Razr – это очень разрушительная программа-вымогатель, которая компрометирует системы, шифруя файлы, фактически делая их недоступными для пользователей. Обычно он распространяется через фишинговые электронные письма с вредоносными вложениями или путем использования уязвимостей в программном обеспечении и операционных системах.
После внедрения программа-вымогатель Razr сканирует ценные данные, в частности документы, изображения и базы данных. Активируется путем развертывания вредоносного двоичного файла, который начинает шифровать обнаруженные файлы. Razr избегает шифрования критически важных для системы файлов, обеспечивая работоспособность операционной системы и позволяя атаке длиться дольше. Зашифрованные файлы обозначены расширением «.raz», и вредоносное программное обеспечение оставляет сообщение с требованием выкупа, часто под названием «README.txt», чтобы предоставить инструкции по получению ключа расшифровки.
В этой статье демонстрируется, как с помощью Wazuh обнаружить заражение программой-вымогателем Razr на конечной точке с Windows.
Поведение Razr
Ниже описано поведение программы-вымогателя Razr, когда она выполняется на конечной точке Windows:
- Шифрует файлы на пораженной системе с помощью шифрования AES-256 и добавляет расширение файла .raz.
- Собирает и передает конфиденциальные данные с конечной точки на командно-контрольный сервер (C2).
- Поддерживает связь с сервером C2, позволяя злоумышленникам удаленно отправлять вредоносные команды.
- Скрывается в легитимных процессах и кодирует свой вредоносный функционал, чтобы скрыть свою деятельность.
Анализируемый образец
| Тип | Значение |
| SHA256 | 43C7930EB18C02173F20A087D7CA5C568C0233E8F60225C259605C52E51E3E1E |
| SHA1 | 2D866CC1E92AFC43FE1CE0568CED6637AF1B4315 |
| MD5 | b1d3b35e14ed3d141760dd42e90743f6 |
Инфраструктура
Для демонстрации обнаружения программы-вымогателя Razr с помощью Wazuh используется следующая инфраструктура:
- Предварительно собранная, готовая к использованию последняя доступная версия Wazuh, которая включает центральные компоненты Wazuh (сервер Wazuh, индексатор Wazuh и дешборд Wazuh). Следуйте этому руководству, чтобы загрузить и настроить виртуальную машину Wazuh.
- Конечная точка с Windows 11 с установленным агентом Wazuh и зарегистрированным на сервере Wazuh.
Обнаружение с помощью Wazuh
В этом разделе показано, как настроить обнаружение программы-вымогателя Razr с помощью Wazuh.
Конечная точка Windows
Использован Sysmon для мониторинга нескольких системных событий на конечной точке Windows. Следует выполнить следующие шаги, чтобы настроить агента Wazuh на сбор и пересылку журналов Sysmon с конечной точки Windows на сервер Wazuh для анализа.
1. Загрузить Sysmon со страницы Microsoft Sysinternals.
2. С помощью PowerShell с правами администратора создать папку Sysmon в папке C:\:
> New-Item -ItemType Directory -Path C:\Sysmon3. Распакуйте содержимое сжатого файла Sysmon в папку C:\Sysmon:
> Expand-Archive -Path "<PATH>\Sysmon.zip" -DestinationPath "C:\Sysmon"Заменить <PATH> директорией, куда был загружен файл Sysmon.zip.
4. Загрузить файл конфигурации Sysmon – sysmonconfig.xml в папку C:\Sysmon с помощью команды PowerShell, приведенной ниже:
> wget -Uri https://wazuh.com/resources/blog/emulation-of-attack-techniques-and-detection-with-wazuh/sysmonconfig.xml -OutFile C:\Sysmon\sysmonconfig.xml5. Перейти в каталог с исполняемым файлом Sysmon и выполнить приведенную ниже команду, чтобы установить и запустить Sysmon с помощью PowerShell с правами администратора:
> cd C:\Sysmon
> .\Sysmon64.exe -accepteula -i sysmonconfig.xml6. Добавьте следующую конфигурацию в блок <ossec_config> файла C:\Program Files (x86)\ossec-agent\ossec.conf агента Wazuh:
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>7. Перезапустить агента Wazuh, чтобы применить изменения конфигурации, выполнив следующую команду PowerShell от имени администратора:
> Restart-Service -Name wazuhСервер Wazuh
Создаются пользовательские правила, чтобы генерировать оповещения при обнаружении активности программы-вымогателя Razr на конечной точке Windows. Чтобы создать правила обнаружения на сервере Wazuh, нужно выполнить следующие действия.
1. Создать файл правил razr_rules.xml в каталоге /var/ossec/etc/etc/rules/ на сервере Wazuh:
# touch /var/ossec/etc/rules/razr_rules.xml2/ Добавить в файл /var/ossec/etc/rules/razr_rules.xml приведенные ниже кастомные правила для программы-вымогателя Razr:
<group name="razr, ransomware, malware">
<!-- Encryption of system files -->
<rule id="111900" level="2">
<if_sid>61613</if_sid>
<field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
<field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*\\\\.*.raz</field>
<description>Razr ransomware executable $(win.eventdata.image) has encrypted the $(win.eventdata.targetFilename) file.</description>
<mitre>
<id>T1486</id>
<id>T1036.005</id>
</mitre>
</rule>
<!-- Encryption of system files -->
<rule id="111901" level="15" timeframe="100" frequency="5" ignore="30">
<if_matched_sid>111900</if_matched_sid>
<description>Multiple files have been encrypted by Razr ransomware $(win.eventdata.image) using the ".raz" extension.</description>
<mitre>
<id>T1486</id>
<id>T1036.005</id>
</mitre>
</rule>
<!-- Ransome note file creation -->
<rule id="111902" level="2">
<if_sid>61613</if_sid>
<field name="win.eventdata.image" type="pcre2">(?i)[C-Z]:.*\\\\.*.exe</field>
<field name="win.eventdata.targetFilename" type="pcre2">(?i)[C-Z]:.*\\\\README.txt</field>
<description>Possible Razr ransomware detected. A ramsomeware note $(win.eventdata.targetFilename) has been created.</description>
<mitre>
<id>T1486</id>
</mitre>
</rule>
<!-- Ransome note file creation -->
<rule id="111903" level="12" timeframe="100" frequency="5" ignore="30">
<if_matched_sid>111902</if_matched_sid>
<description>Possible Razr ransomware detected. Multiple ramsomeware notes (README.txt) have been created by $(win.eventdata.image).</description>
<mitre>
<id>T1486</id>
</mitre>
</rule>
</group>Ниже приведены правила, которые срабатывают при действиях программы-вымогателя Razr, и условия их запуска:
| Правило c ID | Условие срабатывания |
| 111900 | Срабатывает, когда программа-вымогатель Razr шифрует файл на конечной точке, используя расширение .raz. Это правило не отображается на дешборде, поскольку его уровень установлен на 2, чтобы отключить его. |
| 111901 | Срабатывает каждые 30 секунд, когда программа-вымогатель Razr шифрует несколько файлов с расширением .raz. Это правило активируется, если правило 111900 срабатывает 5 раз в течение 100 секунд, чтобы уменьшить объем журналов. |
| 111902 | Срабатывает, когда программа-вымогатель Razr создает файл README.txt в любой системной папке. Это правило не отображается на дешборде, поскольку его уровень установлен на 2, чтобы отключить его. |
| 111903 | Срабатывает каждые 30 секунд, когда программа-вымогатель Razr создает несколько файлов README.txt. Это правило активируется, если правило 111902 срабатывает 5 раз в течение 100 секунд, чтобы уменьшить объем журналов. |
3. Перезапустить менеджер Wazuh, чтобы изменения вступили в силу:
# systemctl restart wazuh-managerВизуализация уведомлений на дешборде Wazuh
Приведенные ниже уведомления генерируются на дешборде Wazuh, когда приложение-вымогатель Razr выполняется на конечной точке. Чтобы просмотреть уведомления, следует выполнить следующие действия.
- Перейти к Threat intelligence > Threat Hunting.
- Нажать + Add filter. Фильтр для rule.groups в поле Field.
- Фильтр для is в поле Operator.
- Фильтр для razr в поле Values.
- Нажать кнопку Save, чтобы включить фильтр.
Защита и удаление программ-вымогателей с помощью Wazuh
Программы-вымогатели имеют свойство выводить зараженные конечные точки из строя, что затрудняет их восстановление. В дополнение к уже существующим механизмам защиты, рекомендуется настроить защиту перед выполнением с помощью модуля целостности файлов Wazuh File Integrity Module (FIM) и интеграции с VirusTotal или YARA. Этот подход сравнивает хэш загруженного файла с популярными базами данных разведки угроз и запускает сценарий Wazuh Active Response, который пытается удалить вредоносный файл до его выполнения.
Для защиты после выполнения используется модуль Wazuh Active Response, который восстанавливает теневые копии системных файлов из резервной копии, созданной перед выполнением программы-вымогателя.
Примечание: Для настройки модуля Active Response в файле /var/ossec/etc/ossec.conf стоит использовать rule_id, который используется в правилах обнаружения программ-вымогателей Razr.
Заключение
В этой статье продемонстрировано, как с помощью Wazuh обнаружить программу-вымогатель Razr на конечной точке Windows. Интегрируя Sysmon, улучшаются журналы событий Windows с пораженной конечной точки и создаются правила для обнаружения вредоносных действий, связанных с программой-вымогателем Razr.
Wazuh – это платформа безопасности с открытым исходным кодом для обнаружения угроз, реагирования на инциденты и соблюдения нормативных требований. Она интегрируется со сторонними платформами и имеет стабильно растущее сообщество, которое оказывает поддержку пользователям.
