En ny stam av ransomware krypterar filer och lägger till ett ".SaveTheQueen"-tillägg till dem, sprids genom SYSVOL-nätverksmappen på Active Directory-domänkontrollanter.
Våra kunder stötte på denna skadliga programvara nyligen. Vi presenterar vår fullständiga analys, dess resultat och slutsatser nedan.
Upptäckt
En av våra kunder kontaktade oss efter att de stött på en ny stam av ransomware som lade till tillägget ".SaveTheQueen" till nya krypterade filer i deras miljö.
Under vår undersökning, eller snarare vid sökandet efter smittkällor, fick vi reda på att distributionen och spårningen av smittade offer utfördes med hjälp av nätverksmapp SYSVOL på kundens domänkontrollant.
SYSVOL är en nyckelmapp för varje domänkontrollant som används för att leverera grupprincipobjekt (GPO) och inloggnings- och utloggningsskript till datorer i domänen. Innehållet i den här mappen replikeras mellan domänkontrollanter för att synkronisera denna data över organisationens webbplatser. Att skriva till SYSVOL kräver höga domänprivilegier, men när den väl har äventyrats blir den här tillgången ett kraftfullt verktyg för angripare som kan använda den för att snabbt och effektivt sprida skadliga nyttolaster över en domän.
Varonis revisionskedja hjälpte till att snabbt identifiera följande:
- Det infekterade användarkontot skapade en fil som heter "timme" i SYSVOL
- Många loggfiler skapades i SYSVOL - var och en med namnet på en domänenhet
- Många olika IP-adresser fick åtkomst till "timme"-filen
Vi drog slutsatsen att loggfilerna användes för att spåra infektionsprocessen på nya enheter, och att "varje timme" var ett schemalagt jobb som körde skadlig nyttolast på nya enheter med hjälp av ett Powershell-skript - exempel "v3" och "v4".
Angriparen erhöll och använde sannolikt domänadministratörsbehörigheter för att skriva filer till SYSVOL. På infekterade värdar körde angriparen PowerShell-kod som skapade ett schemajobb för att öppna, dekryptera och köra skadlig programvara.
Dekrypterar skadlig programvara
Vi försökte flera sätt att dechiffrera prover utan resultat:
Vi var nästan redo att ge upp när vi bestämde oss för att prova den magnifika metoden "Magic".
verktyg av GCHQ. Magic försöker gissa en fils kryptering genom att tvinga fram lösenord för olika krypteringstyper och mäta entropi.
Översättarens anteckning Se и . Denna artikel och kommentarer involverar inte diskussion från författarnas sida om detaljerna i metoder som används i vare sig tredjeparts- eller proprietär programvara
Magic bestämde att en base64-kodad GZip-packer användes, så vi kunde dekomprimera filen och upptäcka injektionskoden.
Dropper: "Det är en epidemi i området! Allmänna vaccinationer. Fot och munsjukdom"
Droppern var en vanlig .NET-fil utan något skydd. Efter att ha läst källkoden med vi insåg att dess enda syfte var att injicera skalkod i winlogon.exe-processen.
Shellcode eller enkla komplikationer
Vi använde författarverktyget Hexacorn − för att "kompilera" skalkoden till en körbar fil för felsökning och analys. Vi upptäckte då att det fungerade på både 32- och 64-bitarsmaskiner.
Att skriva till och med enkel skalkod i en översättning av ett inhemskt assemblerspråk kan vara svårt, men att skriva komplett skalkod som fungerar på båda typerna av system kräver elitkunskaper, så vi började förundras över angriparens sofistikerade förmåga.
När vi analyserade den kompilerade skalkoden med hjälp av , vi märkte att han laddade .NET dynamiska bibliotek , som clr.dll och mscoreei.dll. Detta verkade konstigt för oss - vanligtvis försöker angripare göra skalkoden så liten som möjligt genom att anropa inbyggda OS-funktioner istället för att ladda dem. Varför skulle någon behöva bädda in Windows-funktionalitet i skalkoden istället för att anropa den direkt på begäran?
Det visade sig att författaren till skadlig programvara inte skrev denna komplexa skalkod alls - programvara specifik för denna uppgift användes för att översätta körbara filer och skript till skalkod.
Vi hittade ett verktyg , som vi trodde kunde kompilera en liknande skalkod. Här är dess beskrivning från GitHub:
Donut genererar x86- eller x64-skalkod från VBScript, JScript, EXE, DLL (inklusive .NET-sammansättningar). Denna skalkod kan injiceras i vilken Windows-process som helst för att köras i
slumpmässigt åtkomstminne.
För att bekräfta vår teori kompilerade vi vår egen kod med hjälp av Donut och jämförde den med provet - och... ja, vi upptäckte en annan komponent i verktygslådan som användes. Efter detta kunde vi redan extrahera och analysera den ursprungliga körbara .NET-filen.
Kodskydd
Denna fil har fördunklats med hjälp av :
ConfuserEx är ett .NET-projekt med öppen källkod för att skydda koden för andra utvecklingar. Denna klass av programvara tillåter utvecklare att skydda sin kod från omvänd ingenjörskonst med metoder som teckenersättning, kontrollkommandoflödesmaskering och referensmetoddöljning. Författare av skadlig programvara använder obfuscatorer för att undvika upptäckt och för att försvåra reverse engineering.
Tack vare vi packade upp koden:
Resultat - nyttolast
Den resulterande nyttolasten är ett mycket enkelt ransomware-virus. Ingen mekanism för att säkerställa närvaro i systemet, inga kopplingar till kommandocentralen – bara gammal god asymmetrisk kryptering för att göra offrets data oläsliga.
Huvudfunktionen väljer följande rader som parametrar:
- Filtillägg att använda efter kryptering (SaveTheQueen)
- Författarens e-postmeddelande att placera i lösennoteringsfilen
- Offentlig nyckel som används för att kryptera filer
Själva processen ser ut så här:
- Skadlig programvara undersöker lokala och anslutna enheter på offrets enhet
- Söker efter filer att kryptera
- Försöker att avsluta en process som använder en fil som den håller på att kryptera
- Byter namn på filen till "OriginalFileName.SaveTheQueenING" med hjälp av MoveFile-funktionen och krypterar den
- Efter att filen är krypterad med författarens publika nyckel byter skadlig programvara den igen, nu till "Original FileName.SaveTheQueen"
- En fil med krav på lösen skrivs till samma mapp
Baserat på användningen av den inbyggda "CreateDecryptor"-funktionen, verkar en av skadlig programvaras funktioner innehålla som en parameter en dekrypteringsmekanism som kräver en privat nyckel.
ransomware-virus Krypterar INTE filer, lagras i kataloger:
C: windows
C: Program Files
C: Programfiler (x86)
C:Användare\AppData
C:inetpub
Han också Krypterar INTE följande filtyper:EXE, DLL, MSI, ISO, SYS, CAB.
Resultat och slutsatser
Även om själva ransomwaren inte innehöll några ovanliga funktioner, använde angriparen kreativt Active Directory för att distribuera dropparen, och själva skadliga programvaran gav oss intressanta, om än okomplicerade, hinder under analysen.
Vi tror att författaren till skadlig programvara är:
- Skrev ett ransomware-virus med inbyggd injektion i winlogon.exe-processen, samt
filkryptering och dekrypteringsfunktioner - Förklädde den skadliga koden med ConfuserEx, konverterade resultatet med Donut och gömde dessutom base64 Gzip dropper
- Erhöll förhöjda privilegier i offrets domän och använde dem för att kopiera
krypterad skadlig programvara och schemalagda jobb till SYSVOL-nätverksmappen för domänkontrollanter - Kör ett PowerShell-skript på domänenheter för att sprida skadlig programvara och registrera attackförlopp i loggar i SYSVOL
Om du har frågor om den här varianten av ransomware-viruset eller andra kriminaltekniska och cybersäkerhetsincidentutredningar utförda av våra team, eller begäran , där vi alltid svarar på frågor i en frågestund.
Källa: will.com