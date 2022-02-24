Dieser Beitrag wurde mit Beiträgen von Anne Jobmann, Claire Zaboeva und Richard Emerson von IBM Security X-Force verfasst.
Am 24. Februar 2022 meldete Symantec Enterprise, dass eine Ransomware namens PartyTicket zusammen mit der Malware HermeticWiper eingesetzt wurde. IBM Security X-Force hat eine Probe der PartyTicket-Ransomware erhalten und technische Analysen, Kompromittierungsindikatoren und Erkennungsmerkmale im Abschnitt „PartyTicket“ dieses Blogs bereitgestellt.
Am 23. Februar 2022 begannen Open-Source-Informationsquellen, über die Entdeckung einer Wiper-Malware zu berichten – einer zerstörerischen Malware-Familie, die darauf ausgelegt ist, Daten vom Zielsystem dauerhaft zu löschen – die auf Systemen ukrainischer Unternehmen ausgeführt wurde. IBM Security X-Force hat eine Probe des Wiper namens HermeticWiper erhalten. Es verwendet einen harmlosen Partitionsmanager-Treiber (eine Kopie von empntdrv.sys), um seine Löschfunktionen auszuführen und den Master Boot Record (MBR), die Partition und das Dateisystem (FAT oder NTFS) aller verfügbaren physischen Laufwerke zu beschädigen.
Dies ist nicht die erste Wiper-Malware, die auf ukrainische Unternehmen abzielt und von X-Force analysiert wurde. Im Januar 2022 analysierte X-Force die WhisperGate-Malware und stellte keine Codeüberschneidungen zwischen WhisperGate und HermeticWiper fest.
Dieser Blogbeitrag enthält detaillierte Informationen von IBM Security X-Force zur HermeticWiper-Malware, eine technische Analyse der Probe sowie Indikatoren für Kompromittierung (IoC), um Unternehmen dabei zu unterstützen, sich vor dieser Malware zu schützen.
Im Januar 2022 analysierte X-Force die WhisperGate-Malware. HermeticWIper ist die zweite neu entdeckte Malware-Familie, die in den letzten zwei Monaten beobachtet wurde und auf Unternehmen in der Ukraine sowie Berichten zufolge auch in anderen osteuropäischen Ländern abzielt. Es wurden keine Code-Überschneidungen zwischen WhisperGate und HermeticWiper festgestellt.
Die Geschwindigkeit, mit der diese neuen, zerstörerischen Malware-Familien eingesetzt und entdeckt werden, ist beispiellos und unterstreicht einmal mehr die Notwendigkeit für Unternehmen, über eine aktive und fundierte Verteidigungsstrategie zu verfügen, die über signaturbasierte Abwehrmaßnahmen hinausgeht.
Angesichts der anhaltenden Konflikte in der Region und der zerstörerischen Fähigkeiten von WhisperGate und HermeticWiper empfiehlt IBM Security X-Force kritischen Infrastruktureinrichtungen in der betroffenen Region, ihre Abwehrmaßnahmen zu verstärken. Diese Unternehmen sollten sich auf mögliche Angriffe vorbereiten, die Daten zerstören oder verschlüsseln oder den Betrieb anderweitig erheblich beeinträchtigen können.
X-Force ist der Ansicht, dass zerstörerische Cyberangriffe wahrscheinlich weiterhin gegen zivile Ziele eingesetzt werden, um hybride Operationen zu unterstützen. Darüber hinaus geht X-Force davon aus, dass Cyberangriffe parallel zum Umfang des anhaltenden Konflikts wahrscheinlich weiter zunehmen und sich ausweiten werden. Es ist zu beachten, dass die zunehmende Anzahl destruktiver Fähigkeiten, die sich gegen die Privatwirtschaft und mit der Ukraine und ihren wahrgenommenen Verbündeten verbundene Einrichtungen richten, wahrscheinlich das Cybersicherheitsumfeld verändern wird, indem sie eine erhöhte Bedrohung für den regionalen Handel schaffen.
Dieser Abschnitt enthält die Ergebnisse der für die abgesendeten Proben durchgeführten Analysen. Eine typische Analyse umfasst sowohl Verhaltens- als auch statische Analysen.
Die Verhaltensanalyse beschreibt das Malware-Verhalten, das während der Ausführung auf einem System beobachtet wird. Die Verhaltensanalyse umfasst in der Regel Aktionen, die auf dem System ausgeführt werden, wie beispielsweise abgelegte Dateien, Persistenz, Details zur Prozessausführung und jegliche C2-Kommunikation. Es ist zu beachten, dass die Verhaltensanalyse möglicherweise nicht alle bemerkenswerten Malware-Verhaltensweisen erfasst, da bestimmte Funktionen möglicherweise nur unter bestimmten Bedingungen von der Malware ausgeführt werden.
Die statische Analyse ist ein tiefergehender Einblick in die technische Analyse der Malware. Die statische Analyse umfasst in der Regel weitere Details zur Funktionalität, Verschleierung oder Komprimierung in der Probe, zur von der Malware verwendeten Verschlüsselung, zu Konfigurationsinformationen oder anderen bemerkenswerten technischen Details.
Bei der Ausführung passt HermeticWiper umgehend seine Prozesstoken-Berechtigungen an und aktiviert SeBackupPrivilege. Dadurch erhält die Malware Lesezugriff auf alle Dateien, unabhängig davon, was in der Zugriffskontrollliste (ACL) angegeben ist.
Anschließend überprüft es die Betriebssystemversion des Systems, um festzustellen, welche Version eines harmlosen Partitionsverwaltungstreibers (EaseUS Partition Manager: epmntdrv.sys) verwendet werden soll. Der Treiber ist zunächst Microsoft-komprimiert (SZDD-Komprimierung) und in seiner Ressource mit dem Namen RCDATA eingebettet.
Für Windows XP:
Für Windows 7 und höher:
Nach der Überprüfung der zu verwendenden Version wird der komprimierte SZDD-Treiber für die Verwaltung harmloser Partitionen im folgenden Verzeichnis abgelegt:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Anschließend wird die Datei dekomprimiert und die Dateiendung „.sys“ hinzugefügt.
Example: C:\Windows\system32\Drivers\vfdr.sys
Anschließend werden die Prozess-Token-Berechtigungen erneut angepasst, um SeLoadDriverPrivilege zu aktivieren. Dieses Token ermöglicht es dem Prozess HermeticWiper, Gerätetreiber zu laden und zu entladen.
Anschließend werden Crash-Protokolle deaktiviert, indem der folgende Registrierungsschlüssel geändert wird:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Bitte beachten Sie, dass Absturz-Dumps Speicherauszüge sind, die Informationen darüber enthalten, warum das System unerwartet beendet wird. Wenn diese Option deaktiviert ist, wird das System daran gehindert, Dumps zu erstellen, wodurch es seine Spuren erfolgreich verwischt.
Es deaktiviert auch den Volume Shadow Service (vss), falls dieser aktiviert ist, und deaktiviert ShowCompColor und ShowInfoTip in der gesamten HKEY_USERS-Registrierung:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
Die Option ShowCompColor zeigt komprimierte und verschlüsselte NTFS-Dateien in Farbe an, während ShowInfoTip Popup-Beschreibungen für Ordner- und Desktop-Elemente anzeigt.
HermeticWiper fügt anschließend den erstellten Treiber hinzu und lädt ihn als Dienst unter Verwendung von Windows-APIs wie OpenSCManagerW(), OpenServiceW(), CreateServiceW() und StartServiceW().
Beispiel:
Dadurch wird ein Serviceeintrag in der Registry erstellt:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Sobald der harmlose Treiberdienst gestartet und in das System geladen wurde, löscht er erneut seine Spuren, indem er den erstellten Treiber in %WINDIR%\system32\drivers und den erstellten Dienst in der Registrierung entfernt.
HermeticWiper zählt eine Reihe von bis zu 100 physischen Laufwerken auf, indem es eine Schleife von 0 bis 100 durchläuft. Es verwendet den derzeit im System geladenen Partitionsmanager, um den Master Boot Record (MBR) aller physischen Laufwerke im System zu beschädigen.
Allerdings beschränkt sich dies nicht nur darauf, sondern es beschädigt auch alle verfügbaren Partitionen, selbst wenn sie sowohl das FAT- als auch das NTFS-Dateisystem unterstützen. Bei NTFS wird auch die Master File Table (MFT) beschädigt, die alle Informationen zu einer Datei enthält, um sicherzustellen, dass die Daten nicht wiederhergestellt werden können.
Sobald alle Festplatten beschädigt sind, sollte das System abstürzen. Für den Fall der Fälle hat HermeticWiper jedoch zusätzlich einen ausfallsicheren Schlaf-Thread erstellt, der ein Herunterfahren des Systems auslöst, um einen Neustart des Zielsystems zu erzwingen.
Die Analyse der Wiper-Probe ergab, dass sie mit einem digitalen Zertifikat signiert war, das an eine Organisation namens „Hermetica Digital Ltd“ ausgestellt und am 15. April 2021 erstellt wurde. Ein digitales Zertifikat ist eine Datei oder eine kryptografische Signatur, die die Authentizität eines Elements wie einer Datei, eines Servers oder eines Benutzers bestätigt.
HermeticWiper enthält folgendes digitales Zertifikat:
FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRY:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVICE:
service name: <random_2chars>dr
IBM Security X-Force hat die folgende Yara-Signatur entwickelt, um weitere Instanzen von HermeticWiper zu erkennen.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
Die als „PartyTicket“ bezeichnete Ransomware-Probe ist eine mit Golang kompilierte Ransomware, von der angenommen wird, dass sie zusammen mit der Malware „HermeticWiper“ verbreitet wird, die auf Unternehmen in der Ukraine abzielt.
Die Ransomware „PartyTicket“ beinhaltet keine Eskalation von Berechtigungen und wird im Kontext des aktuellen Benutzers ausgeführt. Dies bedeutet, dass bei Ausführung mit einem nicht privilegierten Konto Ordner und Dateien, die höhere Berechtigungen erfordern, nicht verschlüsselt werden.
PartyTicket fügt „[vote2024forjb@protonmail.com].encryptedJB” als Dateiendung zu allen Dateien hinzu, die es verschlüsselt. Es verwendet sowohl RSA als auch AES, um die ausgewählten Dateien zu verschlüsseln.
Eine erste statische Analyse der Ransomware ergab, dass im Code auf „Biden“ und „Whitehouse“ Bezug genommen wird.
Bei der Ausführung erstellt die Ransomware PartyTicket eine Liste der zu verschlüsselnden Dateien, indem sie alle verfügbaren Laufwerke von A: bis Z: überprüft und alle Verzeichnisse durchsucht, mit Ausnahme derjenigen, die „Windows“ und „Programme“ enthalten.
Während der Durchsuchung der Verzeichnisstruktur erstellt die Ransomware eine Liste mit Dateien, die die folgenden Erweiterungen enthalten:
.acl, .avi, .bat, .bmp, .cab .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi .odt, .one .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url .vdi, .vsd, .wma .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact inc
Beachten Sie, dass .exe in der zu verschlüsselnden Zieldatei enthalten ist, was darauf hinweist, dass die Ransomware sich anschließend selbst verschlüsseln wird.
Sobald die Zielliste erstellt ist, erstellt die Ransomware eine Kopie von sich selbst mit einem universell eindeutigen Identifikationsnamen (UUID) für jede Datei in der Zielliste. Die Kopien werden mit einem Timeout von dreißig Sekunden als untergeordnete Prozesse des ursprünglichen PartyTicket-Prozesses ausgeführt, wobei jeder Prozess für die Verschlüsselung einer Datei innerhalb der Zieldateiliste zuständig ist.
Beispielhafter Lebenszyklus der Ausführung eines PartyTicket-Child-Prozesses:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
DATEISYSTEM:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force hat die folgende Yara-Signatur entwickelt, um Instanzen der PartyTicket-Ransomware zu identifizieren.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
Derzeit empfiehlt X-Force Unternehmen, Erkennungen für die in diesem Bericht aufgeführten Dateisystem-, Registry- und Windows-Dienstindikatoren zu implementieren und die bereitgestellte Yara-Regel zum Scannen von Dateien zu nutzen. Darüber hinaus sollten globale Unternehmen versuchen, fundierte Einblicke in ihre jeweiligen Netzwerke, Lieferketten, Dritte und Partnerschaften zu gewinnen, die ihren Sitz in regionalen Institutionen haben oder diesen dienen. Es wird außerdem empfohlen, dass Organisationen Kommunikationswege zwischen den relevanten Stellen für den Informationsaustausch einrichten, um den Empfang und Austausch von umsetzbaren Indikatoren sicherzustellen.
Zusätzlich zu den Reaktionsmaßnahmen im Zusammenhang mit den Kompromittierungsindikatoren empfiehlt X-Force Unternehmen, die folgenden proaktiven Maßnahmen in Betracht zu ziehen:
Wenn Sie Fragen haben und eine tiefere Diskussion über die Malware und Präventionstechniken wünschen, können Sie hier ein Briefing vereinbaren. Erhalten Sie die neuesten Updates, sobald weitere Informationen über den IBM Security X-Force Exchange und den IBM PSIRT-Blog entstehen.
Wenn Sie mit Cybersicherheitsproblemen oder einem Vorfall konfrontiert sind, wenden Sie sich an X-Force, um Hilfe zu erhalten.
Hotline USA +1-888-241-9812
Globale Hotline (+001) 312-212-8034
Verbessern Sie das Programm zur Reaktion auf Vorfälle in Ihrem Unternehmen, minimieren Sie die Auswirkungen einer Sicherheitsverletzung und profitieren Sie von einer schnellen Reaktion auf Vorfälle im Bereich der Cybersicherheit.
