Razr – це дуже руйнівна програма-вимагач, яка компрометує системи, шифруючи файли, фактично роблячи їх недоступними для користувачів. Зазвичай вона поширюється через фішингові електронні листи зі шкідливими вкладеннями або шляхом використання вразливостей у програмному забезпеченні та операційних системах.
Після потрапляння програма-вимагач Razr сканує цінні дані, зокрема документи, зображення та бази даних. Активується шляхом розгортання шкідливого двійкового файлу, який починає шифрувати виявлені файли. Razr уникає шифрування критично важливих для системи файлів, забезпечуючи працездатність операційної системи та дозволяючи атаці тривати довше. Зашифровані файли позначені розширенням «.raz», і шкідливе програмне забезпечення залишає повідомлення з вимогою викупу, часто під назвою «README.txt», щоб надати інструкції щодо отримання ключа розшифровки.
У цій статті демонструється, як за допомогою Wazuh виявити зараження програмою-вимагачем Razr на кінцевій точці з Windows.
Поведінка Razr
Нижче описано поведінку програми-вимагача Razr, коли вона виконується на кінцевій точці Windows:
- Шифрує файли на ураженій системі за допомогою шифрування AES-256 і додає розширення файлу .raz.
- Збирає та передає конфіденційні дані з ураженої кінцевої точки на командно-контрольний сервер (C2).
- Підтримує зв’язок із сервером C2, дозволяючи зловмисникам віддалено надсилати шкідливі команди.
- Ховається в легітимних процесах і кодує свій шкідливий функціонал, щоб приховати свою діяльність.
Аналізований зразок
| Тип | Значення |
| SHA256 | 43C7930EB18C02173F20A087D7CA5C568C0233E8F60225C259605C52E51E3E1E |
| SHA1 | 2D866CC1E92AFC43FE1CE0568CED6637AF1B4315 |
| MD5 | b1d3b35e14ed3d141760dd42e90743f6 |
Інфраструктура
Для демонстрації виявлення програми-вимагача Razr за допомогою Wazuh використовується наступна інфраструктура:
- Попередньо зібрана, готова до використання остання доступна версія Wazuh, яка включає центральні компоненти Wazuh (сервер Wazuh, індексатор Wazuh та дешборд Wazuh). Варто дотримуватись цього посібника, щоб завантажити та налаштувати віртуальну машину Wazuh.
- Кінцева точка з Windows 11 з інстальованим агентом Wazuh та зареєстрованим на сервері Wazuh.
Виявлення за допомогою Wazuh
У цьому розділі продемонстровано, як налаштувати виявлення програми-вимагача Razr за допомогою Wazuh.
Кінцева точка Windows
Використано Sysmon для моніторингу декількох системних подій на кінцевій точці Windows. Слід виконати наступні кроки, щоб налаштувати агента Wazuh на збір і пересилання журналів Sysmon з кінцевої точки Windows на сервер Wazuh для аналізу.
1. Завантажити Sysmon зі сторінки Microsoft Sysinternals.
2. За допомогою PowerShell з правами адміністратора створити папку Sysmon в папці C:\:
> New-Item -ItemType Directory -Path C:\Sysmon3. Розпакуйте вміст стисненого файлу Sysmon до папки C:\Sysmon:
> Expand-Archive -Path "<PATH>\Sysmon.zip" -DestinationPath "C:\Sysmon"Замінити <PATH> директорією, куди було завантажено файл Sysmon.zip.
4. Завантажити файл конфігурації Sysmon – sysmonconfig.xml в папку C:\Sysmon за допомогою команди PowerShell, наведеної нижче:
> wget -Uri https://wazuh.com/resources/blog/emulation-of-attack-techniques-and-detection-with-wazuh/sysmonconfig.xml -OutFile C:\Sysmon\sysmonconfig.xml5. Перейти до каталогу з виконуваним файлом Sysmon і виконати наведену нижче команду, щоб встановити й запустити Sysmon за допомогою PowerShell з правами адміністратора:
> cd C:\Sysmon
> .\Sysmon64.exe -accepteula -i sysmonconfig.xml6. Додайте наступну конфігурацію до блоку <ossec_config> файлу C:\Program Files (x86)\ossec-agent\ossec.conf агента Wazuh:
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>7. Перезапустити агента Wazuh, щоб застосувати зміни конфігурації, виконавши наступну команду PowerShell від імені адміністратора:
> Restart-Service -Name wazuhСервер Wazuh
Створюються користувацькі правила, щоб генерувати сповіщення при виявленні активності програми-вимагача Razr на кінцевій точці Windows. Щоб створити правила виявлення на сервері Wazuh, потрібно виконати наведені нижче дії.
1. Створити файл правил razr_rules.xml у каталозі /var/ossec/etc/rules/ на сервері Wazuh:
# touch /var/ossec/etc/rules/razr_rules.xml2. Додати до файлу /var/ossec/etc/rules/razr_rules.xml наведені нижче кастомні правила для програми-вимагача Razr:
<group name="razr, ransomware, malware">
<!-- Encryption of system files -->
<rule id="111900" level="2">
<if_sid>61613</if_sid>
<field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
<field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*\\\\.*.raz</field>
<description>Razr ransomware executable $(win.eventdata.image) has encrypted the $(win.eventdata.targetFilename) file.</description>
<mitre>
<id>T1486</id>
<id>T1036.005</id>
</mitre>
</rule>
<!-- Encryption of system files -->
<rule id="111901" level="15" timeframe="100" frequency="5" ignore="30">
<if_matched_sid>111900</if_matched_sid>
<description>Multiple files have been encrypted by Razr ransomware $(win.eventdata.image) using the ".raz" extension.</description>
<mitre>
<id>T1486</id>
<id>T1036.005</id>
</mitre>
</rule>
<!-- Ransome note file creation -->
<rule id="111902" level="2">
<if_sid>61613</if_sid>
<field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
<field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*\\\\README.txt</field>
<description>Possible Razr ransomware detected. A ramsomeware note $(win.eventdata.targetFilename) has been created.</description>
<mitre>
<id>T1486</id>
</mitre>
</rule>
<!-- Ransome note file creation -->
<rule id="111903" level="12" timeframe="100" frequency="5" ignore="30">
<if_matched_sid>111902</if_matched_sid>
<description>Possible Razr ransomware detected. Multiple ramsomeware notes (README.txt) have been created by $(win.eventdata.image).</description>
<mitre>
<id>T1486</id>
</mitre>
</rule>
</group>Нижче наведені правила, які спрацьовують під час дій програми-вимагача Razr, та умови їх запуску:
| Правило з ID | Умова спрацьовування |
| 111900 | Спрацьовує, коли програма-вимагач Razr шифрує файл на кінцевій точці, використовуючи розширення .raz. Це правило не відображається на дешборді, оскільки його рівень встановлено на 2, щоб вимкнути його. |
| 111901 | Спрацьовує кожні 30 секунд, коли програма-вимагач Razr шифрує кілька файлів з розширенням .raz. Це правило активується, якщо правило 111900 спрацьовує 5 разів у межах 100 секунд, щоб зменшити обсяг журналів. |
| 111902 | Спрацьовує, коли програма-вимагач Razr створює файл README.txt у будь-якій системній папці. Це правило не відображається на дешборді, оскільки його рівень встановлено на 2, щоб вимкнути його. |
| 111903 | Спрацьовує кожні 30 секунд, коли програма-вимагач Razr створює кілька файлів README.txt. Це правило активується, якщо правило 111902 спрацьовує 5 разів у межах 100 секунд, щоб зменшити обсяг журналів. |
3. Перезапустити менеджер Wazuh, щоб зміни набули чинності:
# systemctl restart wazuh-managerВізуалізація сповіщень на дешборді Wazuh
Наведені нижче сповіщення генеруються на дешборді Wazuh, коли програма-вимагач Razr виконується на кінцевій точці. Щоб переглянути сповіщення, слід виконати наведені нижче дії.
- Перейти до Threat intelligence > Threat Hunting.
- Натиснути + Add filter. Фільтр для rule.groups у полі Field.
- Фільтр для is у полі Operator.
- Фільтр для razr у полі Values.
- Натиснути кнопку Save, щоб увімкнути фільтр.
Захист та видалення програм-вимагачів за допомогою Wazuh
Програми-вимагачі мають властивість виводити заражені кінцеві точки з ладу, що ускладнює їхнє відновлення. На додаток до механізмів захисту що вже існують, рекомендується налаштувати захист перед виконанням за допомогою модуля цілісності файлів Wazuh File Integrity Module (FIM) та інтеграції з VirusTotal або YARA. Цей підхід порівнює хеш завантаженого файлу з популярними базами даних розвідки загроз і запускає сценарій Wazuh Active Response, який намагається видалити шкідливий файл до його виконання.
Для захисту після виконання використовується модуль Wazuh Active Response, який відновлює тіньові копії системних файлів з резервної копії, створеної перед виконанням програми-вимагача.
Щоб налаштувати захист від програм-вимагачів до та після виконання за допомогою Wazuh, слід звернутися до статті в блозі «Захист від програм-вимагачів у Windows за допомогою Wazuh».
Примітка: Для налаштування модуля Active Response у файлі /var/ossec/etc/ossec.conf варто використовувати rule_id, який використовується в правилах виявлення програм-вимагачів Razr.
Висновок
У цій статті продемонстровано, як за допомогою Wazuh виявити програму-вимагач Razr на кінцевій точці Windows. Інтегруючи Sysmon, покращуються журнали подій Windows з ураженої кінцевої точки та створюються правила для виявлення шкідливих дій, пов’язаних з програмою-вимагачем Razr.
Wazuh – це платформа безпеки з відкритим вихідним кодом для виявлення загроз, реагування на інциденти та дотримання нормативних вимог. Вона інтегрується зі сторонніми платформами та має спільноту, що стабільно зростає та надає підтримку користувачам.
