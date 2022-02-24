Este post foi escrito com contribuições de Anne Jobmann, Claire Zaboeva e Richard Emerson, da IBM Security X-Force.
Em 24 de fevereiro de 2022, o Symantec Enterprise relatou que um ransomware conhecido como PartyTicket foi implementado junto com o malware HermeticWiper. A IBM Security X-Force obteve uma amostra do ransomware PartyTicket e forneceu uma análise técnica, indicadores de comprometimento e detecções na seção PartyTicket deste blog.
Em 23 de fevereiro de 2022, fontes de inteligência de código aberto começaram a relatar detecções de um malware wiper — uma família destrutiva de malware projetada para destruir permanentemente os dados do alvo — executando em sistemas pertencentes a organizações ucranianas. A IBM Security X-Force obteve uma amostra do wiper chamado HermeticWiper. Ele usa um gerenciador de partição benigno (uma cópia de empntdrv.sys) para executar seus recursos de limpeza corrompendo o registro mestre de inicialização (MBR), a partição e o sistema de arquivos (FAT ou NTFS) de todas as unidades físicas disponíveis.
Este não é o primeiro malware wiper voltado para organizações ucranianas que o X-Force analisou. Em janeiro de 2022, a X-Force analisou o malwareWhisperGate e não identificou nenhuma sobreposição de código entre o WhisperGate e o HermeticWiper.
Esta postagem do blog detalha os insights do IBM Security X-Force sobre o malware HermeticWiper, a análise técnica da amostra e os indicadores de comprometimento (IoC) para ajudar as organizações a se protegerem contra esse malware.
Em janeiro de 2022, a X-Force analisou o malware WhisperGate. HermeticWIper é a segunda família de malware destrutiva recentemente vista, observada nos últimos dois meses, visando organizações na Ucrânia e, segundo informações, em outros países da Europa Oriental. Nenhuma sobreposição de código foi identificada entre o WhisperGate e o HermeticWiper.
A velocidade com que essas novas famílias de malware destrutivas estão sendo implementadas e descobertas não tem precedentes e destaca ainda mais a necessidade de as organizações terem uma estratégia de defesa ativa e fundamentada que vá além das defesas baseadas em assinaturas.
À medida que o conflito na região continua a evoluir e considerando os recursos destrutivos do WhisperGate e do HermeticWiper, o IBM Security X-Force recomenda que as organizações de infraestrutura crítica dentro da região alvo fortaleçam as defesas. Essas organizações devem concentrar-se na preparação para possíveis ataques que possam destruir ou criptografar os dados ou afetar de forma significativa as operações.
É da opinião da X-Force que ataques cibernéticos destrutivos provavelmente continuarão a ser aproveitados contra alvos civis em apoio a operações híbridas. Além disso, a X-Force acredita que é provável que os ataques cibernéticos continuem aumentando e se expandindo paralelamente ao escopo do conflito em andamento. Deve-se observar que o crescente número de recursos destrutivos focados contra a indústria privada e entidades associadas à Ucrânia e seus aliados percebidos, provavelmente alterarão o ambiente de cibersegurança, criando uma ameaça elevada ao comércio regional.
Essa seção contém os resultados da análise realizada para as amostras enviadas. A análise típica inclui análise comportamental e estática.
A análise comportamental descreve o comportamento do malware observado em um sistema durante a execução. A análise comportamental normalmente inclui ações executadas no sistema, como arquivos descartados, persistência, detalhes sobre a execução do processo e quaisquer comunicações C2. É importante observar que a análise comportamental pode não capturar todo o comportamento notável de malware, pois determinadas funções podem ser executadas apenas pelo malware em condições específicas.
A análise estática é um aprofundamento maior na análise técnica do malware. A análise estática normalmente inclui mais detalhes sobre a funcionalidade, ofuscação ou empacotamento na amostra, criptografia usada pelo malware, informações de configuração ou outros detalhes técnicos notáveis.
Após a execução, o HermeticWiper ajusta imediatamente seus privilégios de token de processo e habilita o SeBackupPrivilege. Isso dá ao malware controle de acesso de leitura para qualquer arquivo, independentemente do que estiver especificado na lista de controle de acesso (ACL).
Em seguida, ele verifica a versão do sistema operacional para saber qual versão é copiada de um driver de gerenciamento de partição benigno (EaseUS Partition Manager: epmntdrv.sys) que ele usará. Inicialmente, o driver é compactado pela Microsoft (compactação SZDD) e incorporado em seus recursos chamados RCDATA.
Para Windows XP:
Para Windows 7 e versões superiores:
Após verificar qual versão será usada, o driver de gerenciamento de partição benigna compactado SZDD é colocado no seguinte diretório:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Em seguida, ele passa a descompactá-lo e adiciona “.sys ” como extensão de arquivo “.sys“.
Example: C:\Windows\system32\Drivers\vfdr.sys
Em seguida, ele ajusta seus privilégios de token de processo novamente para habilitar o SeLoadDriverPrivilege. Esse token permite que o processo de HermeticWiper tenha a capacidade de carregar e descarregar drivers de dispositivo.
Em seguida, ele desativa os crash dumps modificando a seguinte chave de registro:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Observe que os crash dumps são despejos de memória que contêm informações sobre o motivo pelo qual o sistema para inesperadamente. Com esta opção desativada, será impedido que o sistema crie lixeiras, cobrindo assim com sucesso seus rastros.
Ele também desativa o Volume Shadow Service (vss), se ativado, e desativa ShowCompColor e ShowInfoTip em todos os registros HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
A opção ShowCompColor exibe arquivos NTFS compactados e criptografados em cores, enquanto o ShowInfoTip mostra descrições pop-up para itens de pastas e da área de trabalho.
HermeticWiper então prossegue adicionando e carregando o driver criado como um serviço usando APIs do Windows como OpenSCManagerW(), OpenServiceW(), CreateServiceW() e StartServiceW().
Exemplo:
Isso cria uma entrada de serviço no registro:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Depois que o serviço de condutor benigno for iniciado e carregado no sistema, ele passa a cobrir seus rastros mais uma vez, excluindo o condutor criado em %WINDIR%\system32\drivers e excluindo o serviço criado no registro.
O HermeticWiper enumera um intervalo de até 100 unidades físicas em loop de 0 a 100. Ele usa o gerenciador de partição benigno, agora carregado no sistema, para corromper todos os registros mestre de inicialização (MBR) para cada unidade física presente no sistema.
Mas não para por aí, ele também corrompe toda a partição disponível, mesmo suportando os sistemas de arquivos FAT e NTFS. No caso do NTFS, ele também corrompe a Master File Table (MFT), que contém todas as informações sobre o arquivo, para garantir que os dados sejam irrecuperáveis.
Quando todos os discos estiverem corrompidos, o sistema deverá resultados em uma falha, mas, só para garantir, a HermeticWiper também criou uma linha de suspensão à prova de falhas que aciona o desligamento do sistema para forçar a reinicialização do sistema de destino.
A análise da amostra do limpador revelou que ela foi assinada com um certificado digital emitido para uma organização chamada "Hermetica Digital Ltd" e foi criada em 15 de abril de 2021. Um certificado digital é um arquivo ou assinatura criptográfica que comprova a autenticidade de um item, como um arquivo, servidor ou usuário.
O HermeticWiper contém o seguinte certificado digital:
FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRO:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVIÇO:
service name: <random_2chars>dr
O IBM Security X-Force desenvolveu a seguinte assinatura Yara para detectar instâncias adicionais do HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
A amostra de ransomware apelidada de PartyTicket é um ransomware compilado em Golang que se acredita que seja distribuída juntamente com o malware HermeticWiper, que tem como alvo organizações na Ucrânia.
O ransomware PartyTicket não inclui nenhuma escalada de privilégios e será executado dentro do contexto do usuário atual. Isso significa que, se tiver sido executado com uma conta sem privilégios, as pastas e arquivos que exigem privilégios maiores não serão criptografados.
O PartyTicket adiciona “.[vote2024forjb@protonmail.com].encryptedJB” como extensão de arquivo a todos os arquivos que ele criptografa. Ele usa tanto RSA quanto AES para criptografar os arquivos visados.
A análise estática inicial do ransomware revela referências a “Biden” e “Whitehouse” dentro do código.
Após a execução, o ransomware PartyTicket cria uma lista de arquivos para criptografar, verificando todas as unidades disponíveis de A: a Z: e percorrendo todos os diretórios, exceto aqueles que contêm "Windows" e "Arquivos de Programa".
Enquanto atravessa a estrutura de diretórios, o ransomware enumera uma lista de destinos de arquivos contendo as seguintes extensões:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .um, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contato, inc
Observe que a extensão .exe está incluída no arquivo de destino para criptografia, indicando que o ransomware criptografará a si mesmo depois.
Depois que a lista de alvos for criada, o ransomware criará uma cópia de si mesmo com um nome de identificador universalmente exclusivo (UUID) para cada arquivo na lista de alvos. As cópias são executadas com um tempo limite de trinta segundos como filhos do processo PartyTicket original, cada uma responsável por criptografar um arquivo dentro da lista de arquivos de destino.
Exemplo de ciclo de vida de execução de processo secundário do PartyTicket:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
SISTEMA DE ARQUIVOS:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
O IBM Security X-Force desenvolveu a seguinte assinatura Yara para ajudar a identificar instâncias do ransomware PartyTicket.
regra XFTI_PartyTicket : PartyTicket {
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
Neste momento, a X-Force recomenda que as organizações implementem detecções para o sistema de arquivos, registro e indicadores de serviço do Windows listados neste relatório, bem como aproveitem a regra de Yara fornecida para verificar arquivos. Além disso, as empresas globais devem buscar estabelecer um insight sólido sobre suas respectivas redes, cadeias de suprimentos, terceiros e parcerias baseadas ou que atendem instituições regionais. Também é aconselhável que as organizações abram linhas de comunicação entre entidades de compartilhamento de informações relevantes para garantir o recebimento e a troca de indicadores praticáveis.
Além das medidas de resposta associadas aos indicadores de comprometimento, o X-Force recomenda que as organizações considerem as seguintes medidas proativas:
