Get best of the week

Untuk menebus adalah ratu: Varonis menyelidiki ransomware ransomware “SaveTheQueen” yang menyebar cepat



Jenis baru malware dari kelas virus ransomware mengenkripsi file dan menambahkan ekstensi .SaveTheQueen kepada mereka, menyebar melalui folder jaringan sistem SYSVOL pada pengontrol domain Direktori Aktif.

Pelanggan kami baru-baru ini menemukan malware ini. Kami memberikan analisis lengkap kami, hasil dan kesimpulannya di bawah ini.

Deteksi


Salah satu pelanggan kami menghubungi kami setelah mereka menemukan jenis ransomware ransomware baru yang menambahkan ekstensi ".SaveTheQueen" ke file terenkripsi baru di lingkungan mereka.

Selama penyelidikan kami, atau lebih tepatnya, pada tahap mencari sumber infeksi, kami menemukan bahwa distribusi dan pelacakan korban yang terinfeksi dilakukan menggunakan folder jaringan SYSVOL pada pengontrol domain pelanggan.

SYSVOL adalah folder kunci untuk setiap pengontrol domain yang digunakan untuk mengirimkan Group Policy Objects (GPOs) dan skrip login dan logout ke komputer domain. Isi folder ini direplikasi antara pengontrol domain untuk menyinkronkan data ini di situs organisasi. Menulis ke SYSVOL membutuhkan hak domain yang tinggi, namun, setelah dikompromikan, aset ini menjadi alat yang kuat untuk penyerang yang dapat menggunakannya untuk dengan cepat dan efisien menyebarkan beban berbahaya ke seluruh domain.

Rantai audit Varonis telah membantu mengidentifikasi dengan cepat hal-hal berikut:

  • Akun pengguna yang terinfeksi membuat file bernama "setiap jam" di SYSVOL
  • Banyak file log dibuat di SYSVOL - masing-masing diberi nama untuk nama perangkat domain
  • Banyak IP berbeda mengakses file per jam.

Kami menyimpulkan bahwa file log digunakan untuk melacak proses infeksi pada perangkat baru, dan bahwa "setiap jam" adalah tugas terjadwal yang menjalankan beban berbahaya pada perangkat baru menggunakan skrip Powershell - sampel "v3" dan "v4".

Penyerang mungkin memperoleh dan menggunakan hak administrator domain untuk menulis file ke SYSVOL. Pada node yang terinfeksi, penyerang meluncurkan kode PowerShell, yang membuat tugas jadwal untuk membuka, mendekripsi, dan meluncurkan malware.

Dekripsi


Kami mencoba, tetapi tidak berhasil, beberapa cara untuk mendekripsi sampel:



Kami hampir siap untuk menyerah ketika kami memutuskan untuk mencoba metode "Magic" dari
utilitas Cyberchef yang megah oleh GCHQ. "Magic" mencoba menebak enkripsi file, menggunakan enumerasi kata sandi untuk berbagai jenis enkripsi dan mengukur entropi.

Catatan Penerjemah
. . , ,



"Magic" menentukan bahwa paket GZip yang disandikan base64 digunakan, berkat itu kami dapat meng-unzip file dan menemukan kode untuk implementasi - "injector".



Dropper: “Ada epidemi di daerah ini! Vaksinasi setengah suntikan. Penyakit kaki dan mulut


Dropper adalah file .NET biasa tanpa perlindungan apa pun. Setelah membaca kode sumber menggunakan DNSpy, kami menyadari bahwa tujuan utamanya adalah untuk menyuntikkan shellcode ke proses winlogon.exe.





Shellcode atau kesulitan sederhana


Kami menggunakan alat penulis Hexacorn - shellcode2exe untuk "mengkompilasi" kode shell ke file yang dapat dieksekusi untuk debugging dan analisis. Kemudian kami menemukan bahwa itu bekerja pada mesin 32-bit dan 64-bit.



Menulis bahkan shellcode sederhana dalam terjemahan asli dari assembler bisa sulit, menulis shellcode penuh yang berjalan pada kedua jenis sistem membutuhkan keterampilan elit, jadi kami mulai kagum pada kecanggihan penyerang.

Ketika kami mem-parsing shellcode yang dikompilasi menggunakan x64dbg , kami perhatikan bahwa itu memuat pustaka dinamis .NETseperti clr.dll dan mscoreei.dll. Ini terasa aneh bagi kami - biasanya penyerang mencoba membuat shellcode sekecil mungkin, memanggil fungsi asli OS alih-alih memuatnya. Mengapa ada yang perlu menanamkan fungsionalitas Windows di shellcode alih-alih langsung menyebutnya sesuai permintaan?

Ternyata, pembuat malware tidak menulis kode shell yang kompleks ini sama sekali - karakteristik perangkat lunak dari tugas ini digunakan untuk menerjemahkan file dan skrip yang dapat dieksekusi ke dalam kode shell.

Kami menemukan alat Donat , yang bagi kami, bisa mengkompilasi shellcode yang sama. Berikut ini uraiannya dari GitHub:

Donut menghasilkan shellcode x86 atau x64 dari VBScript, JScript, EXE, DLL (termasuk .NET assemblies). Shellcode ini dapat disematkan dalam setiap proses Windows untuk dieksekusi dalam
RAM.

Untuk mengkonfirmasi teori kami, kami menyusun kode kami sendiri menggunakan Donut dan membandingkannya dengan sampel - dan ... ya, kami menemukan komponen lain dari toolkit yang digunakan. Setelah itu, kami sudah dapat mengekstrak dan menganalisis .NET yang asli yang dapat dieksekusi.

Perlindungan kode


File ini dikaburkan dengan ConfuserEx :





ConfuserEx adalah proyek .NET sumber terbuka untuk melindungi kode dari desain lain. Kelas perangkat lunak ini memungkinkan pengembang untuk melindungi kode mereka dari rekayasa balik menggunakan metode seperti: mengganti karakter, menutupi aliran perintah kontrol dan menyembunyikan metode referensi. Penulis malware menggunakan obfuscator untuk menghindari deteksi dan untuk membuat tugas rekayasa balik lebih sulit.

Berkat ElektroKill Unpacker, kami membongkar kode:



Intinya - payload


Payload yang dihasilkan dari transformasi adalah virus ransomware yang sangat sederhana. Tidak ada mekanisme untuk memastikan kehadiran dalam sistem, tidak ada koneksi ke pusat komando - hanya enkripsi asimetris lama yang baik, untuk membuat para korban tidak terbaca.

Fungsi utama memilih baris berikut sebagai parameter:

  • Ekstensi file untuk digunakan setelah enkripsi (SaveTheQueen)
  • Email penulis untuk dimasukkan ke file catatan tebusan
  • Kunci publik digunakan untuk mengenkripsi file



Prosesnya sendiri adalah sebagai berikut:

  1. Malware memindai drive lokal dan yang dipetakan pada perangkat korban


  2. Mencari file enkripsi


  3. Upaya untuk menghentikan proses menggunakan file yang akan dienkripsi.
  4. Mengganti nama file menjadi "Source_file_name.SaveTheQueenING" menggunakan fungsi MoveFile dan mengenkripsi file tersebut
  5. Setelah file dienkripsi dengan kunci publik penulis, malware mengubah nama lagi, sekarang dalam "Original_file_name.SaveTheQueen"
  6. File sedang direkam dengan permintaan tebusan di folder yang sama



Berdasarkan penggunaan fungsi CreateDecryptor asli, salah satu fungsi malware tampaknya berisi mekanisme dekripsi yang memerlukan kunci pribadi sebagai parameter.

Virus enkripsi TIDAK mengenkripsi file yang disimpan dalam direktori:

C: \ windows
C: \ Program Files
C: \ Program Files (x86)
C: \ Users \\ AppData
C: \ inetpub

Ini juga TIDAK mengenkripsi jenis file berikut: EXE, DLL , MSI, ISO, SYS, CAB.

Ringkasan dan Kesimpulan


Terlepas dari kenyataan bahwa virus ransomware itu sendiri tidak mengandung fungsi yang tidak biasa, penyerang secara kreatif menggunakan Active Directory untuk mendistribusikan penetes, dan malware itu sendiri memberi kita hambatan yang menarik, meskipun tidak rumit, selama analisis.

Kami pikir pembuat malware adalah:

  1. Saya menulis virus ransomware dengan implementasi bawaan dalam proses winlogon.exe, serta
    fungsi enkripsi dan dekripsi file
  2. Menyamarkan kode berbahaya menggunakan ConfuserEx, mengubah hasilnya menggunakan Donat dan juga menyembunyikan dropper base64 Gzip
  3. Mendapat hak yang lebih tinggi dalam domain korban dan menggunakannya untuk menyalin
    malware terenkripsi dan tugas terjadwal ke folder jaringan pengontrol domain SYSVOL
  4. Meluncurkan skrip PowerShell pada perangkat domain untuk menyebarkan malware dan menulis progres serangan ke log di SYSVOL



Jika Anda memiliki pertanyaan tentang versi virus ransomware ini, atau forensik lainnya dan investigasi insiden keamanan informasi oleh tim kami, hubungi kami atau minta demonstrasi langsung tanggapan terhadap serangan , di mana kami selalu menjawab pertanyaan selama sesi tanya jawab.

More articles:


All Articles