Get best of the week

لاسترداد الملكة: يحقق Varonis في برامج الفدية سريعة الانتشار "SaveTheQueen"



يقوم نوع جديد من البرامج الضارة لفئة فيروسات الفدية بتشفير الملفات وإضافة امتداد .SaveTheQueen إليها ، والانتشار عبر مجلد شبكة نظام SYSVOL على وحدات تحكم مجال Active Directory.

واجه عملاؤنا مؤخرًا هذه البرامج الضارة. نقدم تحليلنا الكامل ونتائجها واستنتاجاتها أدناه.

كشف


اتصل بنا أحد عملائنا بعد أن صادفوا نوعًا جديدًا من برامج الفدية التي أضافت الامتداد ".SaveTheQueen" إلى الملفات المشفرة الجديدة في بيئتهم.

أثناء تحقيقنا ، أو بالأحرى ، في مرحلة البحث عن مصادر الإصابة ، اكتشفنا أن توزيع الضحايا المصابين وتتبعهم تم باستخدام مجلد شبكة SYSVOL على وحدة تحكم المجال الخاصة بالعميل.

SYSVOL هو المجلد الرئيسي لكل وحدة تحكم بالمجال تُستخدم لتسليم كائنات نهج المجموعة (GPOs) ونصوص تسجيل الدخول وتسجيل الخروج إلى أجهزة كمبيوتر المجال. يتم نسخ محتويات هذا المجلد بين وحدات تحكم المجال لمزامنة هذه البيانات على مواقع المؤسسة. تتطلب الكتابة إلى SYSVOL امتيازات عالية للنطاق ، ولكن بعد اختراقها ، تصبح هذه الأصول أداة قوية للمهاجمين الذين يمكنهم استخدامها لنشر الحمل الضار بسرعة وكفاءة عبر النطاق.

ساعدت سلسلة تدقيق Varonis على تحديد ما يلي بسرعة:

  • قام حساب المستخدم المصاب بإنشاء ملف باسم "كل ساعة" في SYSVOL
  • تم إنشاء العديد من ملفات السجل في SYSVOL - تم تسمية كل منها لاسم جهاز المجال
  • وصل العديد من عناوين IP المختلفة إلى الملف بالساعة.

استنتجنا أنه تم استخدام ملفات السجل لتتبع عملية الإصابة على الأجهزة الجديدة ، وأن "كل ساعة" هي مهمة مجدولة تقوم بتشغيل تحميل ضار على الأجهزة الجديدة باستخدام البرنامج النصي Powershell - نموذجان "v3" و "v4".

ربما حصل المهاجم على امتيازات مسؤول المجال واستخدمها لكتابة الملفات إلى SYSVOL. على العقد المصابة ، أطلق المهاجم رمز PowerShell ، الذي أنشأ مهمة جدولية لفتح البرامج الضارة وفك تشفيرها وإطلاقها.

فك التشفير


لقد جربنا عدة طرق لفك تشفير العينات دون جدوى:



كنا على استعداد تقريبًا للاستسلام عندما قررنا تجربة الطريقة "السحرية" لأداة Cyberchef الرائعة
من GCHQ. يحاول "Magic" تخمين تشفير الملف ، باستخدام تعداد كلمات المرور لأنواع مختلفة من التشفير وقياس الكون.

ملاحظة المترجم
. . , ,



حدد "Magic" أنه تم استخدام باكر GZip المشفر base64 ، والذي بفضله تمكنا من فك ضغط الملف والعثور على رمز التنفيذ - "حاقن".



القطارة: "هناك وباء في المنطقة! لقاحات نصف طلقة. مرض الحمى القلاعية


كان القطارة ملف .NET عادي بدون أي حماية. بعد قراءة التعليمات البرمجية المصدر باستخدام DNSpy ، أدركنا أن الغرض الوحيد منها هو حقن كود shell في عملية winlogon.exe.





قشرة أو صعوبات بسيطة


استخدمنا أداة Hexacorn authorship - shellcode2exe من أجل "تجميع" كود shell في ملف قابل للتنفيذ لتصحيح الأخطاء وتحليلها. ثم وجدنا أنه يعمل على أجهزة 32 بت و 64 بت.



قد تكون كتابة حتى كود قشرة بسيطة في الترجمة الأصلية من المجمع أمرًا صعبًا ، وتتطلب كتابة كود قشرة كاملة تعمل على كلا النوعين من الأنظمة مهارات النخبة ، لذلك بدأنا نتعجب من تعقيد المهاجم.

عندما قمنا بتحليل كود القشرة المتراكم باستخدام x64dbg ، لاحظنا أنه قام بتحميل مكتبات .NET الديناميكيةمثل clr.dll و mscoreei.dll. بدا هذا غريبا بالنسبة لنا - عادة ما يحاول المهاجمون جعل كود القشرة صغيرًا قدر الإمكان ، مع استدعاء الوظائف الأصلية لنظام التشغيل بدلاً من تحميلها. لماذا يحتاج أي شخص إلى تضمين وظائف Windows في كود القشرة بدلاً من الاتصال به مباشرة عند الطلب؟

كما اتضح ، لم يكتب مؤلف البرمجيات الخبيثة كود القشرة المعقد هذا على الإطلاق - تم استخدام خاصية البرنامج لهذه المهمة لترجمة الملفات والبرامج النصية القابلة للتنفيذ إلى كود القشرة.

وجدنا أداة دونات ، والتي ، كما يبدو لنا ، يمكنها تجميع كود قشرة مشابه. هنا وصفه من GitHub:

يقوم Donut بإنشاء كود قشرة x86 أو x64 من VBScript و JScript و EXE و DLL (بما في ذلك تجميعات .NET). يمكن تضمين كود القشرة هذا في أي عملية Windows للتنفيذ في
ذاكرة الوصول العشوائي.

لتأكيد نظريتنا ، قمنا بتجميع الكود الخاص بنا باستخدام Donut ومقارنته بعينة - و ... نعم ، وجدنا مكونًا آخر من مجموعة الأدوات المستخدمة. بعد ذلك ، تمكنا بالفعل من استخراج وتحليل .NET القابل للتنفيذ الأصلي.

حماية الكود


تم تشويش هذا الملف باستخدام ConfuserEx :





ConfuserEx هو مشروع .NET مفتوح المصدر لحماية التعليمات البرمجية من التصميمات الأخرى. تسمح هذه الفئة من البرامج للمطورين بحماية التعليمات البرمجية الخاصة بهم من الهندسة العكسية باستخدام طرق مثل استبدال الأحرف وإخفاء تدفق أوامر التحكم وإخفاء الطريقة المرجعية. يستخدم مؤلفو البرامج الضارة أجهزة التعتيم لتجنب الاكتشاف وتجعل الهندسة العكسية أكثر صعوبة.

بفضل ElektroKill Unpacker ، قمنا بفك الشفرة:



خلاصة القول - الحمولة


الحمولة الناتجة عن التحولات هي فيروس فدية بسيط للغاية. لا توجد آلية لضمان التواجد في النظام ، ولا توجد اتصالات مع مركز القيادة - فقط التشفير القديم غير المتماثل الجيد ، من أجل جعل هؤلاء الضحايا غير قابلين للقراءة.

تحدد الوظيفة الرئيسية الخطوط التالية كمعلمات:

  • ملحق الملف للاستخدام بعد التشفير (SaveTheQueen)
  • البريد الإلكتروني للمؤلف لوضع ملف مذكرة الفدية
  • يستخدم المفتاح العام لتشفير الملفات



العملية نفسها هي كما يلي:

  1. تفحص البرامج الضارة محركات الأقراص المحلية والمعينة على جهاز الضحية


  2. يبحث عن ملفات التشفير


  3. محاولات لإنهاء عملية باستخدام الملف الذي توشك على تشفيره.
  4. إعادة تسمية الملف إلى "Source_file_name.SaveTheQueenING" باستخدام وظيفة MoveFile وتشفيرها
  5. بعد تشفير الملف باستخدام المفتاح العام للمؤلف ، تقوم البرامج الضارة بإعادة تسميته مرة أخرى ، الآن في "Original_file_name.SaveTheQueen"
  6. يتم تسجيل ملف بطلب فدية في نفس المجلد



استنادًا إلى استخدام وظيفة CreateDecryptor الأصلية ، يبدو أن إحدى وظائف البرامج الضارة تحتوي على آلية فك تشفير تتطلب مفتاحًا خاصًا كمعلمة. لا يقوم

فيروس التشفير بتشفير الملفات المخزنة في الدلائل:

C: \ windows
C: \ Program Files
C: \ Program Files (x86)
C: \ Users \\ AppData
C: \ inetpub

كما أنه لا يقوم بتشفير أنواع الملفات التالية: EXE ، DLL ، MSI ، ISO ، SYS ، CAB.

الملخص والاستنتاجات


على الرغم من حقيقة أن فيروس الفدية نفسه لم يحتوي على أي وظائف غير عادية ، فقد استخدم المهاجم بشكل خلاق Active Directory لتوزيع القطارة ، وقدمت لنا البرامج الضارة نفسها عوائق مثيرة للاهتمام ، وإن لم تكن معقدة ، أثناء التحليل.

نعتقد أن مؤلف البرنامج الضار هو:

  1. لقد كتبت فيروس رانسوم وير مع تنفيذ مضمن في عملية winlogon.exe ، بالإضافة إلى
    وظائف تشفير الملفات وفك التشفير
  2. تمويه الشفرة الخبيثة باستخدام ConfuserEx ، وحولت النتيجة باستخدام Donut وأخفت أيضًا قطارة base64 Gzip
  3. حصلت على امتيازات عالية في نطاق الضحية واستخدمتها لنسخ
    البرامج الضارة المشفرة والمهام المجدولة إلى مجلد شبكة SYSVOL لوحدات تحكم المجال
  4. تم إطلاق برنامج نصي PowerShell على أجهزة المجال لنشر البرامج الضارة وكتابة تقدم الهجوم إلى السجلات في SYSVOL



إذا كانت لديك أسئلة حول هذا الإصدار من فيروس الفدية ، أو أي أدلة جنائية أخرى والتحقيق في حوادث أمن المعلومات من قبل فرقنا ، فاتصل بنا أو اطلب عرضًا حيًا للرد على الهجمات ، حيث نجيب دائمًا على الأسئلة أثناء جلسة الأسئلة والأجوبة.

More articles:


All Articles