Для чего вирус криптор

Обновлено: 15.04.2024

WannaCry, NotPetya, BadRabbit и другие — вирусы-шифровальщики, которые гремели на весь мир ещё около года-двух назад. Сегодня об атаках таким типов вирусов шума меньше, но истории с атаками всё равно происходят. В этой статье я покажу один из инструментов для остановки атаки такого вируса: быстро выявить вторжение и локализовать проблему. Всё это при помощи инструмента для лог-аналити и защиты от вторжений Quest InTrust. Под катом скриншоты и ссылка на репозитории вредоносных скриптов. Погнали!

Quest InTrust — это интегрированное решение, которое включает в себя сбор разных типов логов, syslog-данных и готовых парсеров для разного типа оборудования. Здесь же есть предустановленные правила для выполнения действий в целях предотвращения атак. Сейчас подробнее со всем этим разберёмся на примерах разбора атаки вируса-шифровальщика и получения доступа к контроллеру домена

Принцип атаки — создание новых зашифрованных файлов или папок и удаление оригинальных. Ну а дальше запрос выкупа в биткоинах или другим способом. Определение такого типа атаки основано на выявлении массового удаления и создания файлов. Особенно если это происходит во внеурочное время.

Для сбора событий по изменениям мы используем интеграцию с решением для аудита Quest Change Auditor (о нём уже писали в предыдущей статье и даже сравнивали с продуктом от конкурента). Для событий из этого источника в InTrust есть предустановленные правила для выявления аномалий. Конечно, сюда можно добавить любую логику обработки событий. В моём примере определено, что при массовом создании файлов (более 5 штук за 1 минуту) учётная запись пользователя будет блокирована и ему будет запрещён доступ к общим директориям.



После проверки всех настроек, перейдём к заранее заготовленному скрипту-шифровальщику. И запустим его.




Затем выполним заранее заготовленный скрипт. На выходе получаем вывод, в котором находим реквизиты нашего тестового пользователя.


На следующем шаге выясняем в какие группы входит этот пользователь. Группы администраторов присутствуют.


Теперь узнаём имена контроллеров домена. В моём примере он один.


Следующий шаг потенциально возможной атаки — вход на контроллер домена. Остаётся ввести уже засвеченный пароль.


И получить доступ к исполнению любых команд на контроллере домена.



Среди действий, указанных в InTrust, были прерывание сессии терминального доступа и блокировка пользователя. Что и произошло.


Теперь проверим эту учётную запись ещё раз.


Атака предотвращена, пользователь заблокирован, мир спасён.

Если у вас есть свои политики борьбы с вторжениями различных типов — их также можно указать в InTrust. Вместе с другими продуктами Quest (Change Auditor и Enterprise Reporter) на базе InTrust можно построить полноценную SIEM систему для выявления и предотвращения тяжёлых последствий цифровых атак для бизнеса.

InTrust и другие продукты Quest можно попробовать в вашем окружении в рамках пилотного проекта. Оставьте заявку, чтобы узнать подробности.

Вымогатель Ded Cryptor, помимо жадности, примечателен тем, что он основан на EDA2 — шифровальщике с открытым кодом, созданном в “образовательных целях”.

Дед Криптор или История трояна-шифровальщика с открытым кодом

Шифровальщик для всех, даром!

Началось все с того, что турецкий исследователь Утку Сен (Utku Sen) затеял необычный проект — он опубликовал в открытом доступе на ресурсе для совместной разработки GitHub код написанного им самим открытого и бесплатно распространяемого шифровальщика (сейчас, правда, код удален — из-за событий, о которых мы расскажем ниже).

Не самое, скажем так, стандартное решение — подарить злоумышленникам исходники, которые упрощают создание собственных вымогателей. Тем не менее Утку Сен твердо уверен, что для борьбы с киберпреступниками нужно научиться мыслить так, как они, и писать код так, как они. Дескать, тогда индустрия информационной безопасности научится адекватно им противостоять.

И проект Hidden Tear — это как раз попытка Утку Сена мыслить и писать как заправский киберпреступник. По сути, он был создан в образовательных и исследовательских целях. Со временем open-source-шифровальщик усилиями Утку Сена эволюционировал в версию, способную работать без Интернета, а потом на его основе появился более совершенный шифровальщик EDA2.

EDA2 отличался от Hidden Tear более сильным асимметричным шифрованием, а также тем, что умел полноценно работать с сервером команд (C&C) и передавал на него ключ в зашифрованном виде. Ну и тем, что выводил пользователю очень страшную картинку.

EDA2 - шифровальщик с открытым кодом

Исходный код EDA2 Утку Сен также выложил на GitHub. И за это, а также за публикацию исходников Hidden Tear на него вылился здоровенный ушат критики. Понимал ли он, ЧТО он делает? Ведь, по сути, он предоставлял тем злоумышленникам, которые даже программировать толком не умеют, возможность зарабатывать на ни в чем не повинных пользователях.

Создал шифровальщик? Пусть платит выкуп!

Естественно, сторонние шифровальщики на базе Hidden Tear и EDA2 не заставили себя долго ждать. И если с первым троянцем на базе Hidden Tear Утку Сен более-менее успешно разобрался (читай: опубликовал код для расшифровки, а жертвам предстояло этот код найти), то со вторым все вышло куда интереснее и хуже.

Шифровальщик Magic, основанный на EDA2, ничем примечательным не выделялся, и Утку Сен, узнав о его существовании, уже собрался было привычным образом добыть код для расшифровки с помощью бэкдора, как вдруг выяснилось, что добывать код уже неоткуда. Киберпреступники разместили командный сервер на бесплатном хостинге, и, как только хостинг-провайдер получил первую жалобу на вредоносную активность, он просто удалил аккаунт злоумышленников и все их файлы. И возможность добыть ключ — вместе с ними.

История на этом не кончилась. Авторы шифровальщика связались с Утку Сеном, и это переросло в длинную дискуссию, разворачивавшуюся в открытых источниках. Поначалу авторы предлагали опубликовать код для расшифровки взамен на то, что Утку Сен удалит исходный код EDA2 из открытых источников и заплатит им выкуп в размере 3 биткойнов, однако потом они кое-как сошлись на том, что выкуп можно и не платить.

По ходу переговоров всплывали и политические мотивы хакеров, и их якобы жалость к какому-то человеку, у которого Magic зашифровал все фото новорожденного сына, и еще много всего интересного.

В результате Утку Сен таки удалил исходники EDA2 и Hidden Tear с GitHub, но, видимо, несколько поздно, поскольку они успели разойтись весьма широким тиражом. Наш эксперт Йорнт ван дер Виль в своей статье на Securelist от 2 февраля этого года упоминал уже 24 шифровальщика на базе Hidden Tear и EDA2, а с тех пор их число только росло.

Еда для Деда

Одним из таких шифровальщиков и является Ded Cryptor. Основа в нем взята от EDA2, но его командный сервер расположен в сети Tor, поэтому добраться до него так просто не получается. Взаимодействие с C&C-сервером происходит через сервис tor2web, позволяющий пользоваться Tor без Tor-браузера.

Кстати, вышеупомянутый троянец Magic тоже, похоже, разрабатывали русские.

О методах распространения Ded Cryptor почти ничего не известно, а наибольшую активность, по данным Kaspersky Security Network, шифровальщики на основе EDA2 проявляют в России. На втором месте Китай, на третьем — Германия, Вьетнам и Индия.

Дед Криптор или История трояна-шифровальщика с открытым кодом

Kaspersky Internet Security распознает все версии троянцев на базе Hidden Tear и EDA2, детектирует их как Trojan-Ransom.MSIL.Tear и не дает им шифровать файлы.

Ну а Kaspersky Total Security в дополнение к этому позволяет настроить автоматическое резервное копирование — даже если какой-то еще не ведомый никому шифровальщик каким-то образом пролезет на ваш компьютер, вам он будет не страшен, ведь вы всегда сможете восстановить данные из резервных копий.

Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и на этот раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.


Работу Cassandra можно условно разделить на два этапа. На первой стадии загружается вспомогательная библиотека, которая извлекает основную часть криптора из исходного файла. На второй — криптор раскрывает весь свой потенциал.


Первая стадия

Cassandra маскируется под легитимное приложение. В точке входа располагается стандартная для приложений Windows Forms функция запуска.


Конструктор формы также выглядит стандартным, ничем не отличающимся от легитимного приложения.


При детальном анализе был обнаружен вызов функции aaa() , которая содержит вредоносный функционал. Ее вызов приводит к расшифровке и подгрузке вспомогательной dll .


Для расшифровки используется алгоритм AES.


После подгрузки вспомогательной dll вызовется одна из её функций, в результате чего будет получена и запущена вторая стадия криптора.


Вторая стадия содержится в изображении, в зашифрованном виде, в исходной сборке.


Для расшифровки используется операция XOR, ключом для расшифровки являются первые 16 байтов исходного изображения.


В первой стадии злоумышленники практически не используют средства противодействия анализу, отладки и так далее, за исключением обфускации дополнительной библиотеки.

Вторая стадия

Конфигурационный файл

Ключ, который используется на первой стадии расшифровки пейлоада

Поле, содержащее пейлоад в расшифрованном виде

Поле содержащее сырой (не разобранный) конфиг

Поле, содержащее подготовленный конфиг

Поле, содержащее флаг типа инжекта

Поле, содержащее флаг закрепления в системе

Поле, содержащее имя файла после закрепления в системе

Поле, содержащее название мьютекса

Поле, содержащее информацию об использовании загрузчика

Поле, содержащее информацию о пути до загруженного файла

Поле, содержащее ссылку на пейлоад

Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск

Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск строк в пути файла

Поле, содержащее информацию об использовании Fake MessageBox

Текст заголовка Fake MessageBox

Текст Fake MessageBox

Информация о кнопках Fake MessageBox

Информация об иконке Fake MessageBox

Количество секунд, в течение которых приложение будет бездействовать

Функция, осуществляющая разбор конфигурационного файла

Функция, осуществляющая разбор конфигурационного файла

Полезная нагрузка

Полезная нагрузка содержится в крипторе в зашифрованном виде. Расшифровка проходит в два этапа:

1. В цикле осуществляется побайтовый XOR шифрограммы, ключа и значения операции XOR от последнего элемента байта шифрограммы и 112. Полученные значения сохраняются в созданный массив. Ключ для первой стадии содержится в конфигурационном файле.


2. Осуществляется дешифрование, аналогичное тому, что было на первой стадии: используется операция XOR, в качестве ключа используются первые 16 байтов массива, полученного на первом этапе.


Закрепление в системе

Закрепление в системе осуществляется через создание отложенной задачи. Файл копируется в директорию AppData//+”.exe” . После этого исходный файл удаляется и создается задача на выполнение.



Anti-VM

В функции осуществляется поиск виртуальных видеоадаптеров и специфических ключей реестра, свойственных для виртуальных машин.



Anti-Sandbox

Реализованы три функции противодействия песочнице:

Детект изолированной среды. Функция проверяет путь до исполняемого файла и ищет в нём специфические строки, таких как \\VIRUS, SAMPLE, SANDBOX и т.д. Также осуществляется поиск окна, свойственного WindowsJail, и библиотеки SbieDll.dll, загруженной в процесс.

Попытка обхода песочницы по таймауту. Реализована при помощи стандартной процедуры Sleep.

Попытка обхода песочницы по user activity. Реализована при помощи показа Fake MessageBox.

Защита от повторного запуска

Реализована путем создания мьютекса с заданным именем в системе.


Функционал

Downloader

Реализована функция загрузки пейлоада из сети.


Запуск полезной нагрузки

Содержит два варианта запуска пейлоада:


2. Инжект полезной нагрузки в запущенный процесс. Есть возможность выбора из нескольких процессов.


На данный момент Cassandra — достаточно распространенный тип крипторов. Как правило, злоумышленники используют его в массовых рассылках, чтобы незаметно запускать на машине пользователя вредоносное ПО. Cassandra позволяет запускать даже хорошо изученные семейства ВПО.

Откуда пошли вымогатели, как блокировщики превратились в шифровальщиков и почему они так популярны среди киберпреступников?


Первая волна: блокировщики

Вредоносное ПО данного типа оказалось весьма прибыльным и, естественно, приобрело немалую популярность у киберпреступников. Однако у популярности обнаружилась и другая сторона: эта тема довольно быстро привлекла внимание антивирусных экспертов и правоохранительных органов.

В результате преступники получили удар по самому больному месту — по платежным системам, через которые они получали выкуп. Изменив правила регулирования электронных платежей, госорганы смогли испортить жизнь мошенников сразу с двух сторон. Их деятельность стала одновременно менее прибыльной (сложнее извлекать деньги) и более рискованной (многие киберпреступники загремели в тюрьму).

В свою очередь, антивирусные эксперты создали бесплатные утилиты для борьбы с блокировщиками — например, у нас есть Kaspersky WindowsUnlocker. Конечно, программы-вымогатели после этого навсегда не исчезли, но эти меры помогли сдержать первую волну — за последние несколько лет количество заражений не росло.

Вторая волна: шифровальщики

Однако пару лет назад все изменилось. Во-первых, определенную популярность набрали биткойны — электронная платежная система, транзакции в которой крайне сложно отследить и никак невозможно регулировать. Во-вторых, киберпреступники придумали новый подход: вместо того чтобы блокировать доступ к браузеру или операционной системе, они начали шифровать файлы пользователя, хранящиеся на жестком диске.

В отличие от программ, личные файлы уникальны, так что их нельзя заменить, просто переустановив систему. Если же вымогатели используют стойкое шифрование, то и восстановить, то есть расшифровать, их крайне сложно, а нередко и вовсе невозможно. Для преступников это означает, что и выкуп можно брать более существенный: как правило, он составляет несколько сотен долларов для частного лица и несколько тысяч долларов — для организаций.

Некоторое время новое поколение вымогателей серьезно уступало в распространенности старым блокировщикам. Однако преобладание шифровальщиков было лишь вопросом времени: преступники стали массово переключаться на использование зловредов более эффективного типа. И в конце 2015 года количество попыток заражения шифровальщиками повышалось лавинообразно.

История и эволюция программ-вымогателей в цифрах и фактах

По нашим оценкам, полученным на основе данных Kaspersky Security Network, количество атак шифровальщиков выросло за год в 5,5 раза: со 131 111 попыток заражения пользователей наших продуктов в 2014–2015 годах до 718 536 в 2015–2016-м.

География атак и самые активные семейства вымогателей

В десятку стран, в которых пользователи чаще всего сталкиваются с вымогателями, входят Индия, Россия, Казахстан, Италия, Германия, Вьетнам, Алжир, Бразилия, Украина и США. Однако в Индии, Алжире, России, Вьетнаме, Казахстане, на Украине и в Бразилии это в основном старые и не слишком опасные блокировщики. В США почти в 40% случаев пользователей атакуют куда более серьезные вымогатели — шифровальщики. Наконец, в Италии и Германии абсолютное большинство вымогателей сейчас являются опасными шифровальщиками.

История и эволюция программ-вымогателей в цифрах и фактах

Еще один интересный факт: если изначально среди потенциальных жертв программ-вымогателей с большим отрывом лидировали домашние пользователи, то после появления шифровальщиков преступники все чаще обращают внимание и на бизнес: доля корпоративных пользователей среди атакуемых за год выросла вдвое, с 6,8 до 13,13%.

История и эволюция программ-вымогателей в цифрах и фактах

Хотите узнать больше об эволюции троянцев-вымогателей? Читайте полную версию нашего отчета на Securelist.

Читайте также: