Кибервойна между россией и Украиной

Содержание

1. Введение
2. HermeticWiper
   1. Обзор HermeticWiper
   2. Цепь атаки
   3. Анализ Hermetic
   4. Cynet vs. HermeticWiper
   5. Cynet vs. HermeticRansom
3. WhisperGate
   1. Обзор WhisperGate
   2. Цепь атаки
      1. Этап 1: Перезапись MBR
      2. Этап 2: Загрузка полезной нагрузки
      3. Этап 3: Исполнение скрипта
      4. Этап 4: Перезапись файлов
      5. Анализ блокчейна:
   3. Дополнительные заметки
   4. Cynet vs. WhisperGate
4. IsaacWiper
   1. Обзор IsaacWiper
   2. Цепь атаки
   3. Cynet vs. IsaacWiper
5. Вывод

Введение

Cynet CyOps осуществляет непрерывный сбор и анализ данных угроз для защиты клиентов Cynet. Учитывая войну между россией и Украиной, которая также имеет активные аспекты кибервойны, постоянно ведется мониторинг развития событий, инцидентов, публикаций и других источников данных, чтобы убедиться, что Cynet360 способен выявлять и предотвращать варианты вредоносного программного обеспечения, которые применяются в рамках этой кибервойны.

Cynet обнаруживает и предотвращает такие варианты, связанные российско-украинской кибервойной:

• HermeticWiper
• HermeticWizard
• HermeticRansom
• IsaacWiper
• WhisperGate
• Gamaredon
• Outsteel
• SaintBot

В этой статье приводятся примеры вариантов вредоносного программного обеспечения (в этом случае вайперов), которые применяла россия, а также срабатывания обнаружения Cynet360 во время их выполнения.

HermeticWiper

Была обнаружена новая форма вредоносного ПО для стирания данных с дисков под названием “HermeticWiper”. Это деструктивное вредоносное ПО является вайпером диска, нацеленного на повреждение MBR, из-за чего пользователь теряет доступ к хосту.

В этой главе рассматривается угроза HermeticWiper. Также описываются новые возможности и цепь выполнения.

Обзор HermeticWiper

HermeticWiper создан для уничтожения систем украинских организаций путем повреждения физических дисков. Авторы используют 32-битный исполняемый файл с действительной цифровой подписью компании “Hermetica Digital Ltd”.

Название вредоносного ПО происходит от цифровой подписи Hermetica в сочетании с его назначением.

Во время выполнения этот вайпер также отключает службы теневого копирования томов, чтобы избежать восстановления, а также через ключи реестра на машинах Windows отключает возможность создания аварийного дампа памяти, чтобы достичь конечной цели – повреждения MBR.

Цепь атаки

Анализ Hermetic

В этом разделе будет проанализирован случайный образец вредоносного ПО HermeticWiper.

Образцы HermeticWiper ежедневно загружаются в MalwareBazaar (abuse.ch):

HermeticWiper является 32-битным portable executable:

HermeticWiper использует сертификат с цифровой подписью “Hermetica Digital Ltd”.

HermeticWiper использует три функции для “Get Privileges”:

1. SeShutDownPrivilege – возможность отключения системы.
2. SeBackupPrivilege – позволяет получать содержимое файлов, даже если дескриптор безопасности не предоставляет такой доступ.
3. SeLoadDriverPrivilege – загружает или выгружает драйвер устройства.

Часть строчек, используемых HermeticWiper при динамическом исполнении:

Приведенный ниже файл драйвера устанавливается как служба и размещается в “C:WindowsSystem32drivers[drivername].sys”

Драйвер отвечает за удаление ранее созданной службы.

HermeticWiper использует легитимное программное обеспечение, чтобы задействовать возможности драйвера для различных дисковых функций (таких как изменение размера разделов, удаление и т.д.), и размещает драйвер в system32, где он будет выполнен как служба, а затем удален.

Непосредственно перед процессом повреждения MBR HermeticWiper отключает создание аварийного дампа с помощью ключа реестра → “SYSTEMCurrentControlSetControlCrashControl”

Наблюдение за журналами procmon во время динамического исполнения показывает, как ожидалось, что значение CrashDumpEnabled было изменено на 0.

При динамическом выполнении значение ключа реестра “CrashDumpEnabled” было изменено на 0x0.

Финальной фазой HermeticWiper является повреждение диска:

Cynet vs. HermeticWiper

Команда CyOps круглосуточно работает над улучшением обнаружений путем внедрения IOC, шаблонов памяти, SSDEEP и т.д.

Ниже приведен пример: случайный образец HermeticWiper был выполнен в лаборатории Cynet.

Обратите внимание: в среде действие настроено только на оповещения, чтобы не прерывать ход программы-вымогателя. Это позволяет Cynet обнаруживать каждый этап атаки.

File Dumped on the Disk: двигатель AV/AI Cynet обнаруживает вредоносный файл, который был сброшен на диск.

Attempt to Run: двигатель AV/AI Cynet обнаруживает вредоносный файл, который был загружен в память:

Malicious Binary: Cynet обнаруживает файл, обозначенный как вредоносный во встроенной базе данных threat intelligence модуля EPS (endpoint scanner) Cynet. Эта база содержит только критические IOC (такие, как IOC программ-вымогателей, хакерских инструментов и т.п.):

Malicious Binary – Process Create Malicious File: это уведомление срабатывает, когда Cynet обнаруживает процесс, создающий файл, обозначенный как вредоносный в базе данных threat Intelligence Cynet, или связанный с подозрительными шаблонами (например, загруженный в чувствительные директории).

Threat Intelligence Detection – Malicious Binary – Blacklist: это уведомление срабатывает, когда Cynet обнаруживает файл, обозначенный как вредоносный во внутренней базе threat intelligence Cynet:

Cynet vs. HermeticRansom

Malicious Binary: Cynet обнаруживает файл, обозначенный как вредоносный во встроенной базе данных threat intelligence модуля EPS (endpoint scanner) Cynet. Эта база содержит только критические IOC (такие как IOC программ-вымогателей, хакерских инструментов и т.п.):

WhisperGate

WhisperGate – это деструктивное вредоносное ПО, которое маскируется под программу-вымогателя, требуя выкуп в обмен на восстановление систем. Однако на самом деле оно затирает MBR машины и изменяет файлы, полностью уничтожая жесткий диск.

Обзор WhisperGate

Впервые WhisperGate был зафиксирован 13 января 2022 г. Microsoft MSTIC, а его операторы были обозначены как DEV-0586. Атака WhisperGate состоит из нескольких этапов. Хотя она ведет себя как программа-вымогатель и требует средства от жертвы за доступ к файлам, она не может отменить шифрование. На самом деле внутри вредоносного ПО такая возможность отсутствует. Уведомление с требованием выкупа существует только для того, чтобы скрыть деструктивный характер вайпера, вероятно, чтобы уменьшить количество обвинений.

WhisperGate использует легитимный сервис (Discord) для распространения дополнительной полезной нагрузки. Это применяется для обхода блокировки со стороны фаервола или чтобы не выглядеть подозрительно для операторов SOC, анализирующих активность в данный момент.

Цепь атаки

Каким образом достигается начальный доступ, до сих пор неизвестно. Вероятно, WhisperGate использует атаку на цепочку поставок.

Вредоносное ПО ведет себя следующим образом:

Этап 1: Перезапись MBR

Первоначально злоумышленник перезаписывает MBR. Затем, после перезапуска системы, на скомпрометированном хосте отображается следующее сообщение:

Несколько важных моментов:

• WhisperGate использует тот же Bitcoin-кошелек для всех скомпрометированных систем.
• Все пострадавшие получают ту же сумму выкупа.
• Для связи доступен только TOX (защищенный чат-сервис).
• Большинство операторов программы-вымогателя предоставляют бесплатный пример расшифровки, в отличие от WhisperGate.

Это усиливает гипотезу о том, что WhisperGate только маскируется под программу-вымогателя.

Этап 2: Загрузка полезной нагрузки

Этот этап предназначен для скачивания. Используя заранее определенный URL-адрес (в этом векторе был замечен Discord), WhisperGate загружает и запускает VBS-скрипт, а также дополнительные полезные нагрузки: AdvancedRun от nirsoft для повышения привилегий и второй вайпер для определенных типов файлов, определенных во вредоносном ПО.

Этап 3: Исполнение скрипта

На этом этапе злоумышленник исполняет скрипт, исключая весь диск C: из механизма обнаружения Windows Defender под названием impair defenses с помощью команды PowerShell. Полезная нагрузка способна остановить Windows Defender и даже удалить из системы папку антивируса Windows Defender.

Этап 4: Перезапись файлов

На четвёртом этапе злоумышленник запускает вайпер. Он заранее сконфигурирован на перезапись файлов с целью уничтожения и добавления случайного расширения.

Предварительно определенные расширения файлов, которые вредоносное ПО будет перезаписывать:

Анализ блокчейна:

Bitcoin-адрес, связанный с вредоносным ПО, не имел никаких транзакций, кроме одной примерно на пять долларов.

Дата транзакции: 14 января 2022г.

Дополнительные заметки

Stub полезной нагрузки MBR, как видно из анализа этапа 1:

Загрузка полезной нагрузки с Discord на этапе 2:

Сходство с другой программой-вымогателем, найденной в Darknet:

Была обнаружена программа-вымогатель, активность которой подобна активности, зафиксированной в WhisperGate.

Записка с требованием выкупа программы H3llB0rn:

Следует обратить внимание на подобное использование Bitcoin-адреса и отсутствие способов связи, что нетипично для активности программ-вымогателей сегодня.

Cynet vs. WhisperGate

Кроме обнаружения всех этапов, сброшенных на диск, Cynet также обнаруживает вредоносный бинарный файл:

Поскольку WhisperGate изменяет MBR, записывая свой stub в следующее место:

Уведомление Cynet RAW Disk Write будет активировано через специальный механизм, предназначенный для защиты от изменений MBR.

IsaacWiper

IsaacWiper – это третий вайпер, который был идентифицирован как направленный против украинских организаций.

Он действует подобно двум ранее обнаруженным вайперам и повреждает системный MBR.

IsaacWiper также заполняет все диски в системе случайным содержимым, пока не закончится свободное пространство.

Обзор IsaacWiper

IsaacWiper является самой «простой» формой из этой тройки.

В то время как WhisperGate использовал Discord как сложный C2, а Hermetic использовал червя и программу-вымогателя в качестве отдельных частей, IsaacWiper остается простым, «лишь» переписывая MBR и заполняя жесткие диски случайными данными до полного заполнения.

Цепь атаки

Хотя начальный вектор все еще остается неопределенным, IsaacWiper был найден на конечной точке, где наблюдалось использование RemCom.

RemCom – это небольшая утилита удаленной оболочки / замена telnet (10 КБ, упакованная UPX), позволяющая запускать процессы в удаленных системах Windows, копировать файлы на удаленные системы, обрабатывать их вывод и передавать его обратно.

Cynet vs. IsaacWiper

Кроме обнаружения всех этапов, сброшенных на диск, Cynet также обнаруживает вредоносный бинарный файл:

Вывод

Вайперы – это деструктивные инструменты, созданные с целью нанести ущерб и уничтожить свою цель без возможности восстановления.

Считается, что эти атаки, которые появились во время войны между россией и Украиной неизвестным злоумышленником, связаны с угрозами уровня национальной безопасности.

Есть основания полагать, что в скором времени появятся новые наблюдения, связанные с активностью этого вредоносного ПО, особенно с учетом эскалации напряженности во время войны.

Как показано выше, механизмы обнаружения и предотвращения Cynet активно обнаруживают и смягчают атаки многочисленных вайперов.

Кроме того, исследовательская группа Cynet круглосуточно работает над развертыванием новых правил и политик, чтобы опережать такие атаки.