Get best of the week

Einlösen ist die Königin: Varonis untersucht die schnell verbreitete Ransomware Ransomware „SaveTheQueen“



Ein neuer Malware-Typ der Ransomware-Virenklasse verschlüsselt Dateien und fügt ihnen die Erweiterung .SaveTheQueen hinzu, die sich über den SYSVOL-Systemnetzwerkordner auf Active Directory-Domänencontrollern verteilt.

Unsere Kunden sind kürzlich auf diese Malware gestoßen. Wir geben unsere vollständige Analyse, ihre Ergebnisse und Schlussfolgerungen unten.

Erkennung


Einer unserer Kunden hat uns kontaktiert, nachdem er auf eine neue Art von Ransomware-Ransomware gestoßen ist, die neuen verschlüsselten Dateien in ihrer Umgebung die Erweiterung ".SaveTheQueen" hinzugefügt hat.

Während unserer Untersuchung oder vielmehr bei der Suche nach Infektionsquellen haben wir festgestellt, dass die Verteilung und Verfolgung infizierter Opfer mithilfe des SYSVOL-Netzwerkordners auf dem Domänencontroller des Kunden erfolgt.

SYSVOL ist der Schlüsselordner für jeden Domänencontroller, der zum Bereitstellen von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) sowie Anmelde- und Abmeldeskripts für Domänencomputer verwendet wird. Der Inhalt dieses Ordners wird zwischen Domänencontrollern repliziert, um diese Daten auf den Standorten der Organisation zu synchronisieren. Das Schreiben in SYSVOL erfordert hohe Domänenberechtigungen. Nach einer Gefährdung wird dieses Asset jedoch zu einem leistungsstarken Tool für Angreifer, die damit schnell und effizient böswillige Last in der Domäne verteilen können.

Die Varonis-Prüfungskette hat dazu beigetragen, Folgendes schnell zu identifizieren:

  • Das infizierte Benutzerkonto hat in SYSVOL eine Datei mit dem Namen "stündlich" erstellt
  • In SYSVOL wurden viele Protokolldateien erstellt, die jeweils nach einem Domänengerätenamen benannt sind
  • Viele verschiedene IPs haben auf die Stundendatei zugegriffen.

Wir kamen zu dem Schluss, dass die Protokolldateien verwendet wurden, um den Infektionsprozess auf neuen Geräten zu verfolgen, und dass "stündlich" eine geplante Aufgabe ist, bei der neue Geräte mithilfe des Powershell-Skripts böswillig geladen werden - Beispiele "v3" und "v4".

Der Angreifer hat wahrscheinlich Domänenadministratorrechte erhalten und verwendet, um Dateien in SYSVOL zu schreiben. Auf infizierten Knoten startete der Angreifer PowerShell-Code, der eine Zeitplanaufgabe zum Öffnen, Entschlüsseln und Starten von Malware erstellte.

Entschlüsselung


Wir haben verschiedene Methoden ausprobiert, um die Proben ohne Erfolg zu entschlüsseln:



Wir waren fast bereit aufzugeben, als wir beschlossen, die „Magic“ -Methode des großartigen Cyberchef-
Dienstprogramms von GCHQ auszuprobieren . "Magic" versucht, die Verschlüsselung der Datei zu erraten, indem Passwörter für verschiedene Arten der Verschlüsselung aufgezählt und die Entropie gemessen werden.

Anmerkung des Übersetzers
. . , ,



"Magic" stellte fest, dass ein Base64-codierter GZip-Packer verwendet wurde, dank dessen wir die Datei entpacken und den Injektionscode "Injector" finden konnten.



Dropper: „Es gibt eine Epidemie in der Gegend! Half-Shot-Impfungen. Maul-und Klauenseuche


Der Dropper war eine reguläre .NET-Datei ohne Schutz. Nachdem wir den Quellcode mit DNSpy gelesen hatten, stellten wir fest, dass sein einziger Zweck darin bestand , Shellcode in den Prozess winlogon.exe einzufügen.





Shellcode oder einfache Schwierigkeiten


Wir haben das Hexacorn Autorwerkzeug - shellcode2exe um „Übersetzen“ der Shell - Code in eine ausführbare Datei für das Debuggen und Analyse. Dann stellten wir fest, dass es sowohl auf 32-Bit- als auch auf 64-Bit-Computern funktionierte.



Das Schreiben eines einfachen Shellcodes in nativer Übersetzung von Assembler kann schwierig sein. Das Schreiben eines vollständigen Shellcodes, der auf beiden Systemtypen ausgeführt wird, erfordert Elite-Kenntnisse. Daher haben wir begonnen, uns über die Raffinesse des Angreifers zu wundern.

Als wir den kompilierten Shellcode mit x64dbg analysierten , stellten wir fest, dass die dynamischen .NET-Bibliotheken geladen wurdenwie clr.dll und mscoreei.dll. Dies erschien uns seltsam - normalerweise versuchen Angreifer, den Shellcode so klein wie möglich zu halten, indem sie die nativen Funktionen des Betriebssystems aufrufen, anstatt sie zu laden. Warum sollte jemand Windows-Funktionen in Shellcode einbetten müssen, anstatt sie bei Bedarf direkt aufzurufen?

Wie sich herausstellte, hat der Autor der Malware diesen komplexen Shell-Code überhaupt nicht geschrieben - das Software-Merkmal dieser Aufgabe wurde verwendet, um ausführbare Dateien und Skripte in Shell-Code zu übersetzen.

Wir fanden das Donut- Tool , mit dem wir einen ähnlichen Shellcode kompilieren konnten. Hier ist seine Beschreibung von GitHub:

Donut generiert x86- oder x64-Shellcode aus VBScript, JScript, EXE, DLL (einschließlich .NET-Assemblys). Dieser Shellcode kann zur Ausführung im
RAM in jeden Windows-Prozess eingebettet werden .

Um unsere Theorie zu bestätigen, haben wir unseren eigenen Code mit Donut kompiliert und mit einem Beispiel verglichen - und ... ja, wir haben eine weitere Komponente des verwendeten Toolkits gefunden. Danach konnten wir bereits die ursprüngliche ausführbare .NET-Datei extrahieren und analysieren.

Codeschutz


Diese Datei wurde mit ConfuserEx verschleiert :





ConfuserEx ist ein Open Source .NET-Projekt zum Schutz von Code vor anderen Designs. Mit dieser Softwareklasse können Entwickler ihren Code vor Reverse Engineering schützen, indem sie beispielsweise Zeichen ersetzen, den Fluss von Steuerbefehlen maskieren und die Referenzmethode ausblenden. Malware-Autoren verwenden Verschleierer, um eine Erkennung zu vermeiden und die Aufgabe des Reverse Engineering zu erschweren.

Dank ElektroKill Unpacker haben wir den Code entpackt:



Fazit - Nutzlast


Die aus den Transformationen resultierende Nutzlast ist ein sehr einfacher Ransomware-Virus. Kein Mechanismus, um die Präsenz im System sicherzustellen, keine Verbindungen zur Kommandozentrale - nur die gute alte asymmetrische Verschlüsselung, um diese Opfer unlesbar zu machen.

Die Hauptfunktion wählt die folgenden Zeilen als Parameter aus:

  • Dateierweiterung zur Verwendung nach der Verschlüsselung (SaveTheQueen)
  • E-Mail des Autors zum Einfügen in die Lösegeldnotizdatei
  • Öffentlicher Schlüssel zum Verschlüsseln von Dateien



Der Prozess selbst ist wie folgt:

  1. Malware scannt lokale und zugeordnete Laufwerke auf dem Opfergerät


  2. Sucht nach Verschlüsselungsdateien


  3. Versuche, einen Prozess mit der zu verschlüsselnden Datei zu beenden.
  4. Benennt die Datei mit der MoveFile-Funktion in "Source_file_name.SaveTheQueenING" um und verschlüsselt sie
  5. Nachdem die Datei mit dem öffentlichen Schlüssel des Autors verschlüsselt wurde, benennt die Malware sie erneut um, jetzt in "Original_file_name.SaveTheQueen".
  6. Eine Datei wird mit einer Lösegeldforderung im selben Ordner aufgezeichnet



Basierend auf der Verwendung der nativen CreateDecryptor-Funktion scheint eine der Malware-Funktionen einen Entschlüsselungsmechanismus zu enthalten, für den ein privater Schlüssel als Parameter erforderlich ist.

Der Verschlüsselungsvirus verschlüsselt KEINE in den Verzeichnissen gespeicherten Dateien :

C: \ Windows
C: \ Programme
C: \ Programme (x86)
C: \ Benutzer \\ AppData
C: \ inetpub Verschlüsselt

auch NICHT die folgenden Dateitypen: EXE, DLL , MSI, ISO, SYS, CAB.

Zusammenfassung und Fazit


Trotz der Tatsache, dass der Ransomware-Virus selbst keine ungewöhnlichen Funktionen enthielt, nutzte der Angreifer Active Directory kreativ, um den Dropper zu verteilen, und die Malware selbst stellte uns während der Analyse interessante, wenn auch nicht komplizierte Hindernisse zur Verfügung.

Wir denken, der Autor der Malware ist:

  1. Ich habe einen Ransomware-Virus mit einer integrierten Implementierung im winlogon.exe-Prozess sowie Funktionen zur
    Dateiverschlüsselung und -entschlüsselung geschrieben
  2. Verkleidete den Schadcode mit ConfuserEx, konvertierte das Ergebnis mit Donut und versteckte zusätzlich den base64 Gzip-Dropper
  3. Erhielt erhöhte Berechtigungen in der Domäne des Opfers und verwendete diese, um
    verschlüsselte Malware und geplante Aufgaben in den SYSVOL-Netzwerkordner von Domänencontrollern zu kopieren
  4. Startete ein PowerShell-Skript auf Domänengeräten, um Malware zu verbreiten und den Angriffsfortschritt in Protokolle in SYSVOL zu schreiben



Wenn Sie Fragen zu dieser Version des Ransomware-Virus oder zu anderen forensischen und Untersuchungen zu Informationssicherheitsvorfällen durch unsere Teams haben, wenden Sie sich an uns oder fordern Sie eine Live-Demonstration der Reaktion auf Angriffe an , bei der wir während der Q & A-Sitzung immer Fragen beantworten.

More articles:


All Articles