Вступ
Cynet CyOps здійснює безперервний збір і аналіз даних загроз для захисту клієнтів Cynet. З огляду на війну між росією та Україною, яка має також активні аспекти кібервійни, постійно ведеться моніторинг розвитку подій, інцидентів, публікацій та інших джерел даних, щоб переконатися, що Cynet360 здатний виявляти та запобігати варіантам шкідливого програмного забезпечення, які застосовуються в межах цієї кібервійни.
Cynet виявляє та запобігає таким варіантам, пов’язаним російсько-українською кібервійною:
- HermeticWiper
- HermeticWizard
- HermeticRansom
- IsaacWiper
- WhisperGate
- Gamaredon
- Outsteel
- SaintBot
У цій статті наведено приклади варіантів шкідливого програмного забезпечення (у цьому випадку вайперів), які застосовувала росія, а також спрацювання виявлення Cynet360 під час їх виконання.
HermeticWiper
Було виявлено нову форму шкідливого ПЗ для стирання даних з дисків під назвою “HermeticWiper”. Це деструктивне шкідливе ПЗ є вайпером диска, що націлений на пошкодження MBR, через що користувач втрачає доступ до хоста.
У цьому розділі розглядається загроза HermeticWiper. Також описуються її нові можливості та ланцюг виконання.
Огляд HermeticWiper
HermeticWiper був створений для знищення систем українських організацій шляхом пошкодження фізичних дисків. Автори використовують 32-бітний виконуваний файл з дійсним цифровим підписом компанії “Hermetica Digital Ltd”.
Назва шкідливого ПЗ походить від цифрового підпису Hermetica у поєднанні з його призначенням.
Під час виконання цей вайпер також вимикає служби тіньового копіювання томів, щоб унеможливити відновлення, а також через ключі реєстру на машинах Windows вимикає можливість створення аварійного дампа пам’яті, щоб досягти кінцевої мети – пошкодження MBR.
Ланцюг атаки
Аналіз Hermetic
У цьому розділі буде проаналізовано випадковий зразок шкідливого ПЗ HermeticWiper.
Зразки HermeticWiper щодня завантажуються до MalwareBazaar (abuse.ch):
HermeticWiper є 32-бітним portable executable:
HermeticWiper використовує сертифікат з цифровим підписом “Hermetica Digital Ltd”.
HemeticWiper використовує три функції для “Get Privileges”:
- SeShutDownPrivilege – можливість вимикати систему.
- SeBackupPrivilege – дозволяє отримувати вміст файлів, навіть якщо дескриптор безпеки не надає такого доступу.
- SeLoadDriverPrivilege – завантажує або вивантажує драйвер пристрою.
Частина рядків, які HermeticWiper використовує під час динамічного виконання:
Наведений нижче файл драйвера встановлюється як служба та розміщується в “C:WindowsSystem32drivers[drivername].sys”
Драйвер відповідає за видалення служби, яка була створена раніше.
HermeticWiper використовує легітимне програмне забезпечення, щоб задіяти можливості драйвера для різних дискових функцій (таких як зміна розміру розділів, видалення тощо), і розміщує драйвер у system32, де він буде виконаний як служба, а згодом видалений.
Безпосередньо перед процесом пошкодження MBR HermeticWiper вимикає створення аварійного дампа за допомогою ключа реєстру → “SYSTEMCurrentControlSetControlCrashControl”
Спостереження за журналами procmon під час динамічного виконання показує, як і очікувалося, що значення CrashDumpEnabled було змінено на 0.
Під час динамічного виконання значення ключа реєстру “CrashDumpEnabled” було змінено на 0x0.
Фінальною фазою HermeticWiper є пошкодження диска:
Cynet vs. HermeticWiper
Команда CyOps цілодобово працює над покращенням виявлень шляхом впровадження IOC, шаблонів пам’яті, SSDEEP тощо.
Нижче наведено приклад: випадковий зразок HermeticWiper було виконано в лабораторії Cynet.
Зверніть увагу: в середовищі дію налаштовано лише на сповіщення, щоб не переривати перебіг програми-вимагача. Це дозволяє Cynet виявляти кожен етап атаки.
File Dumped on the Disk: двигун AV/AI Cynet виявляє шкідливий файл, який було скинуто на диск.
Attempt to Run: двигун AV/AI Cynet виявляє шкідливий файл, який було завантажено в пам’ять:
Malicious Binary: Cynet виявляє файл, позначений як шкідливий у вбудованій базі даних threat intelligence модуля EPS (endpoint scanner) Cynet. Ця база містить лише критичні IOC (такі як IOC програм-вимагачів, хакерських інструментів тощо):
Malicious Binary – Process Create Malicious File: це сповіщення спрацьовує, коли Cynet виявляє процес, який створює файл, що або позначений як шкідливий у базі даних threat Intelligence Cynet, або пов’язаний із підозрілими шаблонами (наприклад, завантажений у чутливі директорії).
Threat Intelligence Detection – Malicious Binary – Blacklist: це сповіщення спрацьовує, коли Cynet виявляє файл, позначений як шкідливий у внутрішній базі threat intelligence Cynet:
Cynet vs. HermeticRansom
Malicious Binary: Cynet виявляє файл, позначений як шкідливий у вбудованій базі даних threat intelligence модуля EPS (endpoint scanner) Cynet. Ця база містить лише критичні IOC (такі як IOC програм-вимагачів, хакерських інструментів тощо):
WhisperGate
WhisperGate – це деструктивне шкідливе ПЗ, яке маскується під програму-вимагача, вимагаючи викуп в обмін на відновлення систем. Однак насправді воно затирає MBR машини та змінює файли, повністю знищуючи жорсткий диск.
Огляд WhisperGate
Уперше WhisperGate був зафіксований 13 січня 2022 року Microsoft MSTIC, а його оператори були позначені як DEV-0586. Атака WhisperGate складається з кількох етапів. Хоча вона поводиться як програма-вимагач і вимагає кошти від жертви за доступ до файлів, вона не може скасувати шифрування. Насправді всередині шкідливого ПЗ така можливість відсутня.
Сповіщення з вимогою викупу існує лише для того, щоб приховати деструктивний характер вайпера, імовірно щоб зменшити кількість звинувачень.
WhisperGate використовує легітимний сервіс (Discord) для поширення додаткового корисного навантаження. Це застосовується для обходу блокування з боку фаєрвола або щоб не виглядати підозріло для операторів SOC, які аналізують активність у цей момент.
Ланцюг атаки
Яким саме чином досягається початковий доступ, досі невідомо. Імовірно, WhisperGate використовує атаку на ланцюг постачання.
Шкідливе ПЗ поводиться таким чином:
Етап 1: Перезапис MBR
Спочатку зловмисник перезаписує MBR. Потім, після перезапуску системи, на скомпрометованому хості відображається таке повідомлення:
Кілька важливих моментів:
- WhisperGate використовує той самий Bitcoin-гаманець для всіх скомпрометованих систем.
- Усі постраждалі отримують ту саму суму викупу.
- Для зв’язку доступний лише TOX (захищений чат-сервіс).
- Більшість операторів програми-вимагача надають безкоштовний приклад розшифрування, на відміну від WhisperGate.
Це підсилює гіпотезу про те, що WhisperGate лише маскується під програму-вимагача.
Етап 2: Завантаження корисного навантаження
Цей етап призначений для завантаження. Використовуючи заздалегідь визначену URL-адресу (у цьому векторі було помічено Discord), WhisperGate завантажує та запускає VBS-скрипт, а також додаткові корисні навантаження: AdvancedRun від nirsoft для підвищення привілеїв і другий вайпер для певних типів файлів, визначених у шкідливому ПЗ.
Етап 3: Виконання скрипта
На цьому етапі зловмисник виконує скрипт, виключаючи весь диск C: із механізму виявлення Windows Defender під назвою impair defenses за допомогою команди PowerShell. Корисне навантаження здатне зупинити Windows Defender і навіть видалити з системи папку антивіруса Windows Defender.
Етап 4: Перезапис файлів
На четвертому етапі зловмисник запускає вайпер. Він заздалегідь налаштований на перезапис файлів з метою знищення та додавання випадкового розширення.
Попередньо визначені розширення файлів, які шкідливе ПЗ буде перезаписувати:
Аналіз блокчейну:
Bitcoin-адреса, пов’язана зі шкідливим ПЗ, не мала жодних транзакцій, окрім однієї приблизно на п’ять доларів.
Дата транзакції: 14 січня 2022 року.
Додаткові примітки
Stub корисного навантаження MBR, як видно з аналізу етапу 1:
Завантаження корисного навантаження з Discord на етапі 2:
Схожість з іншою програмою-вимагачем, знайденою в Darknet:
Було виявлено програму-вимагача, яка, схоже, подібна до активності, зафіксованої у WhisperGate.
Записка з вимогою викупу програми-вимагача H3llB0rn:
Слід звернути увагу на подібне використання Bitcoin-адреси та відсутність способів зв’язку, що є нетиповим для активності програм-вимагачів сьогодні.
Cynet vs. WhisperGate
Окрім виявлення всіх етапів, скинутих на диск, Cynet також виявляє шкідливий бінарний файл:
Оскільки WhisperGate змінює MBR, записуючи свій stub у таке місце:
Сповіщення Cynet RAW Disk Write буде активовано через спеціальний механізм, призначений для захисту від змін MBR.
IsaacWiper
IsaacWiper – це третій вайпер, який був ідентифікований як спрямований проти українських організацій.
Він діє подібно до двох раніше виявлених вайперів і пошкоджує системний MBR.
IsaacWiper також заповнює всі диски в системі випадковим вмістом, доки не закінчиться вільний простір.
Огляд IsaacWiper
IsaacWiper є «найпростішою» формою з цієї трійки.
Тоді як WhisperGate використовував Discord як складний C2, а Hermetic використовував хробака і програму-вимагача як окремі частини, IsaacWiper залишається простим, «лише» переписуючи MBR і заповнюючи жорсткі диски випадковими даними до повного заповнення.
Ланцюг атаки
Хоча початковий вектор досі залишається невизначеним, IsaacWiper було знайдено на кінцевій точці, де спостерігалося використання RemCom.
RemCom – це невелика утиліта віддаленої оболонки / заміна telnet (10 КБ, запакована UPX), яка дає змогу запускати процеси у віддалених системах Windows, копіювати файли на віддалені системи, обробляти їхній вивід і передавати його назад.
Cynet vs. IsaacWiper
Окрім виявлення всіх етапів, скинутих на диск, Cynet також виявляє шкідливий бінарний файл:
Висновок
Вайпери – це деструктивні інструменти, що створені з метою завдати шкоди та знищити свою ціль без можливості відновлення.
Вважається, що ці атаки, які з’явилися під час війни між росією та Україною з боку невідомого зловмисника, пов’язані із загрозами рівня національної безпеки.
Є підстави думати, що незабаром з’являться нові спостереження, пов’язані з активністю цього шкідливого ПЗ, особливо з огляду ескалації напруженості під час війни.
Як показано вище, механізми виявлення та запобігання Cynet активно виявляють і пом’якшують атаки численних вайперів.
Крім того, дослідницька група Cynet цілодобово працює над розгортанням нових правил і політик, щоб випереджати такі атаки.
