ransomware యొక్క కొత్త స్ట్రెయిన్ ఫైల్లను ఎన్క్రిప్ట్ చేస్తుంది మరియు వాటికి ".SaveTheQueen" పొడిగింపును జోడిస్తుంది, యాక్టివ్ డైరెక్టరీ డొమైన్ కంట్రోలర్లలోని SYSVOL నెట్వర్క్ ఫోల్డర్ ద్వారా వ్యాపిస్తుంది.
మా కస్టమర్లు ఇటీవల ఈ మాల్వేర్ని ఎదుర్కొన్నారు. మేము మా పూర్తి విశ్లేషణ, దాని ఫలితాలు మరియు ముగింపులను క్రింద అందిస్తున్నాము.
డిటెక్షన్
మా కస్టమర్లలో ఒకరు తమ వాతావరణంలో కొత్త ఎన్క్రిప్టెడ్ ఫైల్లకు ".SaveTheQueen" పొడిగింపును జోడిస్తున్న ransomware యొక్క కొత్త స్ట్రెయిన్ను ఎదుర్కొన్న తర్వాత మమ్మల్ని సంప్రదించారు.
మా పరిశోధనలో, లేదా ఇన్ఫెక్షన్ మూలాల కోసం వెతికే దశలో, సోకిన బాధితుల పంపిణీ మరియు ట్రాకింగ్ని ఉపయోగించి నిర్వహించినట్లు మేము కనుగొన్నాము నెట్వర్క్ ఫోల్డర్ SYSVOL కస్టమర్ డొమైన్ కంట్రోలర్లో.
SYSVOL అనేది ప్రతి డొమైన్ కంట్రోలర్కు కీలకమైన ఫోల్డర్, ఇది డొమైన్లోని కంప్యూటర్లకు గ్రూప్ పాలసీ ఆబ్జెక్ట్లు (GPOలు) మరియు లాగిన్ మరియు లాగ్ఆఫ్ స్క్రిప్ట్లను అందించడానికి ఉపయోగించబడుతుంది. సంస్థ యొక్క సైట్లలో ఈ డేటాను సమకాలీకరించడానికి డొమైన్ కంట్రోలర్ల మధ్య ఈ ఫోల్డర్లోని కంటెంట్లు ప్రతిరూపం చేయబడతాయి. SYSVOLకి వ్రాయడానికి అధిక డొమైన్ అధికారాలు అవసరం, అయితే, ఒకసారి రాజీపడితే, డొమైన్లో హానికరమైన పేలోడ్లను త్వరగా మరియు సమర్ధవంతంగా వ్యాప్తి చేయడానికి ఈ ఆస్తి దాడి చేసేవారికి శక్తివంతమైన సాధనంగా మారుతుంది.
Цепочка аудита Varonis помогла быстро выявить следующее:
- సోకిన వినియోగదారు ఖాతా SYSVOLలో "గంటకు" అనే ఫైల్ను సృష్టించింది
- అనేక లాగ్ ఫైల్లు SYSVOLలో సృష్టించబడ్డాయి - ప్రతి ఒక్కటి డొమైన్ పరికరం పేరుతో పేరు పెట్టబడింది
- అనేక విభిన్న IP చిరునామాలు "గంటకు" ఫైల్ను యాక్సెస్ చేస్తున్నాయి
కొత్త పరికరాల్లో ఇన్ఫెక్షన్ ప్రాసెస్ను ట్రాక్ చేయడానికి లాగ్ ఫైల్లు ఉపయోగించబడుతున్నాయని మరియు పవర్షెల్ స్క్రిప్ట్ని ఉపయోగించి కొత్త పరికరాలపై హానికరమైన పేలోడ్ని అమలు చేసే షెడ్యూల్ చేసిన పని "గంట" అని మేము నిర్ధారించాము - నమూనాలు "v3" మరియు "v4".
దాడి చేసే వ్యక్తి SYSVOLకి ఫైల్లను వ్రాయడానికి డొమైన్ అడ్మినిస్ట్రేటర్ అధికారాలను పొంది ఉండవచ్చు. సోకిన హోస్ట్లలో, దాడి చేసే వ్యక్తి పవర్షెల్ కోడ్ను అమలు చేశాడు, అది మాల్వేర్ను తెరవడానికి, డీక్రిప్ట్ చేయడానికి మరియు అమలు చేయడానికి షెడ్యూల్ జాబ్ను సృష్టించింది.
మాల్వేర్ను డీక్రిప్ట్ చేస్తోంది
మేము నమూనాలను అర్థాన్ని విడదీయడానికి అనేక మార్గాలను ప్రయత్నించాము.
Мы уже почти готовы были сдаться, когда решили попробовать способ «Magic» великолепной
వినియోగాలు GCHQ ద్వారా. మ్యాజిక్ వివిధ ఎన్క్రిప్షన్ రకాలు మరియు ఎంట్రోపీని కొలిచే పాస్వర్డ్లను బ్రూట్-ఫోర్స్ చేయడం ద్వారా ఫైల్ ఎన్క్రిప్షన్ను ఊహించడానికి ప్రయత్నిస్తుంది.
అనువాదకుని గమనిక చూడండి. и . ఈ కథనం మరియు వ్యాఖ్యలు మూడవ పక్షం లేదా యాజమాన్య సాఫ్ట్వేర్లో ఉపయోగించే పద్ధతుల వివరాల గురించి రచయితల పక్షాన చర్చను కలిగి ఉండవు
బేస్64 ఎన్కోడ్ చేసిన GZip ప్యాకర్ ఉపయోగించబడిందని మ్యాజిక్ నిర్ధారించింది, కాబట్టి మేము ఫైల్ను డీకంప్రెస్ చేయగలిగాము మరియు ఇంజెక్షన్ కోడ్ను కనుగొనగలిగాము.
డ్రాపర్: “ఈ ప్రాంతంలో అంటువ్యాధి ఉంది! సాధారణ టీకాలు. ఫుట్ అండ్ మౌత్ డిసీజ్"
డ్రాపర్ ఎటువంటి రక్షణ లేకుండా సాధారణ .NET ఫైల్. తో సోర్స్ కోడ్ చదివిన తర్వాత Winlogon.exe ప్రాసెస్లో షెల్కోడ్ని ఇంజెక్ట్ చేయడమే దీని ఏకైక ఉద్దేశ్యం అని మేము గ్రహించాము.
షెల్కోడ్ లేదా సాధారణ సమస్యలు
మేము హెక్సాకార్న్ ఆథరింగ్ సాధనాన్ని ఉపయోగించాము - డీబగ్గింగ్ మరియు విశ్లేషణ కోసం షెల్కోడ్ను ఎక్జిక్యూటబుల్ ఫైల్గా "కంపైల్" చేయడానికి. ఇది 32 మరియు 64 బిట్ మెషీన్లలో పని చేస్తుందని మేము కనుగొన్నాము.
స్థానిక అసెంబ్లీ భాషా అనువాదంలో సరళమైన షెల్కోడ్ను కూడా వ్రాయడం కష్టంగా ఉంటుంది, అయితే రెండు రకాల సిస్టమ్లలో పనిచేసే పూర్తి షెల్కోడ్ను వ్రాయడానికి ఉన్నత నైపుణ్యాలు అవసరం, కాబట్టి మేము దాడి చేసేవారి అధునాతనతను చూసి ఆశ్చర్యపోవడం ప్రారంభించాము.
Когда же мы разобрали скомпилированный шелл-код с помощью , అతను లోడ్ చేస్తున్నాడని మేము గమనించాము .NET డైనమిక్ లైబ్రరీలు , clr.dll మరియు mscoreei.dll వంటివి. ఇది మాకు వింతగా అనిపించింది - సాధారణంగా దాడి చేసేవారు షెల్కోడ్ను లోడ్ చేయడానికి బదులుగా స్థానిక OS ఫంక్షన్లకు కాల్ చేయడం ద్వారా వీలైనంత చిన్నదిగా చేయడానికి ప్రయత్నిస్తారు. డిమాండ్పై నేరుగా కాల్ చేయడానికి బదులుగా ఎవరైనా విండోస్ కార్యాచరణను షెల్కోడ్లో ఎందుకు పొందుపరచాలి?
ఇది ముగిసినట్లుగా, మాల్వేర్ రచయిత ఈ సంక్లిష్ట షెల్కోడ్ను అస్సలు వ్రాయలేదు - ఈ టాస్క్కు ప్రత్యేకమైన సాఫ్ట్వేర్ ఎక్జిక్యూటబుల్ ఫైల్లు మరియు స్క్రిప్ట్లను షెల్కోడ్లోకి అనువదించడానికి ఉపయోగించబడింది.
మేము ఒక సాధనాన్ని కనుగొన్నాము , ఇదే విధమైన షెల్కోడ్ను కంపైల్ చేయవచ్చని మేము భావించాము. GitHub నుండి దాని వివరణ ఇక్కడ ఉంది:
డోనట్ VBScript, JScript, EXE, DLL (.NET అసెంబ్లీలతో సహా) నుండి x86 లేదా x64 షెల్కోడ్ను ఉత్పత్తి చేస్తుంది. ఈ షెల్కోడ్ని అమలు చేయడానికి ఏదైనా విండోస్ ప్రాసెస్లో ఇంజెక్ట్ చేయవచ్చు
RAM.
Для подтверждения нашей теории мы скомпилировали наш собственный код, используя Donut, и сравнили его с образцом – и… да, мы обнаружили ещё один компонент использованного инструментария. После этого, мы уже смогли извлечь и проанализировать оригинальный исполняемый файл на .NET.
కోడ్ రక్షణ
Этот файл был обфусцирован с помощью :
ConfuserEx అనేది ఇతర డెవలప్మెంట్ల కోడ్ను రక్షించడానికి ఓపెన్ సోర్స్ .NET ప్రాజెక్ట్. ఈ తరగతి సాఫ్ట్వేర్ డెవలపర్లు క్యారెక్టర్ ప్రత్యామ్నాయం, కంట్రోల్ కమాండ్ ఫ్లో మాస్కింగ్ మరియు రిఫరెన్స్ మెథడ్ దాచడం వంటి పద్ధతులను ఉపయోగించి రివర్స్ ఇంజనీరింగ్ నుండి తమ కోడ్ను రక్షించుకోవడానికి అనుమతిస్తుంది. మాల్వేర్ రచయితలు గుర్తించకుండా తప్పించుకోవడానికి మరియు రివర్స్ ఇంజనీరింగ్ను మరింత కష్టతరం చేయడానికి అబ్ఫ్యూస్కేటర్లను ఉపయోగిస్తారు.
ధన్యవాదాలు మేము కోడ్ను అన్ప్యాక్ చేసాము:
ఫలితం - పేలోడ్
ఫలితంగా పేలోడ్ చాలా సులభమైన ransomware వైరస్. సిస్టమ్లో ఉనికిని నిర్ధారించడానికి మెకానిజం లేదు, కమాండ్ సెంటర్కు కనెక్షన్లు లేవు - బాధితుల డేటాను చదవలేనిదిగా చేయడానికి మంచి పాత అసమాన గుప్తీకరణ.
ప్రధాన విధి క్రింది పంక్తులను పారామితులుగా ఎంచుకుంటుంది:
- Расширение файла для использования после шифрования (SaveTheQueen)
- రాన్సమ్ నోట్ ఫైల్లో ఉంచడానికి రచయిత యొక్క ఇమెయిల్
- ఫైల్లను ఎన్క్రిప్ట్ చేయడానికి ఉపయోగించే పబ్లిక్ కీ
ప్రక్రియ స్వయంగా ఇలా కనిపిస్తుంది:
- Вредонос изучает локальные и подключенные диски на устройстве жертвы
- ఎన్క్రిప్ట్ చేయడానికి ఫైల్ల కోసం శోధిస్తుంది
- Пытается завершить процесс, использующий файл, который он собирается зашифровать
- MoveFile ఫంక్షన్ని ఉపయోగించి ఫైల్ పేరును "OriginalFileName.SaveTheQueenING"గా మారుస్తుంది మరియు దానిని గుప్తీకరిస్తుంది
- రచయిత యొక్క పబ్లిక్ కీతో ఫైల్ గుప్తీకరించబడిన తర్వాత, మాల్వేర్ దాని పేరును మళ్లీ "Original FileName.SaveTheQueen"గా మారుస్తుంది.
- Происходит запись файла с требованием выкупа в ту же папку
స్థానిక "CreateDecryptor" ఫంక్షన్ని ఉపయోగించడం ఆధారంగా, మాల్వేర్ ఫంక్షన్లలో ఒక ప్రైవేట్ కీ అవసరమయ్యే డిక్రిప్షన్ మెకానిజం పారామీటర్గా ఉన్నట్లు కనిపిస్తుంది.
Вирус-шифровальщик ఫైల్లను ఎన్క్రిప్ట్ చేయదు, хранящиеся в директориях:
సి: విండోస్
సి: ప్రోగ్రామ్ ఫైళ్ళు
సి:ప్రోగ్రామ్ ఫైల్స్ (x86)
సి:యూజర్స్\యాప్డేటా
సి:ఇనెట్పబ్
అతను కూడా కింది ఫైల్ రకాలను ఎన్క్రిప్ట్ చేయదు:EXE, DLL, MSI, ISO, SYS, CAB.
ఫలితాలు మరియు ముగింపులు
Ransomwareలో అసాధారణమైన ఫీచర్లు లేకపోయినా, దాడి చేసే వ్యక్తి డ్రాపర్ను పంపిణీ చేయడానికి యాక్టివ్ డైరెక్టరీని సృజనాత్మకంగా ఉపయోగించాడు మరియు మాల్వేర్ కూడా మనకు ఆసక్తికరంగా, చివరికి సంక్లిష్టంగా లేనట్లయితే, విశ్లేషణ సమయంలో అడ్డంకులను అందించింది.
మాల్వేర్ రచయిత అని మేము భావిస్తున్నాము:
- Написал вирус-вымогатель со встроенным внедрением в процесс winlogon.exe, а также
ఫైల్ ఎన్క్రిప్షన్ మరియు డిక్రిప్షన్ ఫంక్షనాలిటీ - ConfuserExని ఉపయోగించి హానికరమైన కోడ్ను దాచిపెట్టి, డోనట్ని ఉపయోగించి ఫలితాన్ని మార్చారు మరియు అదనంగా బేస్64 Gzip డ్రాపర్ను దాచారు
- Получил повышенные привилегии в домене жертвы и использовал их для копирования
డొమైన్ కంట్రోలర్ల SYSVOL నెట్వర్క్ ఫోల్డర్కు గుప్తీకరించిన మాల్వేర్ మరియు షెడ్యూల్ చేసిన జాబ్లు - మాల్వేర్ను వ్యాప్తి చేయడానికి మరియు SYSVOLలోని లాగ్లలో దాడి పురోగతిని నమోదు చేయడానికి డొమైన్ పరికరాలలో PowerShell స్క్రిప్ట్ను అమలు చేయండి
ransomware వైరస్ యొక్క ఈ వేరియంట్ లేదా మా బృందాలు నిర్వహించే ఏవైనా ఇతర ఫోరెన్సిక్స్ మరియు సైబర్ సెక్యూరిటీ సంఘటన పరిశోధనల గురించి మీకు ఏవైనా ప్రశ్నలు ఉంటే, లేదా అభ్యర్థన , ఇక్కడ మేము ఎల్లప్పుడూ ప్రశ్నోత్తరాల సెషన్లో ప్రశ్నలకు సమాధానం ఇస్తాము.
మూలం: www.habr.com