Wenn Sie den
Nachrichten folgen, wissen Sie wahrscheinlich von einem neuen groß angelegten Angriff auf russische Unternehmen des Troldesh-Ransomware-Virus (Shade), einem der beliebtesten Kryptolocker unter Cyberkriminellen. Allein im Juni entdeckte Group-IB über 1.100 Phishing-E-Mails von Troldesh, die im Auftrag von Mitarbeitern großer Fluggesellschaften, Autohändler und Medien verschickt wurden.
In diesem Artikel werden wir uns die forensischen Artefakte ansehen, die nach einem Shade / Troldesh-Angriff auf die Medien eines kompromittierten Geräts gefunden werden können, und die von Angreifern verwendeten Taktiken und Techniken mit MITRE ATT & CK vergleichen.
Gepostet von
Oleg Skulkin , führender Forensiker bei Group-IB
Troldesh, auch bekannt als Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, ist ein Virus, der Dateien auf dem infizierten Gerät eines Benutzers verschlüsselt und ein Lösegeld benötigt, um den Zugriff auf Informationen wiederherzustellen. Jüngste Kampagnen mit Troldesh haben gezeigt, dass jetzt nicht nur Dateien, sondern auch Cryptocurrency Miner verschlüsselt und Zugriffe auf Websites generiert werden, um den Verkehr und die Einnahmen aus Online-Werbung zu steigern.
Als Troldeshs Aktivitäten bereits 2015 von Group-IB-Experten entdeckt wurden, stellten sie fest, dass der Virus Antivirenschutz-Tools erfolgreich umgangen hat. Angreifer wechselten regelmäßig den „Packer“ - ein Packerprogramm, das die Dateigröße reduziert und das Erkennen und Umkehren erschwert -, weshalb Antivirenprogramme ihn häufig übersprangen. Bis Ende 2018 wurde Troldesh zu einem der beliebtesten Viren und stieg zusammen mit RTM und Pony souverän in die Top 3 ein. Experten von PaloAlto Networks berichteten, dass Troldesh nicht nur für russische Zwecke arbeitet - unter den von Ransomware betroffenen Ländern sind die USA, Japan, Indien, Thailand und Kanada.
Erstinfektionsvektor
In der Regel wird "Troldesh / Shade" über Phishing-E-Mails mit schädlichen Anhängen verteilt, z. B. passwortgeschützte Archive mit schädlichen JS-Dateien, nachdem der Cryptolocker geöffnet und gestartet wurde. Was bedeutet das? Es wäre eine gute Idee, unsere Studie mit der Analyse der Spuren der Öffnung solcher Archive zu beginnen. Wo sind solche Spuren zu finden? Nun, zum Beispiel in Sprunglisten:
Daten, die mit JLECmd aus der Datei 5f7b5f1e01b83767.automaticDestinations-ms extrahiert wurden
Wir sehen also, dass der Benutzer das Archiv mit dem Namen "Passwort 11.rar über Bestellung" geöffnet hat. Aber wie kam er ins System? Die Datei befindet sich im Download-Verzeichnis, höchstwahrscheinlich wurde sie aus dem Internet heruntergeladen. Werfen wir einen Blick auf den Browserverlauf:
Mit dem Belkasoft Evidence Center aus der Datei WebCache01.dat extrahierte Daten
Wie Sie sehen, wurde die Datei mit dem Microsoft Edge-Webbrowser heruntergeladen und im Download-Verzeichnis gespeichert. Darüber hinaus besuchte der Benutzer unmittelbar vor dem Download die Web-Mail-Site, sodass das Archiv per E-Mail empfangen wurde.
Wir haben es also mit der gängigsten Technik zu tun: T1193 - „Spearphishing Attachment“.
Schutzmechanismen starten und umgehen
Wenn wir in das Archiv schauen, finden wir eine JS-Datei mit einem fast identischen Namen. Damit die Malware geladen wird und funktioniert, muss der Benutzer auf die angegebene Datei doppelklicken. Danach startet "wscript.exe" die JS-Datei, die die schädliche Datei von
mat.tradetoolsfx [.] Com herunterlädt und
ausführt . Können wir irgendwelche Spuren davon auf der Festplatte finden? Natürlich!
Schauen wir uns die Prefetch-Datei wscript.exe an und konzentrieren uns dabei auf die Dateien, mit denen sie interagiert hat:
<...>
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ TEMP \ 7ZO84024637 \ BESTELLDETAILS A.JS.
<...>
Wir haben also zwei interessante Dateien. Erstens kennen wir jetzt den Namen der JS-Datei, die sich im Archiv befand, und zweitens haben wir den Namen der heruntergeladenen Datei herausgefunden. Es ist Zeit herauszufinden, wo es heruntergeladen wurde. Werfen wir noch einmal einen Blick auf WebCache01.dat:
Daten, die mit ESEDatabaseView aus WebCache01.dat abgerufen wurden
Wenn wir den Inhalt des Feldes ResponseHeaders dekodieren, erhalten wir Folgendes:
HTTP / 1.1 200 OK
Inhaltstyp: Bild / JPEG
Inhaltslänge: 1300656
ETag: "5ced19b6-13d8b0"
Strikte Transportsicherheit: Höchstalter = 31536000;
Tatsächlich ist dies keine JPG-Datei, sondern eine ausführbare Datei, die eine Instanz von Shade entschlüsselt und startet.
Mit welchen Techniken beschäftigen wir uns hier? Skripterstellung (T1064), Benutzerausführung (T1204) und Maskierung (T1036).
Systemstift
"Shade" verwendet eine eher triviale Methode zur Fixierung am System - den Registrierungsschlüssel "Software \ Microsoft \ Windows \ CurrentVersion \ Run" (T1060). Wir wissen bereits, dass die schädliche JS-Datei vom Benutzer "0136" geöffnet wurde. Schauen Sie sich also die entsprechende Datei "NTUSER.DAT" an:
Der vom Belkasoft Evidence Center erkannte Verriegelungsmechanismus im System
Aber das ist noch nicht alles! Weiter interessanter:
Der vom Belkasoft Evidence Center erkannte Verriegelungsmechanismus im System
Wie Sie in der Abbildung sehen können, gibt es einen weiteren interessanten Eintrag, der auf C verweist: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. Mal sehen, was in dieser Datei enthalten ist:
echo CreateObject ("Wscript.Shell"). Führen Sie "" ^ & WScript.Arguments (0) ^ & "", 0, False> "% TEMP% / pxNXSB.vbs" && start / WAIT wscript.exe "% TEMP% aus /pxNXSB.vbs "" C: \ Benutzer \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9 TEMP% \ pxNXSB.vbs "
Wir haben also noch eine Datei. Gemessen am Inhalt wird es von Angreifern verwendet, um die ZCash-Kryptowährung abzubauen. Selbst wenn das Opfer das Lösegeld zahlt, werden die Ressourcen ihres Systems dennoch von Eindringlingen genutzt.
Die Folgen
Zuallererst ist „Shade“ ein Krypto-Schließfach. Das erste, was auffällt, sind viele Dateien mit der Erweiterung „CRYPTED000007“, „Read Me“ -Dateien sowie „frische“ Hintergrundbilder auf Ihrem Desktop:
Eine Datei mit diesem Bild befindet sich im Verzeichnis C: \ Benutzer \% Benutzername% \ AppData \ Roaming. Mit welcher Ausrüstung haben wir es zu tun? "Daten für Auswirkungen verschlüsselt" (T1486).
Aber wie Sie bereits verstanden haben, ist „Shade“ kein gewöhnliches Krypto-Schließfach. Neben dem Cryptoclocker selbst haben wir auch einen Miner entdeckt, was bedeutet, dass es sich lohnt, eine andere Technik zu erwähnen - „Resource Hijacking“.
MITRE ATT & CK
Unsere Analyse ergab eine Reihe von Taktiken und Techniken der Shade-Distributoren. Fassen wir zusammen: