nyobaan sababaraha cara pikeun decipher sampel mun euweuh avail:
Kami ampir siap nyerah nalika urang mutuskeun pikeun nyobaan metoda "Magic" tina megah
Utiliti ku GCHQ. Magic nyoba nebak enkripsi file ku kecap akses brute-forcing pikeun tipe enkripsi béda jeung ngukur éntropi.
Catetan panarjamah Tempo. и . Tulisan sareng koméntar ieu henteu ngalibetkeun diskusi ti pihak panulis ngeunaan detil metode anu dianggo dina parangkat lunak pihak katilu atanapi proprietary.
Magic nangtukeun yén base64 disandikeun GZip packer dipaké, sangkan bisa decompress file sarta manggihan kodeu suntik.
Tukang tetes: "Aya wabah di daérah éta! Vaksinasi umum. Kasakit suku jeung sungut"
Dropper éta file .NET biasa tanpa panyalindungan nanaon. Sanggeus maca kode sumber kalawan urang sadar yén hiji-hijina tujuan nyaéta pikeun nyuntik shellcode kana prosés winlogon.exe.
Shellcode atanapi komplikasi basajan
Kami nganggo alat panulis Hexacorn − Dina raraga "compile" shellcode kana file laksana pikeun debugging jeung analisis. Urang teras mendakan yén éta tiasa dianggo dina mesin 32 sareng 64 bit.
Nulis shellcode sanajan basajan dina tarjamahan basa assembly asli bisa jadi hésé, tapi nulis shellcode lengkep anu dianggo dina duanana jenis sistem merlukeun kaahlian elit, jadi urang mimiti marvel di sophistication tina lawan.
Nalika kami parsed shellcode disusun ngagunakeun , urang noticed nu anjeunna loading .NET perpustakaan dinamis , sapertos clr.dll sareng mscoreei.dll. Ieu sigana aneh pikeun urang - biasana panyerang nyobian ngadamel shellcode sakedik-gancang ku nyauran fungsi OS asli tinimbang ngamuat aranjeunna. Naha saha waé anu kedah nyelapkeun fungsionalitas Windows kana shellcode tinimbang nelepon langsung kana paménta?
Tétéla, panulis malware henteu nyerat shellcode kompleks ieu - parangkat lunak khusus pikeun tugas ieu dianggo pikeun narjamahkeun file sareng skrip anu tiasa dieksekusi kana shellcode.
Kami mendakan alat , nu urang pikir bisa compile a shellcode sarupa. Ieu pedaran na ti GitHub:
Donat ngahasilkeun x86 atanapi x64 shellcode tina VBScript, JScript, EXE, DLL (kaasup .NET rakitan). Shellcode ieu tiasa disuntikkeun kana prosés Windows naon waé anu bakal dieksekusi
mémori aksés acak.
Pikeun ngonfirmasi téori urang, urang disusun kode sorangan ngagunakeun Donut tur dibandingkeun jeung sampel - na ... enya, urang manggihan komponén séjén tina toolkit dipaké. Saatos ieu, kami parantos tiasa nimba sareng nganalisa file .NET executable asli.
Perlindungan kode
Berkas ieu parantos kabur nganggo :
ConfuserEx mangrupa proyék open source .NET pikeun ngajaga kode tina kamajuan séjén. Kelas parangkat lunak ieu ngamungkinkeun para pamekar ngajagi kodeu tina rékayasa balikan nganggo metode sapertos substitusi karakter, masking aliran paréntah kontrol, sareng metode rujukan nyumput. Pangarang malware nganggo obfuscator pikeun ngahindarkeun deteksi sareng ngajantenkeun rékayasa tibalik langkung hese.
hatur nuhun kami ngabongkar kode:
Hasilna - payload
Payload anu dihasilkeun nyaéta virus ransomware anu saderhana pisan. Taya mékanisme pikeun mastikeun ayana dina sistem, euweuh sambungan ka puseur paréntah - ngan alus enkripsi asimétri heubeul sangkan data korban unreadable.
Fungsi utama milih garis di handap ieu salaku parameter:
- Ekstensi file pikeun dianggo saatos énkripsi (SaveTheQueen)
- Email pangarang pikeun nempatkeun dina file catetan tebusan
- Konci publik dipaké pikeun encrypt file
Prosesna sorangan sapertos kieu:
- Malware mariksa drive lokal sareng disambungkeun dina alat korban
- Milarian file pikeun énkripsi
- Nyobian pikeun ngeureunkeun prosés anu nganggo file anu badé diénkripsi
- Ngaganti ngaran file jadi "OriginalFileName.SaveTheQueenING" ngagunakeun pungsi MoveFile tur énkripsi
- Saatos file énkripsi nganggo konci umum pangarang, malware éta ngaganti ngaran deui, ayeuna jadi "Original FileName.SaveTheQueen"
- A file kalawan paménta tebusan ditulis kana folder sarua
Dumasar kana pamakean fungsi "CreateDecryptor" asli, salah sahiji fungsi malware sigana ngandung salaku parameter mékanisme dekripsi anu peryogi konci pribadi.
Virus Ransomware TEU encrypt file, disimpen dina diréktori:
C: jandéla
C: Payil Program
C: Program Payil (x86)
C:Pamaké\AppData
C: inetpub
Anjeunna oge Henteu énkripsi jinis file ieu:EXE, DLL, MSI, ISO, SYS, CAB.
Hasil jeung conclusions
Sanaos ransomware sorangan henteu ngandung fitur anu teu biasa, panyerang sacara kreatif ngagunakeun Active Directory pikeun ngadistribusikaeun dropper, sareng malware sorangan masihan kami halangan anu pikaresepeun, upami henteu rumit, salami analisa.
Kami nyangka yén panulis malware nyaéta:
- Nulis virus ransomware sareng suntikan anu diwangun kana prosés winlogon.exe, ogé
enkripsi file sareng fungsionalitas dekripsi - Nyamar kodeu jahat nganggo ConfuserEx, ngarobih hasilna nganggo Donat sareng ogé nyumputkeun dropper base64 Gzip
- Kéngingkeun hak istimewa anu luhur dina domain korban sareng dianggo pikeun nyalin
malware énkripsi sarta jobs dijadwalkeun ka folder jaringan SYSVOL controller domain - Jalankeun skrip PowerShell dina alat domain pikeun nyebarkeun malware sareng ngarékam kamajuan serangan dina log di SYSVOL
Upami anjeun gaduh patarosan ngeunaan varian virus ransomware ieu, atanapi naon waé panyilidikan kajadian forensik sareng cybersecurity anu dilakukeun ku tim kami, atawa pamundut , dimana urang salawasna ngajawab patarosan dina sesi Q&A.
sumber: www.habr.com