REvil Ransomware utiliza la descarga lateral de DLL


Este blog fue escrito por Varadharajan Krishnasamy, Karthickkumar, Sakshi Jaiswal

Introducción

Los ataques de ransomware son uno de los ciberataques más comunes entre las organizaciones; debido a un aumento en Ransomware como servicio (RaaS) en el mercado negro. RaaS proporciona ransomware fácilmente disponible a los ciberdelincuentes y es una forma eficaz para que los atacantes implementen una variedad de ransomware en un corto período de tiempo.

Por lo general, RaaS Los desarrolladores de modelos venden o alquilan su sofisticado marco de ransomware en el mercado negro. Después de comprar la licencia al desarrollador del ransomware, los atacantes lo propagan a otros usuarios, los infectan, cifran archivos y exigen un enorme pago de rescate en Bitcoin. Además, hay descuentos disponibles en el mercado negro para marcos de ransomware en los que el dinero del rescate pagado se comparte entre los desarrolladores y el comprador por cada extorsión exitosa de rescate de las víctimas. Estos marcos reducen el tiempo y el esfuerzo de crear un nuevo ransomware desde cero utilizando los lenguajes de programación más recientes y avanzados.

Mal es uno de los mas famosos ransomware como servicio (RaaS) proveedores. El grupo lanzó el ransomware Sodinokibi en 2019, y desde entonces McAfee ha observado que REvil usa una técnica de carga lateral de DLL para ejecutar código de ransomware. El ransomware real es un cuentagotas que contiene dos archivos PE incrustados en la sección de recursos. Después de una ejecución exitosa, coloca dos archivos adicionales llamados MsMpEng.exe y MpSvc.dll en la carpeta temporal. El archivo MsMpEng.exe es un archivo firmado digitalmente de Microsoft que tiene una marca de tiempo de marzo de 2014 (Figura 1).

Figura 1: Imagen del archivo firmado digitalmente de Microsoft

CARGA LATERAL DE DLL

El malware utiliza la carga lateral de DLL para ejecutar el código ransomware. Esta técnica permite al atacante ejecutar archivos DLL maliciosos que falsifican los legítimos. Esta técnica se ha utilizado en muchas APT para evitar la detección. En este ataque, MsMpEng.exe carga las funciones de MpSvc.dll durante el tiempo de ejecución. Sin embargo, el atacante ha reemplazado el MpSvc.dll limpio con el binario ransomware del mismo nombre. El archivo DLL malicioso tiene una función de exportación llamada ServiceCrtMain, que además es llamado y ejecutado por el archivo Microsoft Defender. Esta es una técnica inteligente utilizada por el atacante para ejecutar archivos maliciosos utilizando el binario firmado digitalmente de Microsoft.

Figura-2: Llamando a Efunción xport

ANÁLISIS DE CARGA

El ransomware utiliza el algoritmo RC4 para descifrar el archivo de configuración que tiene toda la información que respalda el proceso de cifrado.

Figura-3: Archivo de configuración REvil

Luego, realiza una verificación del idioma de la interfaz de usuario usando GetSystemDefaultUILanguage / GetUserDefaultUILanguage funciona y lo compara con una lista codificada que contiene el ID de idioma de varios países como se muestra en la imagen de abajo.

Figura 4: Verificación de idioma

Los países excluidos de este ataque de ransomware se mencionan a continuación:

GetUserDefaultUILanguage Nombre del país
0x419 ruso
0x422 Ucraniano
0x423 Bielorruso
0x428 Tayik (cirílico de Tayikistán)
0x42B armenio
0x42C Azerbaiyano (latín de azerbaiyán)
0x437 georgiano
0x43F Kazajo de Kazajstán
0x440 Kirguistán
0x442 Turkmenistán
0x443 Latín de Uzbekistán
0x444 Tártaro de la Federación de Rusia
0x818 Rumano de Moldavia
0x819 Ruso de Moldavia
0x82C Cirílico de Azerbaiyán
0x843 Cirílico de Uzbekistán
0x45A Siríaco
0x281A Cirílico de Serbia

Además, el ransomware comprueba a los usuarios Diseño del teclado y omite la infección de ransomware en la máquina que está presente en la lista de países anterior.

Figura 5: Comprobación de la distribución del teclado

El ransomware crea un mutex global en la máquina infectada para marcar su presencia.

Figura 6: Mutex global

Después de crear el mutex, el ransomware elimina los archivos en la papelera de reciclaje usando el SHEmptyRecycleBinW función para asegurarse de que no se restaure ningún archivo después del cifrado.

Figura 7: Papelera de reciclaje vacía

Luego enumera todos los servicios activos con la ayuda del EnumServicesStatusExW funciona y elimina servicios si el nombre del servicio coincide con la lista presente en el archivo de configuración. La siguiente imagen muestra la lista de servicios comprobados por el ransomware.

Figura 8: Verificación de la lista de servicios

Llama al CreateToolhelp32Snapshot, Proceso32PrimeraW y Proceso32SiguienteW funciones para enumerar los procesos en ejecución y termina los que coinciden con la lista presente en el archivo de configuración. Los siguientes procesos finalizarán.

  • alegro
  • vapor
  • xtop
  • ocssd
  • xfssvccon
  • una nota
  • isqlplussvc
  • msaccess
  • powerpnt
  • canalla
  • sqbcoreservic
  • Thunderbird
  • oráculo
  • infopath
  • dbeng50
  • pro_comm_msg
  • agntsvc
  • el murciélago
  • Firefox
  • ocautoupds
  • winword
  • sincronía
  • tbirdconfig
  • mspub
  • visio
  • sql
  • ocomm
  • orcad
  • mydesktopserv
  • dbsnmp
  • panorama
  • cadencia
  • sobresalir
  • wordpad
  • criollo
  • encsvc
  • mydesktopqos

Luego, encripta archivos usando el algoritmo Salsa20 y usa multihilo para un rápido encriptado de los archivos. Más tarde, el fondo de pantalla se configurará con un mensaje de rescate.

Figura 9: Fondo de escritorio

Finalmente, el ransomware muestra notas de rescate en la máquina de la víctima. A continuación se muestra una imagen de readme.txt que se coloca en la máquina infectada.

Figura-10: Nota de rescate

COI y cobertura

Tipo Valor Nombre de detección Versión del paquete de detección (V3)
Cargador 5a97a50e45e64db41049fd88a75f2dd2 REvil.f 4493
DLL eliminado 78066a1c4e075941272a86d4a8e49471 Injuriar 4493

Las reglas expertas permiten a los clientes de McAfee ampliar su cobertura. Esta regla cubre este comportamiento del ransomware REvil.

INGLETE

ID de técnica Táctica Detalles de la técnica
T1059.003 Ejecución Intérprete de comandos y secuencias de comandos
T1574.002 DLL de carga lateral Flujo de ejecución de secuestro
T1486 Impacto Datos cifrados para impacto
T1036.005 Evasión de defensa Mascarada
T1057 Descubrimiento Descubrimiento de procesos
T1082 Descubrimiento Descubrimiento de información del sistema

Conclusión

McAfee observó que el grupo REvil ha utilizado la vulnerabilidad de lógica web de Oracle (CVE-2019-2725) para difundir el ransomware el año pasado y utilizó aplicación VSA de kaseya recientemente para su ejecución de ransomware, con la ayuda de la descarga de DLL. REvil utiliza muchas aplicaciones de vulnerabilidad para infecciones de ransomware, sin embargo, la técnica de cifrado sigue siendo la misma. McAfee recomienda realizar copias de seguridad periódicas de los archivos y mantenerlos aislados de la red y tener un antivirus siempre actualizado.





Enlace a la noticia original