Новий різновид шкідливого програмного забезпечення класу вірусів-вимагачів зашифровує файли і додає до них розширення ".SaveTheQueen", поширюючись через системну мережну папку SYSVOL на контролерах доменів Active Directory.
Наші замовники зіткнулися з цією шкідливістю нещодавно. Наводимо наш повний аналіз, його результати та висновки нижче.
виявлення
Один із наших замовників зв'язався з нами після того, як вони зіткнулися з новим видом шифрувальника-здирника, який додавав розширення ".SaveTheQueen" до нових зашифрованих файлів у їхньому середовищі.
Під час нашого розслідування, а точніше на етапі пошуку джерел зараження, ми з'ясували, що поширення та відстеження заражених жертв здійснювалось за допомогою використання мережевої папки SYSVOL на контролері домену замовника.
SYSVOL – це ключова папка для кожного контролера домену, яка використовується для доставки об'єктів групових політик (GPO) та скриптів входу та виходу із системи на комп'ютери домену. Вміст даної папки реплікується між контролерами домену для синхронізації цих даних на сайтах організації. Запис у SYSVOL вимагає високих доменних привілеїв, однак після компрометації цей актив стає потужним інструментом для атакуючих, які можуть використовувати його для швидкого та ефективного поширення шкідливого навантаження по домену.
Ланцюжок аудиту Varonis допоміг швидко виявити таке:
- Інфікований обліковий запис користувача створював файл з іменем «hourly» у SYSVOL
- Багато файлів журналів створювалися в SYSVOL – кожен названий ім'ям доменного пристрою
- Багато різних IP-адрес отримували доступ до файлу «hourly»
Ми зробили висновок, що файли журналів використовувалися для відстеження процесу зараження на нових пристроях, і що «hourly» – це завдання, яке запускається за розкладом, яке виконувало шкідливе навантаження на нових пристроях, використовуючи скрипт Powershell – зразки «v3» і «v4».
Ймовірно, атакуючий отримав і використав привілеї адміністратора домену для запису файлів у SYSVOL. На інфікованих вузлах атакуючий запускав код PowerShell, який створював завдання розкладу для того, щоб відкрити, розшифрувати та запустити зловмисне програмне забезпечення.
Розшифровка шкідливості
Ми безрезультатно випробували кілька способів розшифрування зразків:
Ми вже майже готові були здатися, коли вирішили спробувати спосіб Magic чудовою.
утиліти авторства GCHQ. Magic намагається вгадати шифрування файлу, використовуючи перебір паролів для різних типів шифрування і вимірюючи ентропію.
Примітка перекладача См. и . Ця стаття та коментарі не передбачають обговорення з боку авторів деталей методів, використаних як просто у сторонньому, так і у пропрієтарному ПЗ
Magic визначив, що був використаний пакувальник GZip з кодуванням base64, завдяки чому ми змогли розпакувати файл і виявити код для впровадження - інжектор.
Дроппер: У районі епідемія! Поголовне щеплення. Ящур»
Дроппер був звичайним файлом .NET без будь-якого захисту. Після читання вихідного коду за допомогою ми зрозуміли, що його єдиною метою було впровадження шелл-коду у winlogon.exe.
Шелл-код або прості складності
Ми використовували інструмент авторства Hexacorn. для того, щоб «скомпілювати» шелл-код у виконуваний файл для налагодження та аналізу. Потім ми виявили, що вона працювала як на 32-, так і на 64-бітних машинах.
Написання навіть простого шелл-коду в нативній трансляції з асемблера може бути складним, написання ж повного шелл-коду, що працює на обох видах систем, вимагає елітних навичок, тому ми почали вражати витонченість атакуючого.
Коли ж ми розібрали скомпільований шелл-код за допомогою , ми помітили, що він підвантажував динамічні бібліотеки. , такі як clr.dll та mscoreei.dll. Це здалося нам дивним – зазвичай зловмисники намагаються зробити шелл-код настільки маленьким, наскільки це взагалі можливо, викликаючи нативні функції ОС замість завантаження. Навіщо комусь потрібно вбудовувати в шелл-код функціонал Windows, замість прямого виклику на запит?
Як з'ясувалося, автор шкідливості взагалі не писав цей складний шелл-код – було використано характерне для цього завдання програмне забезпечення з метою переведення виконуваних файлів та скриптів у шелл-код.
Ми знайшли інструмент , Який, як нам здалося, міг скомпілювати схожий шелл-код. Ось його опис з GitHub:
Donut генерує шелл-код x86 або x64 з VBScript, JScript, EXE, DLL (включаючи складання .NET). Цей-шелл-код може бути впроваджений у будь-який процес Windows для виконання в
оперативної пам'яті.
Для підтвердження нашої теорії ми скомпілювали власний код, використовуючи Donut, і порівняли його зі зразком – і… так, ми виявили ще один компонент використаного інструментарію. Після цього ми вже змогли отримати та проаналізувати оригінальний виконуваний файл на .NET.
Захист коду
Цей файл був зафіксований за допомогою :
ConfuserEx — це .NET проект із відкритим кодом для захисту коду інших розробок. ПО цього класу дозволяє розробникам захищати свій код від реверс-інжинірингу за допомогою таких способів, як: заміна символів, маскування потоку команд управління та приховування методу посилання. Автори шкідливого ПЗ використовують обфускатори з метою уникнення виявлення і щоб зробити важчим завдання реверс-інжинірингу.
Завдяки ми розпакували код:
Підсумок – корисне навантаження
Отримане в результаті перетворень корисне навантаження – дуже простий вірус-вимагач. Ніякого механізму забезпечення присутності в системі, жодних з'єднань з командним центром – лише старе добре асиметричне шифрування, щоб зробити ці жертви нечитаними.
Головна функція вибирає як параметри такі рядки:
- Розширення файлу для використання після шифрування (SaveTheQueen)
- Email автора, щоб помістити у файл-записку з вимогою викупу
- Відкритий ключ, який використовується для шифрування файлів
Сам процес виглядає так:
- Шкідливість вивчає локальні та підключені диски на пристрої жертви
- Шукає файли для шифрування
- Намагається завершити процес, який використовує файл, який він збирається зашифрувати
- Перейменовує файл у «Вихідне_ім'я_файлу.SaveTheQueenING», використовуючи функцію MoveFile, і зашифровує його
- Після того, як файл зашифрований відкритим ключем автора, шкода знову перейменовує його, тепер в " Вихідне_ім'я_файлу.SaveTheQueen"
- Відбувається запис файлу з вимогою викупу до тієї ж папки
Грунтуючись на використанні нативної функції «CreateDecryptor», одна з функцій шкідливих даних, схоже, містить як параметр механізм розшифровки, що вимагає закритого ключа.
Вірус-шифрувальник НЕ шифрує файли, що зберігаються в директоріях:
C:windows
C: Файли програми
C: файли програм (x86)
C:Users\AppData
C:inetpub
також він НЕ шифрує такі типи файлів:EXE, DLL, MSI, ISO, SYS, CAB.
Підсумки і висновки
Незважаючи на те, що сам вірус-вимагач не містив жодних незвичайних функцій, атакуючий креативно використовував Active Directory для розповсюдження дроппера, а саме шкідливе програмне забезпечення надало нам цікаві, хай у результаті і не складні перешкоди під час аналізу.
Ми думаємо, що автор шкідливості:
- Написав вірус-вимагач із вбудованим впровадженням у процес winlogon.exe, а також
функціональністю шифрування та розшифрування файлів - Замаскував шкідливий код за допомогою ConfuserEx, перетворив результат за допомогою Donut та додатково приховав дроппер base64 Gzip
- Отримав підвищені привілеї в домені жертви та використав їх для копіювання
зашифрованого шкідливості та завдань за розкладом у мережну папку SYSVOL контролерів домену - Запустив скрипт PowerShell на пристроях домену для поширення шкідливості та запису прогресу атаки в журнали в SYSVOL
Якщо у Вас є питання про цей варіант вірусу-вимагача, або будь-якої іншої форензики та розслідування ІБ-інцидентів, проведеної нашими командами, або запитайте , де ми завжди відповідаємо на запитання в рамках сесії питань та відповідей.
Джерело: habr.com