To'lov dasturining yangi shtammi fayllarni shifrlaydi va ularga ".SaveTheQueen" kengaytmasini qo'shib, Active Directory domen kontrollerlaridagi SYSVOL tarmoq papkasi orqali tarqaladi.
Mijozlarimiz ushbu zararli dasturga yaqinda duch kelishdi. Quyida to'liq tahlilimiz, uning natijalari va xulosalarini taqdim etamiz.
Aniqlash
Mijozlarimizdan biri o'z muhitidagi yangi shifrlangan fayllarga ".SaveTheQueen" kengaytmasini qo'shayotgan to'lov dasturining yangi turiga duch kelganidan keyin biz bilan bog'landi.
Tekshiruvimiz davomida, aniqrog'i, infektsiya manbalarini qidirish bosqichida biz yuqtirgan qurbonlarni tarqatish va kuzatish quyidagi usullardan foydalangan holda amalga oshirilganligini aniqladik. tarmoq papkasi SYSVOL mijozning domen boshqaruvchisida.
SYSVOL har bir domen tekshiruvi uchun asosiy papka bo'lib, u domendagi kompyuterlarga guruh siyosati ob'ektlarini (GPO) va tizimga kirish va o'chirish skriptlarini etkazib berish uchun ishlatiladi. Ushbu jildning mazmuni ushbu ma'lumotlarni tashkilot saytlari bo'ylab sinxronlashtirish uchun domen kontrollerlari o'rtasida takrorlanadi. SYSVOL-ga yozish uchun yuqori domen imtiyozlari talab qilinadi, biroq, buzilganidan so'ng, bu aktiv domen bo'ylab zararli yuklarni tez va samarali ravishda tarqatish uchun undan foydalanishi mumkin bo'lgan tajovuzkorlar uchun kuchli vositaga aylanadi.
Varonis audit zanjiri quyidagilarni tezda aniqlashga yordam berdi:
- Zararlangan foydalanuvchi hisobi SYSVOL da “soatlik” deb nomlangan fayl yaratdi
- SYSVOL-da ko'plab jurnal fayllari yaratilgan - har biri domen qurilmasi nomi bilan nomlangan
- Ko'p turli IP manzillar "soatlik" faylga kirishgan
Jurnal fayllari yangi qurilmalarda infektsiya jarayonini kuzatish uchun ishlatilgan degan xulosaga keldik va bu "soatlik" Powershell skriptidan foydalangan holda yangi qurilmalarda zararli yukni amalga oshiradigan rejalashtirilgan ish - "v3" va "v4" namunalari.
Buzg'unchi, ehtimol, SYSVOL-ga fayllar yozish uchun domen administratori huquqlarini qo'lga kiritgan va undan foydalangan. Zararlangan xostlarda tajovuzkor zararli dasturni ochish, shifrini ochish va ishga tushirish uchun jadval ishini yaratgan PowerShell kodini ishga tushirdi.
Zararli dastur shifrini ochish
Biz namunalarni shifrlashning bir necha usullarini sinab ko'rdik:
Ajoyibning "Sehrli" usulini sinab ko'rishga qaror qilganimizda, biz deyarli taslim bo'lishga tayyor edik
kommunal xizmatlar GCHQ tomonidan. Magic turli xil shifrlash turlari va entropiyani o'lchash uchun qo'pol parollar kiritish orqali faylning shifrlanishini taxmin qilishga harakat qiladi.
Tarjimonning eslatmasi Qarang. и . Ushbu maqola va sharhlar mualliflar tomonidan uchinchi tomon yoki xususiy dasturiy ta'minotda qo'llaniladigan usullarning tafsilotlarini muhokama qilishni o'z ichiga olmaydi.
Magic, base64 kodlangan GZip packer ishlatilganligini aniqladi, shuning uchun biz faylni ochish va in'ektsiya kodini topishga muvaffaq bo'ldik.
Damlamachi: “Hududda epidemiya bor! Umumiy emlashlar. Oyoq va og'iz kasalligi"
Damlagich hech qanday himoyasiz oddiy .NET fayli edi. bilan manba kodini o'qib chiqqandan so'ng uning yagona maqsadi winlogon.exe jarayoniga shellcode kiritish ekanligini angladik.
Shellcode yoki oddiy murakkabliklar
Biz Hexacorn mualliflik vositasidan foydalandik - qobiq kodini disk raskadrovka va tahlil qilish uchun bajariladigan faylga "kompilyatsiya qilish" uchun. Keyin biz u 32 va 64 bitli mashinalarda ishlaganligini aniqladik.
Assembly tilidagi tarjimada oddiy qobiq kodini yozish ham qiyin bo'lishi mumkin, ammo ikkala turdagi tizimlarda ham ishlaydigan to'liq qobiq kodini yozish elita ko'nikmalarini talab qiladi, shuning uchun biz tajovuzkorning murakkabligiga hayron bo'la boshladik.
Biz kompilyatsiya qilingan qobiq kodini tahlil qilganimizda , biz uning yuklayotganini payqadik .NET dinamik kutubxonalari clr.dll va mscoreei.dll kabi. Bu bizga g'alati tuyuldi - odatda tajovuzkorlar OS funktsiyalarini yuklash o'rniga ularni chaqirish orqali qobiq kodini iloji boricha kichikroq qilishga harakat qilishadi. Nima uchun kimdir Windows funksiyasini to'g'ridan-to'g'ri talab bo'yicha chaqirish o'rniga shellcode ichiga kiritishi kerak?
Ma'lum bo'lishicha, zararli dastur muallifi bu murakkab qobiq kodini umuman yozmagan - bajariladigan fayllar va skriptlarni qobiq kodiga tarjima qilish uchun ushbu vazifaga xos dasturiy ta'minot ishlatilgan.
Biz vosita topdik , biz shunga o'xshash qobiq kodini tuzishi mumkin deb o'ylagan edik. GitHub dan uning tavsifi:
Donut VBScript, JScript, EXE, DLL (jumladan, .NET assemblies) dan x86 yoki x64 qobiq kodini yaratadi. Ushbu qobiq kodini bajarish uchun har qanday Windows jarayoniga kiritish mumkin
tasodifiy kirish xotirasi.
Nazariyamizni tasdiqlash uchun biz Donut yordamida o'z kodimizni tuzdik va uni namuna bilan taqqosladik - va... ha, biz foydalanilgan asboblar to'plamining yana bir komponentini topdik. Shundan so'ng, biz allaqachon .NET bajariladigan asl faylni ajratib olishimiz va tahlil qilishimiz mumkin edi.
Kodni himoya qilish
Bu fayl yordamida xiralashgan :
ConfuserEx boshqa ishlanmalar kodini himoya qilish uchun ochiq manbali .NET loyihasidir. Dasturiy ta'minotning ushbu klassi ishlab chiquvchilarga belgilarni almashtirish, buyruqlar oqimini maskalash va mos yozuvlar usulini yashirish kabi usullardan foydalangan holda o'z kodlarini teskari muhandislikdan himoya qilish imkonini beradi. Zararli dastur mualliflari aniqlashdan qochish va teskari muhandislikni qiyinlashtirish uchun obfuskatorlardan foydalanadilar.
minnatdorchilik biz kodni ochdik:
Natija - foydali yuk
Olingan foydali yuk juda oddiy ransomware virusidir. Tizimda mavjudligini ta'minlash mexanizmi yo'q, buyruqlar markaziga ulanish yo'q - jabrlanuvchining ma'lumotlarini o'qib bo'lmaydigan qilish uchun faqat yaxshi eski assimetrik shifrlash.
Asosiy funksiya parametr sifatida quyidagi qatorlarni tanlaydi:
- Shifrlashdan keyin foydalanish uchun fayl kengaytmasi (SaveTheQueen)
- To'lov qaydnomasi fayliga joylashtirish uchun muallifning elektron pochtasi
- Ochiq kalit fayllarni shifrlash uchun ishlatiladi
Jarayonning o'zi quyidagicha ko'rinadi:
- Zararli dastur jabrlanuvchi qurilmasidagi mahalliy va ulangan drayverlarni tekshiradi
- Shifrlash uchun fayllarni qidiradi
- Shifrlanmoqchi bo'lgan fayldan foydalanayotgan jarayonni tugatishga harakat qiladi
- MoveFile funksiyasidan foydalanib fayl nomini "OriginalFileName.SaveTheQueenING" ga o'zgartiradi va uni shifrlaydi
- Fayl muallifning ochiq kaliti bilan shifrlangandan so'ng, zararli dastur uning nomini yana "Original FileName.SaveTheQueen" ga o'zgartiradi.
- To'lov talabi bo'lgan fayl xuddi shu papkaga yoziladi
Mahalliy "CreateDecryptor" funksiyasidan foydalanishga asoslanib, zararli dastur funksiyalaridan biri parametr sifatida shaxsiy kalitni talab qiluvchi shifrni ochish mexanizmini o'z ichiga olgan ko'rinadi.
ransomware virusi Fayllarni shifrlamaydi, kataloglarda saqlanadi:
C: derazalar
C: Dastur fayllari
C: Dastur fayllari (x86)
C: Foydalanuvchilar\AppData
C: inetpub
U ham Quyidagi fayl turlarini shifrlamaydi:EXE, DLL, MSI, ISO, SYS, CAB.
Natijalar va xulosalar
Garchi to'lov dasturining o'zida noodatiy xususiyatlar bo'lmasa-da, tajovuzkor tomizgichni tarqatish uchun Active Directory-dan ijodiy foydalangan va zararli dasturning o'zi bizga tahlil paytida qiziqarli to'siqlarni taqdim etgan.
Bizning fikrimizcha, zararli dastur muallifi:
- Winlogon.exe jarayoniga o'rnatilgan in'ektsiya bilan ransomware virusini yozdi, shuningdek
fayllarni shifrlash va shifrni ochish funksiyasi - ConfuserEx yordamida zararli kodni yashirdi, Donut yordamida natijani o'zgartirdi va qo'shimcha ravishda base64 Gzip tomchisini yashirdi.
- Jabrlanuvchining domenida yuqori imtiyozlarni qo'lga kiritdi va ulardan nusxa ko'chirish uchun foydalandi
shifrlangan zararli dasturlar va rejalashtirilgan ishlarni domen kontrollerlarining SYSVOL tarmoq papkasiga - Zararli dasturlarni tarqatish va hujum jarayonini SYSVOL jurnallarida qayd etish uchun domen qurilmalarida PowerShell skriptini ishga tushiring
Agar sizda ransomware virusining ushbu varianti yoki jamoalarimiz tomonidan amalga oshirilgan boshqa sud-tibbiyot ekspertizasi va kiberxavfsizlik hodisalari tekshiruvlari haqida savollaringiz bo'lsa, yoki iltimos , bu erda biz har doim savol-javob sessiyasida savollarga javob beramiz.
Manba: www.habr.com