Chanzo: securelist.com – Mwandishi: Cristian Souza, Timofey Ezhov, Eduardo Ovalle, Ashley Muñoz Utangulizi Katika kisa cha jibu la tukio la hivi majuzi, tulishughulikia lahaja la Mimic ransomware na baadhi ya vipengele vya kuvutia vya kubinafsisha. Wavamizi waliweza kuunganisha kupitia RDP kwa seva ya mwathiriwa baada ya shambulio la nguvu la kinyama na kisha kuzindua programu ya kukomboa. Baada ya hapo, adui aliweza kuinua marupurupu yao kwa kutumia hatari ya CVE-2020-1472 (Zerologon). Kibadala kilichotambuliwa kinatumia vibaya maktaba ya Kila kitu na hutoa GUI iliyo rahisi kutumia kwa mvamizi kubinafsisha utendakazi unaofanywa na programu hasidi. Pia ina vipengele vya kulemaza mifumo ya usalama na kuendesha amri za mfumo. Kibadala hiki cha programu ya ukombozi kinaitwa “Elpaco” na kina faili zilizo na viendelezi chini ya jina moja. Katika chapisho hili, tunatoa maelezo kuhusu Elpaco, pamoja na ambayo tayari imeshirikiwa, pamoja na mbinu, mbinu na taratibu (TTPs) zinazotumiwa na washambuliaji. Uchambuzi Kwanza angalia sampuli Uchambuzi wetu ulianza na ukaguzi wa kimsingi wa sampuli. Kwanza, tulithibitisha sifa zake, kama vile aina ya faili, mifuatano na uwezo, kama inavyoonyeshwa kwenye picha hapa chini. Uchanganuzi wa aina ya faili Cha kufurahisha zaidi, programu hasidi ilitumia utaratibu wa kisakinishi cha 7-Zip, kwa hivyo iliainishwa kuwa iliyojaa zana nyingi za uchanganuzi wa programu hasidi na kuibua mashaka kwa kutumia zana za utambuzi. Uchanganuzi wa sifa za faili Uchanganuzi wa Entropy Tulikagua faili kama ZIP na tukagundua kuwa sampuli ilitumia vibaya maktaba ya Kila kitu, mtambo halali wa kutafuta jina la faili ambao hutoa utafutaji wa haraka na masasisho ya wakati halisi kwa kuorodhesha faili katika mifumo ya Windows. Yaliyomo kwenye kumbukumbu ya programu hasidi Vizalia vya programu vilitumia vibaya maktaba hii kwa njia sawa na Mimic ransomware iliyogunduliwa awali na TrendMicro: ilikuwa na programu halali za Kila kitu ( Everything32.dll na Everything.exe) na kumbukumbu iliyolindwa na nenosiri iliyo na malipo hasidi, inayoitwa Everything64.dll. Faili iliyosalia ndani ya kumbukumbu ilikuwa matumizi halali ya 7-Zip kwa kutoa yaliyomo kwenye kumbukumbu hasidi. Mimic ransomware hutafuta faili mahususi kwa kutumia API za Kila kitu, husimba data ya mtumiaji kwa njia fiche, hudai malipo ya fidia, na huonyesha vipengele vya hali ya juu kama vile usimbaji fiche wa nyuzi nyingi ili kuharakisha mashambulizi. Mimic pia huepuka kugunduliwa kwa kuficha msimbo wake, jambo ambalo hufanya iwe vigumu kwa zana za usalama kutambua na kuzuia shambulio hilo. Kwa kuchanganua mifuatano ya Elpaco, tuliweza kutambua amri iliyotumiwa kutoa faili ya Everything64.dll, ikijumuisha nenosiri lake. 2e434 RunProgram=“hidcon:7za.exe x -y -p7183204373585782 Everything64.dll” Amri ya uchimbaji wa 7-Zip Ilipotekelezwa, programu hasidi ilipakua kumbukumbu na kudondosha faili zinazohitajika kwenye %AppData% Saraka ya Mitaa, ndani ya saraka tofauti iliyo na saraka. ilitengeneza UUID bila mpangilio kama jina. C:MtumiajiAppDataLocalBD3FDDDF–6CAF–3EBC–D9CF–C8DF72D8F78A Saraka lengwa la Sampuli ya yaliyomo Yaliyomo kwenye kumbukumbu yanahitajika kwa ajili ya kusimba faili na kutekeleza majukumu ya ziada katika mfumo wa uendeshaji. Muundo wa Elpaco Kwa mfano, jozi ya DC.exe ni zana ya Udhibiti wa Defender ya kuwezesha na kuzima Windows Defender. Inachochewa na sampuli mara tu inapofunguliwa. Programu ya Defender Control (DC.exe) Sampuli pia hudondosha faili inayoitwa session.tmp kwenye saraka sawa lengwa. Huu ni ufunguo wa kikao wa kuanza tena usimbaji fiche ikiwa mchakato hasidi umekatizwa, kama vile mchakato wa kuua. session.tmp faili Hata hivyo, artifact ya kuvutia zaidi ni svhostss.exe, ambayo ni console kuu inayotumiwa na programu hasidi. Inafaa kutaja kuwa jina hili linaiga kwa karibu svchost.exe, mchakato halali wa Windows. Mtindo huu wa kutaja mara nyingi hutumiwa na watendaji tishio kuwachanganya watu wenye uzoefu mdogo wakati wa uchanganuzi wa kumbukumbu. Faili ya svhostss.exe kwa hakika ndiyo binary inayotekeleza maagizo hasidi. Programu hasidi inakuja na GUI chini ya jina gui40.exe, iliyoko kwenye saraka sawa. Huingiliana na kiweko na kuwezesha utendakazi kama vile kubinafsisha sifa za ransomware, kama vile noti ya fidia au saraka/faili zinazoruhusiwa, na kutekeleza vitendo katika mfumo lengwa. DC.exe inaitwa wakati wa kukimbia na svhostss.exe, na amri ya /D inapatikana kwa kulemaza Katika GUI, operator anaweza kuchagua anatoa nzima kwa usimbaji fiche, kufanya sindano ya mchakato kuficha michakato mbaya, kubinafsisha noti ya fidia, kubadilisha usimbaji fiche. kiendelezi, weka mpangilio wa usimbaji fiche kulingana na umbizo halisi la faili, na usijumuishe saraka, faili au umbizo mahususi kwenye usimbaji fiche. Uwekaji mapendeleo wa noti za Ransomware GUI Pia inawezekana kuua michakato fulani iliyobainishwa na opereta na kutekeleza maagizo ya mfumo, yote haya yanafanya tishio hili kubinafsishwa sana. Vigezo vya Ransomware Kuagiza na kusafirisha data Sampuli inaruhusu uagizaji na usafirishaji wa faili za usanidi wa programu hasidi kulingana na vigezo vilivyowekwa na opereta. Kuna violezo kadhaa vilivyojengewa ndani ndani ya programu hasidi kwa opereta kuchagua. Picha hapa chini inaonyesha faili ya usanidi iliyohamishwa; kumbuka kuwa kila usanidi hutanguliwa na nambari inayowakilisha kitambulisho chake. Faili ya usanidi maalum Kiolesura cha kiweko, kinachoendesha kando ya GUI, hukusanya maelezo ya kina kuhusu mfumo, ikiwa ni pamoja na hifadhi na kushiriki faili. Kukusanya taarifa na svhostss.exe Programu hasidi huunda vitufe vifuatavyo vya usajili – kumbuka kuwa faili zote zilizo na kiendelezi chaguomsingi cha .ELPACO-timu huainishwa kama “faili za kuiga” na kusanidiwa ili kufungua noti ya fidia ( Decryption_INFO.txt). HKLMSOFTWAREClasses.ELPACO–timu: “faili mimic” HKLMSOFTWAREClassesmimicfileshellopencommand: “notepad.exe “C:UseruseerAppDataLocalDecryption_INFO.txt“” Pia, vizalia vya programu husanidi ufunguo wa usajili wa Run na utekeleze notio ya kuanza.smxev. HKLMSOFTWAREMicrosoftWindowsCuurrentVersionRunsvhostss: “”C:Data ya MtumiajiAppLocalBD3FDDDF–6CAF–3EBC–D9CF– C8DF72D8F78Asvhostss.exe“” HKLMSOFTWAREMicrosoftWindowsCuurrentVersionRunsvhoststepad.exe: “ “C:UserusserAppDataLocalDecryption_INFO.txt“” Ni vyema kutambua kwamba binary kuu, svhostss.exe, haina ulinzi mkubwa dhidi ya uchanganuzi, kwa hivyo tuliweza kuona kwa urahisi utekelezaji fulani wa amri unaotekelezwa na programu hasidi. Mifuatano ya wakati wa kukimbia Pia tuliweza kupata uagizaji wa kutiliwa shaka wa vitendakazi FindFirstFileW, WriteFile, FindNextFileW na ShellExecuteW. Hizi kwa kawaida hutumika katika sampuli za ransomware kwa upotoshaji wa faili, ilhali ya pili mara nyingi hutumika kuita programu ya nje, kama vile PowerShell, cmd.exe au sehemu ya watu wengine, kwa kufuta programu hasidi. Uagizaji wa kazi Katika kesi ya lahaja za Elpaco na Mimic, hutumia chaguo za kukokotoa za SetSearchW zinazohamishwa kutoka kwa Kila kitu halali cha DLL kutafuta faili za mwathiriwa, kama inavyoonyeshwa kwenye picha hapa chini. Jambo la kufurahisha ni kwamba, hatukugundua chaguo zozote za uchujaji wa data. Chaguo za SetSearchW Kugundua na kukwepa uchanganuzi Kizalia cha programu husimba kwa njia fiche faili za mwathiriwa kwa msimbo wa mtiririko ChaCha20. Ufunguo wa msimbo huu umesimbwa kwa njia fiche kwa algoriti ya usimbaji usiolinganishwa RSA-4096 – bila ufunguo hatukuweza kusimbua faili. Simu ya ChaCha20 Kama inavyoonyeshwa kwenye picha hapa chini, taratibu zote zilizofanywa na programu ya ukombozi wakati wa utekelezaji zimeingia kwenye C:tempMIMIC_LOG.txt. Vizalia vya programu pia hudondosha nakala ya faili muhimu ya session.tmp kwenye saraka sawa ya C:temp. Faili ya MIMIC_LOG.txt Hatua ya mwisho katika utekelezaji wa programu hasidi ni kuita amri ya Del kufuta utekelezo wote, faili za usanidi, DLL, faili za kundi na faili zinazohusiana na hifadhidata katika saraka ya ransomware. Inashangaza, kabla ya kufuta, sampuli hutumia fsutil LOLBin, kama inavyoonyeshwa kwenye picha hapo juu, kufuta faili ya svhostss.exe kwa usalama, bila uwezekano wa kurejesha. Sheria za YARA Kulingana na uchanganuzi wetu wa sampuli, tulitengeneza sheria zifuatazo za YARA za kugundua kidirisha na kiolesura cha kiweko kinachotumiwa na GUI. Sheria zinazingatia aina ya faili, masharti husika na uagizaji wa maktaba. Elpaco dropper: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 sheria ya kuagiza “pe” elpaco_dropper { meta: mwandishi = “Kaspersky – GERT” maelezo = “Sheria ya Yara ya kugundua kidondoshaji cha Elpaco.” target_entity = “faili” strings: $s1 = “-p7183204373585782” wide ascii nocase $s2 = “Everything64.dll” wide ascii nocase $s3 = “ELPACO-team.exe” hali ya nocase pana ya ascii: (2 kati ya ($s*) )) na pe.imports(“SHELL32.dll”, “ShellExecuteW”) na pe.imports(“KERNEL32.dll”, “LoadLibraryA”) } svhostss.exe (kiolesura cha console): 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 2 19 2 kuagiza kanuni ya “pe”. elpaco_console { meta: author = “Kaspersky – GERT” maelezo = “Sheria ya Yara ya kugundua kiweko kikuu cha Elpaco/Mimic.” target_entity = “faili” strings: $s1 = “powershell.exe -ExecutionPolicy Bypass” wide ascii nocase $s2 = “Software\Classes\mimicfile\shell\open\command” nocase pana ya ascii $s3 = “cmd.exe /c DC .exe /D” nocase pana ya ascii $s4 = “MIIC_LOG.txt” pana ascii nocase $s5 = “mimicfile” wide ascii nocase $s6 = “Kila kitu Setup…” wide ascii nocase $s7 = “[*] Hoja ya Kila kitu…” hali ya nocase pana ya ascii: (5 kati ya ($s*)) na pe.imports(“Everything32.dll”, “Everything_SetSearchW”) na pe.imports(“bcrypt.dll”, “BCryptGenRandom”) } Waathiriwa Tulitumia sheria hizi za YARA kwenye vyanzo vya umma kugundua watendaji tishio ambao walikuwa wametumia sampuli ya Elpaco hivi majuzi na Mimic nyingine. lahaja, hasa Marekani, Urusi, Uholanzi, Ujerumani na Ufaransa. Walakini, uwepo wao haukuwa tu kwa nchi hizo, na kesi zaidi ziligunduliwa huko Canada, Romania, Korea Kusini, Uingereza na kadhalika. Nchi 5 bora zinazolengwa na Mimic (pakua) Chati ifuatayo inaonyesha mabadiliko ya kuonekana kwa Mimic kwa mwezi. Mionekano kama hii kwa mwezi, 2024 (pakua) Data iliyokusanywa inaonyesha kuwa vibadala vya Mimic, ikiwa ni pamoja na Elpaco, vimetumiwa na washambuliaji angalau tangu Agosti 2023. Hitimisho Katika tukio hili, tuliona kuwa Elpaco ransomware ni lahaja Mimic ambayo ilitumia vibaya Kila kitu. DLL, ambayo hutumiwa kugundua faili. Vizalia vya programu viliwasilisha kiolesura cha kuvutia cha mtumiaji kwa ajili ya kubinafsisha sifa zake, huku kikiruhusu opereta kusafirisha vigezo kwenye faili ya usanidi. Kwa bahati mbaya, algorithm ya usimbuaji hufanya iwezekane kusimbua faili kwenye mashine iliyoambukizwa bila ufunguo wa kibinafsi, ambayo inafanya tishio hili kuwa ngumu kushughulikia. Kipengele kingine cha Elpaco ni kwamba hujifuta yenyewe baada ya kusimba faili ili kukwepa kugunduliwa na uchanganuzi. Tumeona mashambulizi ya Elpaco na sampuli nyingine za Mimic kwa kiwango kikubwa, yakilenga mataifa mbalimbali duniani kote, na tutaendelea kufuatilia tishio hili. Bidhaa za Kaspersky hutambua tishio lililoelezwa katika makala hii na hukumu zifuatazo: HEUR:Trojan-Ransom.Win32.Generic (dropper). HEUR:Trojan-Ransom.Win32.Mimic.gen ( svhostss.exe). Mbinu, mbinu na taratibu Zifuatazo ni TTP zilizotambuliwa kutokana na uchanganuzi wetu wa programu hasidi. Mbinu ya Mbinu ya Ugunduzi wa Mtandao wa Utambulisho wa Shiriki wa Ugunduzi T1135 Amri ya Utekelezaji na Mkalimani wa Hati: Windows Command Shell T1059.003 Amri ya Utekelezaji na Mkalimani wa Maandishi: PowerShell T1059.001 Data ya Athari Imesimbwa kwa Njia Fiche kwa Athari T1486 Impact Service Impacty18 Stop T148 System Impacty Inhibit9 Recovery Ulinzi wa Mfumo T148 Mbinu ya Kudhibiti Mwinuko Mbaya: Udhibiti wa Akaunti ya Mtumiaji ya Bypass T1548.002 Ukwepaji wa Ulinzi Unajifanya T1036 Ukwepaji wa Ulinzi Rekebisha Usajili T1112 Ukwepaji wa Ulinzi Zima au Rekebisha Mfumo wa Firewall T1562.004 Sindano ya Ukwepaji wa Kinga T1055 Ukwepaji wa Ulinzi Ficha5 Artifgon Otomatiki T1112 Anza Kiotomatiki Kitufe cha Kuzima Vifunguo vya Uendeshaji wa Usajili / Folda ya Kuanzisha T1547.001 Viashiria vya URL ya Chapisho Asilia la Maelewano: https://securelist.com/elpaco-ransomware-a-mimic-variant/114635/Kitengo & Lebo: Maelezo kuhusu programu hasidi, Usimbaji Data, Ukwepaji wa Ulinzi, DLL ,Majibu ya tukio,Maelezo ya Programu hasidi,Teknolojia hasidi,Microsoft Windows,PowerShell,Ransomware,YARA,Windows malware – Maelezo ya programu hasidi,Usimbaji Data,Ukwepaji wa Ulinzi,DLL,Majibu ya matukio,Maelezo ya Malware,Teknolojia hasidi,Microsoft Windows,PowerShell,Ransomware,YARA,Windows malware