Get best of the week

要赎回女王:Varonis调查了快速传播的勒索软件勒索软件“ SaveTheQueen”



勒索软件病毒类的一种新型恶意软件会加密文件,并向文件添加.SaveTheQueen扩展名,这些扩展名会通过Active Directory域控制器上的SYSVOL系统网络文件夹传播。

我们的客户最近遇到了此恶意软件。我们在下面给出完整的分析,其结果和结论。

检测


我们的一位客户在遇到一种新型勒索软件勒索软件后与我们联系,该勒索软件在其环境中的新加密文件中添加了扩展名“ .SaveTheQueen”。

在我们的调查中,或者更确切地说,在寻找感染源的阶段,我们发现使用客户域控制器上的SYSVOL网络文件夹进行了受感染受害者的分发和跟踪

SYSVOL是用于将组策略对象(GPO)以及登录和注销脚本传递到域计算机的每个域控制器的关键文件夹。此文件夹的内容在域控制器之间复制,以在组织的站点上同步此数据。写入SYSVOL需要高域权限,但是,在受到威胁后,此资产成为攻击者的强大工具,攻击者可以使用它来快速有效地在整个域中分散恶意负载。

Varonis审核链有助于快速识别以下内容:

  • 被感染的用户帐户在SYSVOL中创建了一个名为“每小时”的文件
  • 在SYSVOL中创建了许多日志文件-每个日志文件都以域设备名称命名
  • 许多不同的IP访问小时文件。

我们得出的结论是,日志文件用于跟踪新设备上的感染过程,“每小时”是一项计划任务,该任务使用Powershell脚本在新设备上运行恶意负载-示例“ v3”和“ v4”。

攻击者可能已获得并使用域管理员特权来将文件写入SYSVOL。在受感染的节点上,攻击者启动了PowerShell代码,该代码创建了一个计划任务,用于打开,解密和启动恶意软件。

解密


我们尝试了几种无济于事的方法来解码样本:



当我们决定尝试使用GCHQ的Cyber​​cyf
实用程序的“魔术”方法时,我们几乎准备放弃“魔术”尝试使用密码枚举(用于不同类型的加密)和测量熵来猜测文件的加密。

译者注
. . , ,



“ Magic”确定使用了base64编码的GZip压缩程序,因此,我们能够解压缩文件并找到注入代码-“ injector”。



滴管:“该地区有流行病!半疫苗接种。口蹄疫


删除程序是没有任何保护的常规.NET文件。使用DNSpy阅读源代码后,我们意识到其唯一目的是将shellcode注入winlogon.exe进程。





Shellcode或简单的困难


我们使用Hexacorn创作工具shellcode2exe来将shell代码“编译”为可执行文件以进行调试和分析。然后我们发现它可以在32位和64位计算机上使用。



用汇编程序在本地转换中编写甚至简单的shellcode都可能很困难,编写在两种类型的系统上都可以使用的完整shellcode要求精通技巧,因此我们开始对攻击者的先进性赞叹不已。

当我们使用x64dbg解析编译的shellcode时,我们注意到它加载了.NET动态库例如clr.dll和mscoreei.dll。这对我们来说似乎很奇怪-通常,攻击者试图使Shellcode尽可能小,调用OS的本机功能而不是加载它们。为什么有人需要在shellcode中嵌入Windows功能,而不是直接按需调用它?

事实证明,该恶意软件的作者根本没有编写此复杂的Shell代码-此任务的软件特性用于将可执行文件和脚本转换为Shell代码。

我们发现了Donut工具,在我们看来,它可以编译类似的shellcode。这是他在GitHub上的描述:

Donut从VBScript,JScript,EXE,DLL(包括.NET程序集)生成x86或x64 Shellcode。此Shellcode可以嵌入任何Windows进程中以在
RAM中执行

为了证实我们的理论,我们使用Donut编译了自己的代码,并将其与示例进行了比较-是的,我们找到了所用工具箱的另一个组件。之后,我们已经能够提取和分析原始的.NET可执行文件。

密码保护


ConfuserEx 混淆了该文件





ConfuserEx是一个开源.NET项目,旨在保护代码免受其他设计的侵害。此类软件使开发人员可以使用以下方法来保护其代码免遭逆向工程:替换字符,掩盖控制命令流以及隐藏引用方法。恶意软件作者使用混淆器来避免检测,并使逆向工程更加困难。

感谢ElektroKill Unpacker,我们将代码解压缩:



底线-有效负载


转换产生的有效载荷是一种非常简单的勒索软件病毒。没有机制可以确保系统中的存在,也没有与命令中心的连接-只有良好的旧式非对称加密才能使这些受害者无法读取。

主要功能选择以下几行作为参数:

  • 加密后使用的文件扩展名(SaveTheQueen)
  • 作者的电子邮件以放入赎金记录文件
  • 用于加密文件的公钥



该过程本身如下:

  1. 恶意软件扫描受害设备上的本地和映射驱动器


  2. 寻找加密文件


  3. 尝试使用将要加密的文件来终止进程。
  4. 使用MoveFile函数将文件重命名为“ Source_file_name.SaveTheQueenING”并对其进行加密
  5. 使用作者的公共密钥加密文件后,恶意软件再次将其重命名,现在为“ Original_file_name.SaveTheQueen”
  6. 赎金要求文件记录在同一文件夹中



基于对本机CreateDecryptor函数的使用,恶意软件函数之一似乎包含需要私钥作为参数的解密机制。

加密病毒不会加密存储在目录中的文件:

C:\ windows
C:\ Program Files
C:\ Program Files(x86)
C:\ Users \\ AppData
C:\ inetpub

它也不会加密以下文件类型: EXE,DLL ,MSI,ISO,SYS,CAB。

总结和结论


尽管勒索软件病毒本身不包含任何异常功能,但攻击者还是创造性地使用Active Directory分发了丢弃程序,并且恶意软件本身在分析过程中为我们提供了有趣的障碍,尽管并不复杂。

我们认为该恶意软件的作者是:

  1. 我编写了一个带有winlogon.exe进程中内置实现的勒索软件病毒,以及
    文件加密和解密功能
  2. 使用ConfuserEx伪装恶意代码,使用Donut转换结果,并另外隐藏base64 Gzip插入器
  3. 在受害人的域中获得了特权,并使用它们将
    加密的恶意软件和计划的任务复制到域控制器的SYSVOL网络文件夹中
  4. 在域设备上启动了PowerShell脚本,以传播恶意软件并将攻击进度写入SYSVOL中的日志



如果您对此版本的勒索软件病毒或我们的团队对信息安全事件的任何其他取证和调查有疑问,请与我们联系或要求对攻击做出实时演示,我们将在问答环节中回答所有问题。

More articles:


All Articles