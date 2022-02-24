تمت كتابة هذا المقال بإسهام من Anne Jobmann وClaire Zaboeva وRichard Emerson من فريق IBM Security X-Force.
في 24 فبراير من عام 2022، أبلغت شركة Symantec Enterprise عن انتشار برنامج الفدية الضار الذي أُطلق عليه اسم PartyTicket، إلى جانب برنامج HermeticWiper الضار. حصل فريق IBM Security X-Force على عينة من برنامج الفدية الضار PartyTicket وقدم تحليلات تقنية ومؤشرات للاختراق واكتشافات مدرجة ضمن قسم PartyTicket في هذه المدونة.
في 23 فبراير من عام 2022، بدأت مصادر استخبارات المصادر المفتوحة بالإبلاغ عن رصد برنامج مسح بيانات — وهي فصيلة تخريبية من البرامج الضارة مصممة لتدمير بيانات الجهة المستهدفة بشكل دائم — يجري تنفيذها على أنظمة تابعة لمؤسسات أوكرانية. حصلت IBM Security X-Force على عينة من برنامج مسح بيانات المسمى HermeticWiper. وهو يستخدم برنامج تشغيل إدارة الأقسام غير الضار (نسخة من empntdrv.sys) لإجراء قدرات المسح الخاصة به، ما يؤدي إلى إتلاف سجل التمهيد الرئيسي (MBR) لجميع محركات الأقراص المادية المتاحة والتقسيم ونظام الملفات (FAT أو NTFS).
هذا ليس أول برنامج ضار لاحظ فريق X-Force أنه يستهدف المؤسسات الأوكرانية. ففي يناير لعام 2022، حلل فريق X-Force برنامج WhisperGate الضار ولم يجد أي تداخل في الرموز بين WhisperGate وHermeticWiper.
سيتناول منشور المدونة هذا رؤى IBM Security X-Force بالتفصيل حول البرنامج الضار HermeticWiper والتحليل التقني للعينة ومؤشرات الاختراق (IoC) لمساعدة المؤسسات على حماية نفسها من هذا البرنامج الضار.
في يناير من عام 2022، حلل X-Force برنامج WhisperGate الضار. يعد برنامج HermeticWIper الفصيلة التخريبية الثانية المكتشفة حديثًا خلال الشهرين الماضيين والتي تستهدف مؤسسات في أوكرانيا، وأفيد بأنها استهدفت دولاً أخرى في شرق أوروبا. لم يتم تحديد أي تداخل في الرموز بين WhisperGate وConcertWiper.
إن الوتيرة التي يتم بها نشر هذه الفصائل الجديدة من البرامج الضارة التخريبية واكتشافها غير مسبوقة، وهي تؤكد بشكل أكبر على ضرورة امتلاك المؤسسات لإستراتيجية دفاعية نشطة ومبنية على المعرفة، تتجاوز حدود الدفاعات القائمة على التوقيعات.
ومع استمرار تطور الصراع في المنطقة ونظرًا إلى القدرات التدميرية لكل من WhisperGate وHermeticWiper، يوصي فريق IBM Security X-Force بتعزيز الدفاعات في مؤسسات البنية التحتية الحيوية داخل المنطقة المستهدفة. يجب أن تركز تلك المؤسسات على الاستعداد للهجمات المحتملة التي يمكن أن تدمر البيانات أو تشفرها أو تؤثر بشكل كبير في العمليات.
وترى X-Force أن الهجمات السيبرانية التدميرية ستستمر على الأرجح بصفتها أداة يتم استغلالها ضد الأهداف المدنية دعمًا للعمليات الهجينة. بالإضافة إلى ذلك، تعتقد X-Force أنه من المرجح أن تستمر الهجمات السيبرانية في التصاعد والتوسع بالتوازي مع نطاق الصراع الجاري. ومن الجدير بالذكر أن العدد المتزايد من القدرات التدميرية الموجهة ضد الصناعات والكيانات المرتبطة بأوكرانيا وحلفائها المفترضين، من المرجح أن يغير بيئة الأمن السيبراني من خلال خلق تهديد متزايد للتجارة الإقليمية.
يحتوي هذا القسم على النتائج من التحليل الذي تم إرساله للعينات المقدمة. يشمل التحليل النموذجي كلاً من التحليل السلوكي والتحليل الثابت.
يصف التحليل السلوكي سلوك البرنامج الضار الذي لوحظ على النظام أثناء التنفيذ. عادةً ما يتضمن التحليل السلوكي الإجراءات التي يتم تنفيذها على النظام مثل الملفات التي تم إسقاطها واستمرارها والتفاصيل المحيطة بتنفيذ العملية وأي اتصالات C2. ومن الجدير بالذكر أن التحليل السلوكي قد لا يجمع جميع سلوكيات البرامج الضارة الملحوظة، حيث يمكن أن تؤدي البرامج الضارة وظائف معينة فقط في ظروف محددة.
التحليل الثابت هو الغوص العميق في التحليل التقني للبرنامج الضار. عادةً ما يتضمن التحليل الثابت تفاصيل إضافية حول الوظائف أو التشويش أو التعبئة في العين، أو التشفير الذي يستخدمه البرنامج الضار أو معلومات التكوين أو أي تفاصيل تقنية بارزة أخرى.
عند التنفيذ، يُعدِّل برنامج HermeticWiper على الفور امتيازات الرمز المميز للعملية ويُمكِّن SeBackupPrivilege. يمنح هذا البرنامج الضار التحكم في الوصول للقراءة إلى أي ملف، بغض النظر عما هو محدد في قائمة التحكم في الوصول (ACL).
ثم يتحقق بعد ذلك من إصدار نظام التشغيل الخاص بالنظام لمعرفة نسخة إصدار برنامج تشغيل إدارة الأقسام الآمن (EaseUS Partition Manager: epmntdrv.sys) الذي سيستخدمه. يكون برنامج التشغيل في البداية مضغوطًا بتنسيق Microsoft (ضغط SZDD) ومضمّنًا داخل مورد يسمى RCDATA.
بالنسبة إلى نظام التشغيل Windows xp:
لأنظمة Windows 7 والإصدارات الأحدث:
بعد التحقق من الإصدار الذي سيستخدمه، يتم إسقاط برنامج تشغيل إدارة الأقسام الآمن المضغوط SZDD في الدليل التالي كما يلي:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
ثم يقوم بفك ضغط الملف ويضيف “.sys“ كامتداد للملف.
Example: C:\Windows\system32\Drivers\vfdr.sys
ثم يعدل امتيازات رمز العملية الخاص به مرة أخرى لتمكين SeLoadDriverPrivilege. يُمكّن هذا الرمز المميز عملية HermeticWiper من امتلاك القدرة على تحميل برامج تشغيل الأجهزة وإلغاء تحميلها.
بعد ذلك، يقوم بتعطيل عمليات تفريغ الأعطال عن طريق تعديل مفتاح التسجيل التالي:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
لاحظ أن عمليات تفريغ الأعطال هي عمليات تفريغ للذاكرة تحتوي على معلومات حول سبب توقف النظام بشكل غير متوقع. مع تعطيل هذا الخيار، سيتم منع النظام من إنشاء أي ملفات تفريغ ذاكرة، وبذلك تنجح البرمجية في تغطية آثارها.
كما أنه يقوم أيضًا بتعطيل خدمة "وحدة تخزين الظل" (vss) في حالة تمكينها، وتعطيل ShowCompColor وShowInfoTip في كل سجل HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
يعرض الخيار ShowCompColor الملفات المضغوطة والمشفرة NTFS بالألوان، بينما يعرض الخيار ShowInfoTip الأوصاف المنبثقة للمجلدات وعناصر سطح المكتب.
ثم يضيف HermeticWiper برنامج التشغيل الذي تم إنشاؤه كخدمة باستخدام واجهات برمجة تطبيقات Windows ويحمله، مثل OpenSCManagerW() وOpenServiceW() وCreateServiceW() وStartServiceW().
مثال:
يؤدي هذا إلى إنشاء إدخال خدمة في السجل:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
بمجرد بدء تشغيل خدمة برنامج التشغيل الآمن وتحميلها في النظام، تنتقل بعد ذلك إلى تغطية آثارها مرة أخرى عن طريق حذف برنامج التشغيل الذي تم إنشاؤه في %WINDIR%\system32\drivers وحذف الخدمة التي تم إنشاؤها في السجل.
يعدد HermeticWiper نطاقًا يصل إلى 100 محرك أقراص فعلي من خلال التكرار من 0 إلى 100. ويستخدم مدير الأقسام الآمن -الذي تم تحميله الآن في النظام- لإتلاف كل سجلات التمهيد الرئيسية (MBR) لكل محرك أقراص فعلي موجود في النظام.
ولكنه لا يتوقف عند هذا الحد، بل يفسد أيضًا كل الأقسام المتاحة، حتى أنه يدعم نظامي الملفات FAT وNTFS. بالنسبة إلى NTFS، فإنه يفسد أيضًا جدول الملفات الرئيسية (MFT) الذي يحتفظ بجميع المعلومات حول الملف لضمان عدم إمكانية استرداد البيانات.
بمجرد تلف جميع الأقراص، من المفترض أن ينهار النظام تلقائيًا، ولكن من باب الاحتياط، أنشأ HermeticWiper أيضًا مسار انتظار احتياطيًا يطلق أمر إغلاق النظام لإجبار الجهاز المستهدف على إعادة التشغيل.
كشف تحليل عينة برنامج مسح البيانات أنه موقع بشهادة رقمية صادرة لمؤسسة تسمى "Hermetica Digital Ltd" وتم إنشاؤها في 15 أبريل 2021. الشهادة الرقمية هي ملف أو توقيع تشفيري يثبت صحة عنصر ما مثل ملف أو خادم أو مستخدم.
يحتوي HermeticWiper على الشهادة الرقمية التالية:
نظام الملفات:
%WINDIR%\system32\driver\<random_2chars>dr
السجل:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
الخدمة:
اسم الخدمة: <random_2chars>dr
طورت IBM Security X-Force توقيع Yara التالي للكشف عن مثيلات إضافية من HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
تُعد عينة برنامج الفدية الضار المعروفة باسم PartyTicket برنامج فدية ضارًا تم تجميعه بلغة Golang، ويُعتقد أنه تم توزيعه إلى جانب برنامج HermeticWiper الضار الذي يستهدف المؤسسات الأوكرانية.
لا يتضمن برنامج الفدية الضار PartyTicket أي تصعيد للامتيازات وسيتم تنفيذه في سياق المستخدم الحالي. هذا يعني أنه إذا تم تنفيذه بحساب غير مميز، فلن يتم تشفير المجلدات والملفات التي تتطلب امتيازات أعلى.
يضيف برنامج PartyTicket “.[vote2024forjb@protonmail.com].encryptedJB” كامتداد ملف لجميع الملفات التي يقوم بتشفيرها. ويستخدم كلاً من RSA وAES لتشفير الملفات المستهدفة.
كشف التحليل الأولي لبرنامج الفدية الضار عن الإشارة إلى "بايدن" و"البيت الأبيض" ضمن الرمز.
عند التنفيذ، ينشئ برنامج الفدية الضار PartyTicket قائمة بالملفات المراد تشفيرها عن طريق البحث عن جميع محركات الأقراص المتاحة من الألف إلى الياء واجتياز جميع الأدلة باستثناء تلك التي تحتوي على "Windows" و"Program Files".
أثناء اجتياز بنية الدليل، يعدد برنامج الفدية الضار قائمة مستهدفة من الملفات التي تحتوي على الامتدادات التالية:
.acl، .avi، .bat، .bmp، .cab, .cfg، .chm، .cmd، .com، .crt، cs. .dat، .dip، .dll، .doc، .dot، .exe، .gif، .htm، .ico، .iso، .jpg، .mp3، .msi، .odt، .one، .ova، .pdf، .png، .ppt، .pub، .rar، .rtf، .sfx، .sql، .txt، .url، .vdi، .vsd، .wma، .wmv، .wtv، .xls، .xml، .xps، .zip، .docx، .epub، .html، .jpeg، .pptx، .xlsx، .pgsql، .contact، inc
لاحظ أن ملف .exe مضمن في الملف المستهدف للتشفير، ما يشير إلى أن برنامج الفدية الضار سيقوم بتشفير نفسه بعد ذلك.
بمجرد إنشاء القائمة المستهدفة، سينشئ برنامج الفدية الضار نسخة من نفسه مع اسم معرف فريد عالميًا (UUID) لكل ملف داخل القائمة المستهدفة. يتم تنفيذ هذه النسخ مع مهلة زمنية قدرها ثلاثون ثانية كعمليات فرعية لعملية PartyTicket الأصلية، بحيث تكون كل نسخة مسؤولة عن تشفير ملف واحد ضمن قائمة الملفات المستهدفة.
مثال على دورة حياة تنفيذ عملية PartyTicket الفرعية:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-9f9f-000c29fc4fde.exe.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe.exe <target_file_to_encrypt> المهلة /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
نظام الملفات:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
طورت IBM Security X-Force توقيع Yara التالي للمساعدة في تحديد مثيلات برنامج الفدية الضار PartyTicket.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
في الوقت الحالي، توصي X-Force المؤسسات بتنفيذ عمليات الكشف عن نظام الملفات والسجل ومؤشرات خدمة Windows المدرجة في هذا التقرير بالإضافة إلى الاستفادة من قاعدة Yara المتوفرة لفحص الملفات. بالإضافة إلى ذلك، يجب على الشركات العالمية أن تسعى إلى تكوين رؤية دقيقة وشاملة لشبكاتها الخاصة وسلاسل التوريد والأطراف الثالثة والشراكات التي تتخذ من المنطقة مقرًا لها أو التي تقدم خدمات للمؤسسات الإقليمية. كما يُنصح بأن تفتح المؤسسات خطوط اتصال بين الكيانات ذات الصلة التي تتبادل المعلومات لضمان استلام المؤشرات القابلة للتنفيذ وتبادلها.
بالإضافة إلى تدابير الاستجابة المرتبطة بمؤشرات الاختراق، توصي X-Force المؤسسات بالنظر في الإجراءات الاستباقية التالية:
إذا كانت لديك أسئلة وترغب في نقاش أعمق حول البرنامج الضار وتقنيات الوقاية، فيمكنك تحديد موعد لجلسة إحاطة هنا. احصل على آخر التحديثات مع تطور المزيد من المعلومات على منصة IBM Security X-Force Exchange ومدونة IBM PSIRT.
إذا كنت تواجه مشكلات أو حادثة ذات صلة بالأمن السيبراني، فتواصل مع X-Force للحصول على المساعدة.
الخط الساخن للولايات المتحدة 9812-241-888-1
الخط الساخن العالمي 8034-212-312 (001+)
حِّسن برنامج الاستجابة للحوادث الخاص بمؤسستك، وتمكن من تقليل تأثير الاختراق، وجرّب الاستجابة السريعة لحوادث الأمن الإلكتروني.