Get best of the week

Para canjear es la reina: Varonis investiga el ransomware de ransomware de rápida expansión "SaveTheQueen"



Un nuevo tipo de malware de la clase de virus ransomware cifra los archivos y les agrega la extensión .SaveTheQueen, extendiéndose a través de la carpeta de red del sistema SYSVOL en los controladores de dominio de Active Directory.

Nuestros clientes se han encontrado recientemente con este malware. Damos nuestro análisis completo, sus resultados y conclusiones a continuación.

Detección


Uno de nuestros clientes se contactó con nosotros después de encontrarse con un nuevo tipo de ransomware ransomware que agregó la extensión ".SaveTheQueen" a los nuevos archivos cifrados en su entorno.

Durante nuestra investigación, o más bien, en la etapa de búsqueda de fuentes de infección, encontramos que la distribución y el seguimiento de las víctimas infectadas se llevó a cabo utilizando la carpeta de red SYSVOL en el controlador de dominio del cliente.

SYSVOL es la carpeta de claves para cada controlador de dominio utilizado para entregar Objetos de directiva de grupo (GPO) y scripts de inicio y cierre de sesión en equipos de dominio. El contenido de esta carpeta se replica entre los controladores de dominio para sincronizar estos datos en los sitios de la organización. Escribir en SYSVOL requiere altos privilegios de dominio, sin embargo, después de verse comprometido, este activo se convierte en una herramienta poderosa para los atacantes que pueden usarlo para distribuir de manera rápida y eficiente la carga maliciosa en el dominio.

La cadena de auditoría Varonis ha ayudado a identificar rápidamente lo siguiente:

  • La cuenta de usuario infectada creó un archivo llamado "por hora" en SYSVOL
  • Se crearon muchos archivos de registro en SYSVOL, cada uno con un nombre de dispositivo de dominio
  • Muchas direcciones IP diferentes accedieron al archivo por hora.

Llegamos a la conclusión de que los archivos de registro se utilizaron para rastrear el proceso de infección en nuevos dispositivos, y que "cada hora" es una tarea programada que ejecuta una carga maliciosa en nuevos dispositivos utilizando el script Powershell: muestras "v3" y "v4".

El atacante probablemente obtuvo y usó privilegios de administrador de dominio para escribir archivos en SYSVOL. En los nodos infectados, el atacante lanzó el código de PowerShell, que creó una tarea programada para abrir, descifrar y lanzar malware.

Descifrado


Probamos varios métodos para decodificar las muestras en vano:



estábamos casi listos para rendirnos cuando decidimos probar el método "Mágico" de la magnífica
utilidad Cyberchef de GCHQ. "Magic" intenta adivinar el cifrado del archivo, utilizando la enumeración de contraseñas para diferentes tipos de cifrado y midiendo la entropía.

Nota del traductor
. . , ,



"Magic" determinó que se utilizó un empaquetador GZip codificado en base64, gracias al cual pudimos descomprimir el archivo y encontrar el código para la implementación: "inyector".



Cuentagotas: “¡Hay una epidemia en el área! Vacunas a media inyección. Enfermedad de pies y boca


El cuentagotas era un archivo .NET normal sin ninguna protección. Después de leer el código fuente usando DNSpy, nos dimos cuenta de que su único propósito era inyectar shellcode en el proceso winlogon.exe.





Shellcode o dificultades simples


Utilizamos la herramienta de autoría Hexacorn - shellcode2exe para "compilar" el código de shell en un archivo ejecutable para su depuración y análisis. Luego descubrimos que funcionaba tanto en máquinas de 32 bits como en máquinas de 64 bits.



Escribir incluso un código shell simple en traducción nativa desde ensamblador puede ser difícil, escribir un código shell completo que se ejecute en ambos tipos de sistemas requiere habilidades de élite, por lo que comenzamos a maravillarnos con la sofisticación del atacante.

Cuando analizamos el shellcode compilado usando x64dbg , notamos que cargaba las bibliotecas dinámicas .NETcomo clr.dll y mscoreei.dll. Esto nos pareció extraño: por lo general, los atacantes intentan hacer que el shellcode sea lo más pequeño posible, llamando a las funciones nativas del sistema operativo en lugar de cargarlas. ¿Por qué alguien necesitaría integrar la funcionalidad de Windows en shellcode en lugar de llamarlo directamente a pedido?

Al final resultó que, el autor del malware no escribió este complejo código de shell en absoluto: la característica de software de esta tarea se utilizó para traducir archivos ejecutables y scripts en código de shell.

Encontramos la herramienta Donut , que nos parecía que podía compilar un shellcode similar. Aquí está su descripción de GitHub:

Donut genera código de shell x86 o x64 a partir de VBScript, JScript, EXE, DLL (incluidos los ensamblados .NET). Este shellcode puede integrarse en cualquier proceso de Windows para su ejecución en
RAM.

Para confirmar nuestra teoría, compilamos nuestro propio código usando Donut, y lo comparamos con una muestra, y ... sí, encontramos otro componente del kit de herramientas utilizado. Después de eso, ya pudimos extraer y analizar el ejecutable .NET original.

Protección del código


Este archivo fue ofuscado con ConfuserEx :





ConfuserEx es un proyecto de código abierto .NET para proteger el código de otros diseños. Esta clase de software permite a los desarrolladores proteger su código de la ingeniería inversa utilizando métodos tales como: reemplazar caracteres, enmascarar el flujo de comandos de control y ocultar el método de referencia. Los autores de malware utilizan ofuscadores para evitar la detección y para dificultar la tarea de ingeniería inversa.

Gracias a ElektroKill Unpacker, desempaquetamos el código:



Línea inferior - carga útil


La carga útil resultante de las transformaciones es un virus ransomware muy simple. No hay mecanismo para garantizar la presencia en el sistema, no hay conexiones al centro de comando, solo el viejo cifrado asimétrico para hacer que estas víctimas sean ilegibles.

La función principal selecciona las siguientes líneas como parámetros:

  • Extensión de archivo para usar después del cifrado (SaveTheQueen)
  • Correo electrónico del autor para poner en el archivo de la nota de rescate
  • Clave pública utilizada para cifrar archivos



El proceso en sí es el siguiente:

  1. El malware escanea las unidades locales y mapeadas en el dispositivo víctima


  2. Busca archivos de encriptación


  3. Intenta terminar un proceso utilizando el archivo que está a punto de cifrar.
  4. Cambia el nombre del archivo a "Source_file_name.SaveTheQueenING" utilizando la función MoveFile y lo cifra
  5. Después de encriptar el archivo con la clave pública del autor, el malware lo renombra nuevamente, ahora en "Original_file_name.SaveTheQueen"
  6. Se está grabando un archivo con una demanda de rescate en la misma carpeta



Basado en el uso de la función nativa CreateDecryptor, una de las funciones de malware parece contener un mecanismo de descifrado que requiere una clave privada como parámetro.

El virus de cifrado NO cifra los archivos almacenados en los directorios:

C: \ windows
C: \ Archivos de programa
C: \ Archivos de programa (x86)
C: \ Users \\ AppData
C: \ inetpub

También NO cifra los siguientes tipos de archivos: EXE, DLL , MSI, ISO, SYS, CAB.

Resumen y conclusiones


A pesar de que el virus ransomware en sí no contenía ninguna función inusual, el atacante usó Active Directory de manera creativa para distribuir el cuentagotas, y el malware mismo nos proporcionó obstáculos interesantes, aunque no complicados, durante el análisis.

Creemos que el autor del malware es:

  1. Escribí un virus ransomware con una implementación incorporada en el proceso winlogon.exe, así como
    la funcionalidad de cifrado y descifrado de archivos
  2. Disfrazó el código malicioso con ConfuserEx, convirtió el resultado con Donut y además ocultó el cuentagotas Gzip base64
  3. Obtuve privilegios elevados en el dominio de la víctima y los usé para copiar
    malware cifrado y tareas programadas en la carpeta de red SYSVOL de los controladores de dominio.
  4. Lanzó un script de PowerShell en dispositivos de dominio para difundir malware y escribir el progreso del ataque en los registros de SYSVOL



Si tiene preguntas acerca de esta versión del virus ransomware, o cualquier otro análisis forense e investigación de incidentes de seguridad de la información por parte de nuestros equipos, contáctenos o solicite una demostración en vivo de la respuesta a los ataques , donde siempre respondemos preguntas durante la sesión de preguntas y respuestas.

More articles:


All Articles