Get best of the week

रिडीम करने के लिए रानी है: Varonis तेजी से फैलने वाले रैंसमवेयर रैंसमवेयर "SaveTheQueen" की जांच करता है



रैनसमवेयर वायरस वर्ग का एक नया प्रकार का मैलवेयर फ़ाइलों को एन्क्रिप्ट करता है और सक्रिय निर्देशिका डोमेन नियंत्रकों पर SYSVOL सिस्टम नेटवर्क फ़ोल्डर के माध्यम से फैलता है, उन्हें .SaveTheQueen एक्सटेंशन जोड़ता है।

हमारे ग्राहकों ने हाल ही में इस मैलवेयर का सामना किया है। हम अपना पूरा विश्लेषण, इसके परिणाम और निष्कर्ष नीचे देते हैं।

खोज


एक नए प्रकार के रैनसमवेयर रैंसमवेयर के सामने आने के बाद हमारे एक ग्राहक ने हमसे संपर्क किया, जिसने उनके वातावरण में नई एन्क्रिप्टेड फ़ाइलों के लिए ".SaveTheQueen" एक्सटेंशन जोड़ा।

हमारी जांच के दौरान, या बल्कि, संक्रमण के स्रोतों की खोज के चरण में, हमें पता चला कि ग्राहक के डोमेन नियंत्रक पर SYSVOL नेटवर्क फ़ोल्डर का उपयोग करके संक्रमित पीड़ितों का वितरण और ट्रैकिंग किया गया था

SYSVOL समूह नीति ऑब्जेक्ट्स (GPO) वितरित करने और डोमेन कंप्यूटरों में लॉगिन और लॉगआउट स्क्रिप्ट का उपयोग करने के लिए उपयोग किए जाने वाले प्रत्येक डोमेन नियंत्रक के लिए महत्वपूर्ण फ़ोल्डर है। इस फ़ोल्डर की सामग्री को डोमेन नियंत्रकों के बीच संगठन की साइटों पर इस डेटा को सिंक्रनाइज़ करने के लिए दोहराया जाता है। SYSVOL को लिखने के लिए उच्च डोमेन विशेषाधिकारों की आवश्यकता होती है, हालांकि, समझौता किए जाने के बाद, यह संपत्ति हमलावरों के लिए एक शक्तिशाली उपकरण बन जाती है जो इसका उपयोग डोमेन में जल्दी और कुशलता से दुर्भावनापूर्ण भार फैलाने के लिए कर सकते हैं।

वरोनिस ऑडिट चेन ने निम्नलिखित को जल्दी पहचानने में मदद की है:

  • संक्रमित उपयोगकर्ता खाते ने SYSVOL में "प्रति घंटा" नामक एक फ़ाइल बनाई
  • SYSVOL में कई लॉग फाइलें बनाई गईं - प्रत्येक का नाम एक डोमेन डिवाइस के नाम पर रखा गया
  • कई अलग-अलग आईपी ने प्रति घंटा फ़ाइल तक पहुंच बनाई।

हमने निष्कर्ष निकाला कि लॉग फ़ाइलों का उपयोग नए उपकरणों पर संक्रमण प्रक्रिया को ट्रैक करने के लिए किया गया था, और यह कि "प्रति घंटा" एक निर्धारित कार्य है जो पॉवर्सशेल स्क्रिप्ट - नमूने "v3" और "v4" का उपयोग करके नए उपकरणों पर दुर्भावनापूर्ण भार चलाता है।

हमलावर ने संभवतः SYSVOL को फाइल लिखने के लिए डोमेन व्यवस्थापक विशेषाधिकारों को प्राप्त किया और उपयोग किया। संक्रमित नोड्स पर, हमलावर ने पावरशेल कोड लॉन्च किया, जिसने मैलवेयर खोलने, डिक्रिप्ट करने और लॉन्च करने के लिए एक शेड्यूल कार्य बनाया।

डिक्रिप्शन


हमने नमूनों को बिना किसी लाभ के डिक्रिप्ट करने के लिए कई तरीके आज़माए:



जब हम GCHQ
द्वारा शानदार Cyberchef यूटिलिटी की "मैजिक" विधि को आजमाने का फैसला किया, तो हम हार मानने के लिए तैयार थे "मैजिक" फ़ाइल के एन्क्रिप्शन का अनुमान लगाने की कोशिश करता है, विभिन्न प्रकार के एन्क्रिप्शन के लिए पासवर्ड की गणना और एन्ट्रापी को मापने के लिए।

अनुवादक का नोट
. . , ,



"मैजिक" ने निर्धारित किया कि बेस 64 एनकोडेड जीज़िप पैकर का इस्तेमाल किया गया था, जिसकी बदौलत हम फाइल को अनज़िप करने और कार्यान्वयन के लिए कोड खोजने में सक्षम थे - "इंजेक्टर"।



ड्रॉपर: “क्षेत्र में एक महामारी है! आधा शॉट टीकाकरण। पैर और मुंह की बीमारी


ड्रॉपर बिना किसी सुरक्षा के एक नियमित .NET फ़ाइल थी। DNSpy का उपयोग करते हुए स्रोत कोड को पढ़ने के बाद , हमने महसूस किया कि इसका एकमात्र उद्देश्य winlogon.exe प्रक्रिया में शेलकोड को इंजेक्ट करना था।





शेलकोड या साधारण कठिनाइयाँ


- हम Hexacorn ग्रन्थकारिता उपकरण का उपयोग किया shellcode2exe क्रम में "संकलन" खोल कोड के लिए एक निष्पादन योग्य फ़ाइल में डिबगिंग और विश्लेषण के लिए। तब हमने पाया कि इसने 32-बिट और 64-बिट मशीनों पर काम किया।



असेंबलर से देशी अनुवाद में एक सरल शेलकोड लिखना भी मुश्किल हो सकता है, एक पूर्ण शेलकोड लिखना जो दोनों प्रकार के सिस्टम पर चलता है, कुलीन कौशल की आवश्यकता होती है, इसलिए हमने हमलावर के परिष्कार में चमत्कार करना शुरू कर दिया।

जब हमने x64dbg का उपयोग करके संकलित शेलकोड को पार्स किया , तो हमने देखा कि उसने .NET डायनेमिक लाइब्रेरी लोड की हैजैसे clr.dll और mscoreei.dll। यह हमें अजीब लग रहा था - आमतौर पर हमलावर शेलको को यथासंभव छोटा बनाने की कोशिश करते हैं, ओएस के मूल कार्यों को लोड करने के बजाय उन्हें कॉल करते हैं। किसी को सीधे मांग पर कॉल करने के बजाय शेलकोड में विंडोज कार्यक्षमता को एम्बेड करने की आवश्यकता क्यों होगी?

जैसा कि यह पता चला है, मैलवेयर के लेखक ने इस जटिल शेल कोड को बिल्कुल भी नहीं लिखा था - इस कार्य की सॉफ़्टवेयर विशेषता का उपयोग निष्पादन योग्य फ़ाइलों और लिपियों को शेल कोड में अनुवाद करने के लिए किया गया था।

हमें डोनट उपकरण मिला , जो, हमें ऐसा लगता था, एक समान शेलकोड संकलित कर सकता है। यहाँ GitHub से उनका वर्णन है:

डोनट VBScript, JScript, EXE, DLL (.NET असेंबली सहित) से x86 या x64 शेलकोड बनाता है। यह शेलकोड
रैम में निष्पादन के लिए किसी भी विंडोज प्रक्रिया में एम्बेड किया जा सकता है

हमारे सिद्धांत की पुष्टि करने के लिए, हमने डोनट का उपयोग करके अपने स्वयं के कोड को संकलित किया, और इसकी तुलना एक नमूने के साथ की - और ... हाँ, हमने पाया टूलकिट का एक और घटक इस्तेमाल किया। उसके बाद, हम पहले से ही मूल .NET निष्पादन योग्य को निकालने और विश्लेषण करने में सक्षम थे।

कोड सुरक्षा


यह फ़ाइल ConfuserEx के साथ बाधित थी :





ConfuserEx अन्य डिज़ाइनों से कोड को बचाने के लिए एक ओपन सोर्स .NET प्रोजेक्ट है। सॉफ्टवेयर का यह वर्ग डेवलपर्स को अपने कोड को रिवर्स इंजीनियरिंग से ऐसे तरीकों का उपयोग करके संरक्षित करने की अनुमति देता है जैसे: वर्णों को बदलना, नियंत्रण आदेशों के प्रवाह को मास्क करना और संदर्भ विधि को छिपाना। मालवेयर लेखक का पता लगाने से बचने के लिए और रिवर्स इंजीनियरिंग के कार्य को और अधिक कठिन बनाने के लिए ओफ़्फ़सुकेटर्स का उपयोग करते हैं। ElektroKill अनपैकर

के लिए धन्यवाद , हमने कोड को अनपैक किया:



निचला रेखा - पेलोड


परिवर्तनों के परिणामस्वरूप होने वाला पेलोड एक बहुत ही सरल रैंसमवेयर वायरस है। सिस्टम में उपस्थिति सुनिश्चित करने के लिए कोई तंत्र नहीं, कमांड सेंटर के लिए कोई कनेक्शन नहीं - इन पीड़ितों को अपठनीय बनाने के लिए केवल अच्छा पुराना असममित एन्क्रिप्शन।

मुख्य कार्य मापदंडों के रूप में निम्नलिखित पंक्तियों का चयन करता है:

  • एन्क्रिप्शन के बाद उपयोग के लिए फ़ाइल एक्सटेंशन (SaveTheQueen)
  • फिरौती नोट फ़ाइल में डालने के लिए लेखक का ईमेल
  • सार्वजनिक कुंजी का उपयोग फ़ाइलों को एन्क्रिप्ट करने के लिए किया जाता है



प्रक्रिया स्वयं इस प्रकार है:

  1. मैलवेयर पीड़ित डिवाइस पर स्थानीय और मैप किए गए ड्राइव को स्कैन करता है


  2. एन्क्रिप्शन फ़ाइलों के लिए दिखता है


  3. एन्क्रिप्ट करने वाली फ़ाइल का उपयोग करके किसी प्रक्रिया को समाप्त करने का प्रयास।
  4. MoveFile फ़ंक्शन का उपयोग करके फ़ाइल को "Source_file_name.SaveTheQueening" नाम दें और इसे एन्क्रिप्ट करें
  5. फ़ाइल को लेखक की सार्वजनिक कुंजी के साथ एन्क्रिप्ट किए जाने के बाद, मैलवेयर इसे फिर से नाम देता है, अब "Original_file_name.SaveTheQueen" में
  6. उसी फ़ोल्डर में फिरौती की मांग के साथ एक फाइल रिकॉर्ड की जा रही है



मूल CreateDecryptor फ़ंक्शन के उपयोग के आधार पर, मालवेयर फ़ंक्शंस में से एक में एक डिक्रिप्शन मैकेनिज़्म होता है जिसमें पैरामीटर के रूप में एक निजी कुंजी की आवश्यकता होती है।

एन्क्रिप्शन वायरस निर्देशिकाओं में संग्रहीत फ़ाइलों को एन्क्रिप्ट नहीं करता है :

C: \ windows
C: \ Program Files
C: \ Program Files (x86)
C: \ Users \\ AppData
C: \ inetpub

यह भी निम्न फ़ाइल प्रकारों को एन्क्रिप्ट नहीं करता है: EXE, DLL , MSI, ISO, SYS, CAB।

सारांश और निष्कर्ष


इस तथ्य के बावजूद कि रैंसमवेयर वायरस में स्वयं कोई असामान्य कार्य नहीं था, हमलावर ने रचनात्मक रूप से ड्रॉपर वितरित करने के लिए सक्रिय निर्देशिका का उपयोग किया, और मैलवेयर ने हमें दिलचस्प, यद्यपि जटिल नहीं, विश्लेषण के दौरान बाधाएं प्रदान कीं।

हमें लगता है कि मालवेयर का लेखक है:

  1. मैंने winlogon.exe प्रक्रिया में अंतर्निहित कार्यान्वयन के साथ रैंसमवेयर वायरस लिखा, साथ ही
    फ़ाइल एन्क्रिप्शन और डिक्रिप्शन कार्यक्षमता
  2. ConfuserEx का उपयोग करके दुर्भावनापूर्ण कोड को प्रच्छन्न किया, डोनट का उपयोग करके परिणाम को परिवर्तित किया और इसके अलावा बेस 64 Gzip ड्रॉपर को छिपा दिया
  3. पीड़ित के डोमेन में उन्नत विशेषाधिकार प्राप्त किए और उनका उपयोग
    एन्क्रिप्टेड मालवेयर और अनुसूचित कार्यों को डोमेन इंजीनियर्स के SYSVOL नेटवर्क फ़ोल्डर में कॉपी करने के लिए किया।
  4. मैलवेयर फैलाने और SYSVOL में लॉग करने के लिए हमले की प्रगति लिखने के लिए डोमेन उपकरणों पर एक PowerShell स्क्रिप्ट लॉन्च की



यदि आपके पास रैंसमवेयर वायरस के इस संस्करण, या किसी अन्य फोरेंसिक और हमारी टीमों द्वारा सूचना सुरक्षा घटनाओं की जांच के बारे में प्रश्न हैं, तो हमसे संपर्क करें या हमलों के जवाब के लाइव प्रदर्शन का अनुरोध करें , जहां हम हमेशा प्रश्नोत्तर सत्र के दौरान प्रश्नों का उत्तर देते हैं।

More articles:


All Articles