一種新的勒索軟體會對檔案進行加密,並向其添加「.SaveTheQueen」副檔名,透過 Active Directory 網域控制器上的 SYSVOL 網路資料夾進行傳播。
我們的客戶最近遇到了這種惡意軟體。 我們在下面介紹我們的完整分析、結果和結論。
發現
我們的一位客戶在遇到一種新型勒索軟體後聯繫了我們,該勒索軟體將「.SaveTheQueen」擴展名添加到其環境中的新加密檔案中。
在我們的調查過程中,或者更確切地說,在尋找感染源的階段,我們發現感染者的分佈和追蹤是透過使用 網路資料夾 SYSVOL 在客戶的網域控制器上。
SYSVOL 是每個網域控制站的關鍵資料夾,用於傳送群組中的電腦群組原則物件 (GPO) 以及登入和登出腳本。 此資料夾的內容會在網域控制站之間複製,以在組織的網站之間同步此資料。 寫入 SYSVOL 需要高域權限,但是,一旦受到損害,該資產就會成為攻擊者的強大工具,攻擊者可以使用它在網域中快速有效地傳播惡意負載。
Varonis 審計鏈可協助快速識別以下內容:
- 受感染的使用者帳戶在 SYSVOL 中建立了一個名為「hourly」的文件
- 在 SYSVOL 中建立了許多日誌檔案 - 每個日誌檔案都以網域設備的名稱命名
- 許多不同的 IP 位址正在存取“每小時”文件
我們得出的結論是,日誌檔案用於追蹤新設備上的感染過程,並且“每小時”是一項計劃作業,它使用Powershell 腳本在新設備上執行惡意負載- 範例“v3”和“v4” 。
攻擊者可能取得並使用網域管理員權限將檔案寫入 SYSVOL。 在受感染的主機上,攻擊者執行 PowerShell 程式碼,該程式碼建立了一個排程作業來開啟、解密和執行惡意軟體。
解密惡意軟體
我們嘗試了多種方法來破解樣本,但都無濟於事:
當我們決定嘗試一下宏偉的“魔法”方法時,我們幾乎準備放棄了。
公用事業 政府通訊總部提供。 Magic 試圖透過暴力破解不同加密類型的密碼並測量熵來猜測檔案的加密。
譯者註 看 и 。 本文和評論不涉及作者對第三方或專有軟體中使用的方法細節的討論
Magic 確定使用了 base64 編碼的 GZip 加殼器,因此我們能夠解壓縮檔案並發現注入程式碼。
Dropper:「該地區有流行病! 一般疫苗接種。 手足口病”
該植入程序是一個常規的 .NET 文件,沒有任何保護。 閱讀原始碼後 我們意識到它的唯一目的是將 shellcode 注入到 winlogon.exe 進程中。
Shellcode 或簡單的複雜情況
我們使用了 Hexacorn 創作工具 - 以便將shellcode「編譯」成可執行檔以進行偵錯和分析。 然後我們發現它可以在 32 位元和 64 位元機器上運行。
即使用本機彙編語言翻譯編寫簡單的 shellcode 也可能很困難,但編寫可在兩種類型的系統上運行的完整 shellcode 需要精英技能,因此我們開始驚嘆攻擊者的複雜性。
當我們使用以下命令解析編譯後的 shellcode 時 ,我們注意到他正在加載 .NET 動態程式庫 ,例如 clr.dll 和 mscoreei.dll。 這對我們來說似乎很奇怪 - 通常攻擊者試圖透過呼叫本機作業系統函數而不是載入它們來使 shellcode 盡可能小。 為什麼有人需要將 Windows 功能嵌入到 shellcode 中,而不是根據需要直接呼叫它?
事實證明,惡意軟體的作者根本沒有編寫這個複雜的 shellcode - 專門用於此任務的軟體用於將可執行檔和腳本轉換為 shellcode。
我們找到了一個工具 ,我們認為它可以編譯類似的 shellcode。 以下是來自 GitHub 的描述:
Donut 從 VBScript、JScript、EXE、DLL(包括 .NET 組件)產生 x86 或 x64 shellcode。 此 shellcode 可以注入到任何要執行的 Windows 進程中
RAM。
為了證實我們的理論,我們使用 Donut 編譯了自己的程式碼並將其與範例進行了比較 - 並且......是的,我們發現了所使用的工具包的另一個組件。 此後,我們已經能夠提取並分析原始的.NET可執行檔。
代碼保護
該文件已被使用混淆 :
ConfuserEx 是一個開源 .NET 項目,用於保護其他開發的程式碼。 此類軟體允許開發人員使用字元替換、控制命令流屏蔽和引用方法隱藏等方法來保護其程式碼免受逆向工程的影響。 惡意軟體作者使用混淆器來逃避偵測並使逆向工程變得更加困難。
謝意 我們解壓縮程式碼:
結果-有效負載
由此產生的有效負載是一個非常簡單的勒索軟體病毒。 沒有任何機制來確保系統中的存在,也沒有與指揮中心的連接——只有很好的舊式非對稱加密來使受害者的數據不可讀。
main 函數選擇以下幾行作為參數:
- 加密後使用的檔案副檔名 (SaveTheQueen)
- 放置在勒索信文件中的作者電子郵件
- 用於加密檔案的公鑰
過程本身如下所示:
- 該惡意軟體會檢查受害者裝置上的本地和連接的驅動器
- 搜尋要加密的文件
- 嘗試終止正在使用要加密的檔案的進程
- 使用 MoveFile 函數將檔案重新命名為「OriginalFileName.SaveTheQueenING」並對其進行加密
- 使用作者的公鑰對檔案進行加密後,惡意軟體會再次將其重新命名為“Original FileName.SaveTheQueen”
- 具有贖金要求的文件被寫入同一資料夾
基於對本機「CreateDecryptor」函數的使用,惡意軟體的函數之一似乎包含需要私鑰的解密機製作為參數。
勒索軟件病毒 不加密文件,儲存在目錄中:
C:窗戶
C:Program Files文件
C:程序文件(x86)
C:使用者\應用程式數據
C:inetpub
他還 不加密以下文件類型:EXE、DLL、MSI、ISO、SYS、CAB。
結果與結論
儘管勒索軟體本身不包含任何異常功能,但攻擊者創造性地使用 Active Directory 來分發植入程序,並且惡意軟體本身在分析過程中給我們帶來了有趣的(儘管最終並不復雜)障礙。
我們認為該惡意軟體的作者是:
- 寫了一個內建注入 winlogon.exe 進程的勒索軟體病毒,以及
文件加密和解密功能 - 使用 ConfuserEx 偽裝惡意程式碼,使用 Donut 轉換結果,並另外隱藏 base64 Gzip dropper
- 在受害者的網域中獲得提升的權限並使用它們進行複製
加密的惡意軟體和計劃作業到網域控制站的 SYSVOL 網路資料夾 - 在網域設備上執行PowerShell腳本來傳播惡意軟體並在SYSVOL日誌中記錄攻擊進度
如果您對勒索軟體病毒的這種變種或我們團隊執行的任何其他取證和網路安全事件調查有疑問, 或要求 ,我們總是在問答環節回答問題。
來源: www.habr.com