🥇 تاوان دینا ملکہ کی طرح ہے: Varonis تیزی سے پھیلنے والے ransomware ransomware "SaveTheQueen" کی چھان بین کرتا ہے

ransomware کا ایک نیا تناؤ فائلوں کو خفیہ کرتا ہے اور ایکٹو ڈائریکٹری ڈومین کنٹرولرز پر SYSVOL نیٹ ورک فولڈر کے ذریعے پھیلتے ہوئے ان میں ".SaveTheQueen" ایکسٹینشن کا اضافہ کرتا ہے۔

ہمارے صارفین نے حال ہی میں اس میلویئر کا سامنا کیا۔ ہم ذیل میں اپنا مکمل تجزیہ، اس کے نتائج اور نتائج پیش کرتے ہیں۔

دریافت۔

ہمارے صارفین میں سے ایک نے رینسم ویئر کے ایک نئے تناؤ کا سامنا کرنے کے بعد ہم سے رابطہ کیا جو ان کے ماحول میں نئی انکرپٹڈ فائلوں میں ".SaveTheQueen" ایکسٹینشن کو شامل کر رہا تھا۔

ہماری تحقیقات کے دوران، یا انفیکشن کے ذرائع کی تلاش کے مرحلے پر، ہمیں پتہ چلا کہ متاثرہ افراد کی تقسیم اور ٹریکنگ نیٹ ورک فولڈر SYSVOL کسٹمر کے ڈومین کنٹرولر پر۔

SYSVOL ہر ڈومین کنٹرولر کے لیے ایک کلیدی فولڈر ہے جو ڈومین میں موجود کمپیوٹرز کو گروپ پالیسی آبجیکٹ (GPOs) اور لاگ ان اور لاگ آف اسکرپٹس فراہم کرنے کے لیے استعمال ہوتا ہے۔ اس فولڈر کے مواد کو ڈومین کنٹرولرز کے درمیان نقل کیا جاتا ہے تاکہ اس ڈیٹا کو تنظیم کی تمام سائٹس پر ہم آہنگ کیا جا سکے۔ SYSVOL کو لکھنے کے لیے اعلیٰ ڈومین مراعات کی ضرورت ہوتی ہے، تاہم، ایک بار سمجھوتہ کرنے کے بعد، یہ اثاثہ حملہ آوروں کے لیے ایک طاقتور ٹول بن جاتا ہے جو اسے پورے ڈومین میں تیزی سے اور مؤثر طریقے سے نقصان دہ پے لوڈز کو پھیلانے کے لیے استعمال کر سکتے ہیں۔

Varonis آڈٹ سلسلہ نے تیزی سے درج ذیل کی شناخت کرنے میں مدد کی:

متاثرہ صارف اکاؤنٹ نے SYSVOL میں "hourly" نامی فائل بنائی
بہت سی لاگ فائلیں SYSVOL میں بنائی گئی تھیں - ہر ایک کا نام ڈومین ڈیوائس کے نام سے رکھا گیا ہے۔
بہت سے مختلف IP پتے "گھنٹہ وار" فائل تک رسائی حاصل کر رہے تھے۔

ہم نے نتیجہ اخذ کیا کہ لاگ فائلوں کو نئے آلات پر انفیکشن کے عمل کو ٹریک کرنے کے لیے استعمال کیا گیا تھا، اور یہ کہ "گھنٹہ کے حساب سے" ایک طے شدہ کام تھا جس نے پاورشیل اسکرپٹ کا استعمال کرتے ہوئے نئے آلات پر نقصان دہ پے لوڈ کو انجام دیا - نمونے "v3" اور "v4"۔

حملہ آور نے ممکنہ طور پر SYSVOL پر فائلیں لکھنے کے لیے ڈومین ایڈمنسٹریٹر کی مراعات حاصل کیں اور استعمال کیں۔ متاثرہ میزبانوں پر، حملہ آور نے PowerShell کوڈ چلایا جس نے میلویئر کو کھولنے، ڈکرپٹ کرنے اور چلانے کے لیے ایک شیڈول جاب بنایا۔

میلویئر کو ڈکرپٹ کرنا

ہم نے نمونوں کو سمجھنے کے کئی طریقے آزمائے کوئی فائدہ نہیں ہوا:

جب ہم نے شاندار کا "جادو" طریقہ آزمانے کا فیصلہ کیا تو ہم ترک کرنے کے لیے تقریباً تیار تھے۔
افادیت سائبر شیف بذریعہ GCHQ۔ جادو مختلف انکرپشن اقسام کے لیے پاس ورڈز کو زبردستی دے کر اور اینٹروپی کی پیمائش کے ذریعے فائل کی انکرپشن کا اندازہ لگانے کی کوشش کرتا ہے۔

مترجم کا نوٹ دیکھوتفریق انٹروپی и انفارمیشن تھیوری میں اینٹروپی. اس مضمون اور تبصروں میں تیسرے فریق یا ملکیتی سافٹ ویئر میں استعمال ہونے والے طریقوں کی تفصیلات کے مصنفین کی طرف سے بحث شامل نہیں ہے۔

جادو نے طے کیا کہ ایک بیس 64 انکوڈ شدہ GZip پیکر استعمال کیا گیا تھا، لہذا ہم فائل کو ڈیکمپریس کرنے اور انجیکشن کوڈ کو دریافت کرنے کے قابل ہو گئے۔

ڈراپر: "علاقے میں ایک وبا پھیلی ہوئی ہے! عام ویکسینیشن۔ پاؤں اور منہ کی بیماری"

ڈراپر بغیر کسی تحفظ کے ایک باقاعدہ .NET فائل تھی۔ کے ساتھ سورس کوڈ پڑھنے کے بعد DNSpy ہم نے محسوس کیا کہ اس کا واحد مقصد شیل کوڈ کو winlogon.exe عمل میں داخل کرنا تھا۔

شیل کوڈ یا سادہ پیچیدگیاں

ہم نے Hexacorn تصنیف کا آلہ استعمال کیا۔ shellcode2exe ڈیبگنگ اور تجزیہ کے لیے شیل کوڈ کو ایک قابل عمل فائل میں "مرتب" کرنے کے لیے۔ پھر ہم نے دریافت کیا کہ یہ 32 اور 64 بٹ مشینوں دونوں پر کام کرتا ہے۔

مقامی اسمبلی کی زبان کے ترجمے میں سادہ شیل کوڈ لکھنا بھی مشکل ہو سکتا ہے، لیکن مکمل شیل کوڈ لکھنے کے لیے جو دونوں قسم کے سسٹمز پر کام کرتا ہے اشرافیہ کی مہارتوں کی ضرورت ہوتی ہے، اس لیے ہم حملہ آور کی نفاست پر حیران ہونے لگے۔

جب ہم نے مرتب کردہ شیل کوڈ کا استعمال کرتے ہوئے تجزیہ کیا۔ x64dbg، ہم نے دیکھا کہ وہ لوڈ کر رہا تھا۔ .NET متحرک لائبریریاں ، جیسے clr.dll اور mscoreei.dll۔ یہ ہمارے لیے عجیب معلوم ہوا - عام طور پر حملہ آور شیل کوڈ کو لوڈ کرنے کے بجائے مقامی OS فنکشنز کو کال کرکے جتنا ممکن ہو چھوٹا بنانے کی کوشش کرتے ہیں۔ کسی کو ونڈوز کی فعالیت کو شیل کوڈ میں شامل کرنے کی ضرورت کیوں پڑے گی بجائے اس کے کہ اسے براہ راست مطالبہ پر کال کریں؟

جیسا کہ یہ نکلا، میلویئر کے مصنف نے اس پیچیدہ شیل کوڈ کو بالکل نہیں لکھا - اس کام کے لیے مخصوص سافٹ ویئر کا استعمال قابل عمل فائلوں اور اسکرپٹس کو شیل کوڈ میں ترجمہ کرنے کے لیے کیا گیا تھا۔

ہمیں ایک آلہ ملا ڈونٹ، جس کے بارے میں ہم نے سوچا کہ اسی طرح کا شیل کوڈ مرتب کرسکتا ہے۔ GitHub سے اس کی تفصیل یہ ہے:

ڈونٹ VBScript, JScript, EXE, DLL (بشمول .NET اسمبلیوں) سے x86 یا x64 شیل کوڈ تیار کرتا ہے۔ اس شیل کوڈ کو ونڈوز کے کسی بھی عمل میں لگایا جا سکتا ہے۔
ریم

اپنے نظریے کی تصدیق کے لیے، ہم نے ڈونٹ کا استعمال کرتے ہوئے اپنا کوڈ مرتب کیا اور اس کا نمونہ سے موازنہ کیا - اور... ہاں، ہم نے استعمال شدہ ٹول کٹ کا ایک اور جزو دریافت کیا۔ اس کے بعد، ہم پہلے ہی اصل .NET ایگزیکیوٹیبل فائل کو نکالنے اور اس کا تجزیہ کرنے کے قابل تھے۔

کوڈ تحفظ

اس فائل کو استعمال کرتے ہوئے مبہم کردیا گیا ہے۔ کنفیوزر ایکس:

ConfuserEx دیگر پیشرفتوں کے کوڈ کی حفاظت کے لیے ایک اوپن سورس .NET پروجیکٹ ہے۔ سافٹ ویئر کی یہ کلاس ڈویلپرز کو کریکٹر متبادل، کنٹرول کمانڈ فلو ماسکنگ، اور حوالہ طریقہ چھپانے جیسے طریقوں کا استعمال کرتے ہوئے ریورس انجینئرنگ سے اپنے کوڈ کی حفاظت کرنے کی اجازت دیتی ہے۔ میلویئر مصنفین پتہ لگانے سے بچنے اور ریورس انجینئرنگ کو مزید مشکل بنانے کے لیے اوبفسکیٹرز کا استعمال کرتے ہیں۔

شکریہ الیکٹرو کِل انپیکر ہم نے کوڈ کھول دیا:

نتیجہ - پے لوڈ

نتیجے میں پے لوڈ ایک بہت ہی آسان رینسم ویئر وائرس ہے۔ سسٹم میں موجودگی کو یقینی بنانے کے لیے کوئی طریقہ کار نہیں، کمانڈ سینٹر سے کوئی کنکشن نہیں - شکار کے ڈیٹا کو پڑھنے کے قابل بنانے کے لیے صرف پرانا غیر متناسب خفیہ کاری۔

مین فنکشن مندرجہ ذیل لائنوں کو پیرامیٹرز کے طور پر منتخب کرتا ہے۔

خفیہ کاری کے بعد استعمال کرنے کے لیے فائل کی توسیع (SaveTheQueen)
تاوان کے نوٹ فائل میں رکھنے کے لیے مصنف کا ای میل
فائلوں کو خفیہ کرنے کے لیے استعمال ہونے والی عوامی کلید

عمل خود اس طرح لگتا ہے:

میلویئر متاثرہ کے آلے پر مقامی اور منسلک ڈرائیوز کی جانچ کرتا ہے۔
خفیہ کاری کے لیے فائلوں کو تلاش کرتا ہے۔
اس عمل کو ختم کرنے کی کوشش کرتا ہے جو ایک فائل استعمال کر رہا ہے جسے وہ خفیہ کرنے والی ہے۔
MoveFile فنکشن کا استعمال کرتے ہوئے فائل کا نام بدل کر "OriginalFileName.SaveTheQueenING" رکھ دیتا ہے اور اسے خفیہ کرتا ہے۔
فائل کو مصنف کی عوامی کلید کے ساتھ خفیہ کرنے کے بعد، میلویئر اس کا نام تبدیل کر دیتا ہے، اب "اصل فائل کا نام۔ محفوظ کریں"
اسی فولڈر میں تاوان کی مانگ والی فائل لکھی جاتی ہے۔

مقامی "CreateDecryptor" فنکشن کے استعمال کی بنیاد پر، میلویئر کے فنکشنز میں سے ایک پیرامیٹر کے طور پر ایک ڈکرپشن میکانزم پر مشتمل ہوتا ہے جس کے لیے نجی کلید کی ضرورت ہوتی ہے۔

رینسم ویئر وائرس فائلوں کو خفیہ نہیں کرتا, ڈائریکٹریز میں محفوظ:

سی: ونڈوز
C: پروگرام فائلیں
C: پروگرام فائلیں (X86)
C:Users\AppData
سی: انیٹپب

وہ بھی درج ذیل فائل کی اقسام کو خفیہ نہیں کرتا:EXE، DLL، MSI، ISO، SYS، CAB۔

خلاصہ اور نتائج

اگرچہ ransomware بذات خود کوئی غیر معمولی خصوصیات پر مشتمل نہیں تھا، حملہ آور نے ڈراپر کو تقسیم کرنے کے لیے تخلیقی طور پر Active Directory کا استعمال کیا، اور خود میلویئر نے ہمیں دلچسپ، اگر بالآخر غیر پیچیدہ، تجزیہ کے دوران رکاوٹیں پیش کیں۔

ہمارا خیال ہے کہ میلویئر کا مصنف ہے:

winlogon.exe عمل میں بلٹ ان انجیکشن کے ساتھ ransomware وائرس لکھا۔
فائل کی خفیہ کاری اور ڈکرپشن کی فعالیت
ConfuserEx کا استعمال کرتے ہوئے بدنیتی پر مبنی کوڈ کو چھپایا، ڈونٹ کا استعمال کرتے ہوئے نتیجہ تبدیل کیا اور اس کے علاوہ base64 Gzip ڈراپر کو چھپایا
متاثرہ کے ڈومین میں اعلیٰ مراعات حاصل کیں اور انہیں کاپی کرنے کے لیے استعمال کیا۔
ڈومین کنٹرولرز کے SYSVOL نیٹ ورک فولڈر میں انکرپٹڈ مالویئر اور شیڈول کردہ جابز
مالویئر پھیلانے اور SYSVOL میں لاگز میں حملے کی پیش رفت کو ریکارڈ کرنے کے لیے ڈومین ڈیوائسز پر پاور شیل اسکرپٹ چلائیں۔

اگر آپ کے پاس ransomware وائرس کے اس قسم کے بارے میں سوالات ہیں، یا ہماری ٹیموں کی طرف سے کی جانے والی کسی اور فرانزک اور سائبرسیکیوریٹی واقعے کی تحقیقات، ہم سے رابطہ کریں۔ یا درخواست کریں حملوں کے جواب کا براہ راست مظاہرہجہاں ہم ہمیشہ سوال و جواب کے سیشن میں سوالات کے جوابات دیتے ہیں۔

ماخذ: www.habr.com

رینسم ایک ملکہ کی طرح ہے: Varonis تیزی سے پھیلنے والے "SaveTheQueen" ransomware کی چھان بین کرتا ہے۔