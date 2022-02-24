Cet article a été rédigé avec la contribution d’Anne Jobmann, Claire Zaboeva et Richard Emerson d’IBM Security X-Force.
Le 24 février 2022, Symantec Enterprise a signalé qu’un ransomware baptisé PartyTicket avait été déployé en même temps que le logiciel malveillant HermeticWiper. IBM Security X-Force a obtenu un échantillon de PartyTicket et fournit une analyse technique, des indicateurs de compromission et des détections dans la section PartyTicket de cet article de blog.
Le 23 février 2022, des sources d’informations open source ont commencé à signaler la détection d’un logiciel malveillant de type « wiper » – une famille de logiciels malveillants destructeurs conçus pour détruire définitivement les données de la cible – s’exécutant sur les systèmes appartenant à des entreprises ukrainiennes. IBM Security X-Force en a obtenu un échantillon. Nommé HermeticWiper, utilise un pilote de gestionnaire de partition inoffensif (une copie de empntdrv.sys) pour exécuter ses capacités d’effacement, corrompant ainsi le « Master Boot Record » (MBR), la partition et le système de fichiers (FAT ou NTFS) de tous les disques physiques disponibles.
Ce n’est pas le premier logiciel malveillant de type « wiper » ciblant des entreprises ukrainiennes que X-Force a analysé. En janvier 2022, X-Force a analysé WhisperGate et n’a identifié aucun chevauchement de code entre WhisperGate et HermeticWiper.
Cet article de blog détaille les conclusions d’IBM Security X-Force sur le logiciel malveillant HermeticWiper, l’analyse technique de l’échantillon et les indicateurs de compromission (IOC) afin d’aider les entreprises à se protéger contre cette menace.
En janvier 2022, X-Force a analysé le logiciel malveillant WhisperGate. HermeticWIper est la deuxième famille de logiciels malveillants destructeurs récemment observée au cours des deux derniers mois, qui cible des entreprises en Ukraine et, selon certaines informations, dans d’autres pays d’Europe de l’Est. Aucun chevauchement de code n’a été identifié entre WhisperGate et HermeticWiper.
Le rythme auquel ces nouvelles familles de logiciels malveillants destructeurs sont déployées et découvertes est sans précédent et souligne encore davantage la nécessité pour les entreprises de disposer d’une stratégie de défense active et éclairée qui va au-delà des défenses basées sur les signatures.
Tandis que le conflit dans la région continue d’évoluer et compte tenu des capacités destructrices de WhisperGate et HermeticWiper, IBM Security X-Force recommande aux fournisseurs d’infrastructures critiques de la région ciblée de renforcer leurs défenses. Ces entreprises doivent se préparer à des attaques susceptibles de détruire ou de chiffrer leurs données, ou d’avoir des répercussions importantes sur leurs activités.
X-Force estime que les cyberattaques destructrices continueront probablement à être utilisées contre des cibles civiles dans le cadre d’opérations hybrides. En outre, X-Force pense qu’il est probable que les cyberattaques continuent à s’intensifier et à s’étendre parallèlement à l’ampleur du conflit en cours. Il convient de noter que le nombre croissant de capacités destructrices visant le secteur privé et les entités associées à l’Ukraine et à ses alliés présumés est susceptible de modifier l’environnement de la cybersécurité en créant une menace accrue pour le commerce régional.
Cette section contient les résultats de l’analyse effectuée sur les échantillons soumis. Une analyse type comprend à la fois une analyse comportementale et une analyse statique.
L’analyse comportementale décrit le comportement du logiciel malveillant observé sur un système pendant son exécution. Elle comprend généralement les actions effectuées sur le système, telles que les fichiers déposés, la persistance, les détails relatifs à l’exécution des processus et toute communication C2. Il convient de noter que l’analyse comportementale peut ne pas couvrir tous les comportements notables du logiciel malveillant, car certaines fonctions ne peuvent être exécutées que dans des conditions particulières.
L’analyse statique est une analyse technique plus approfondie du logiciel malveillant. Elle comprend généralement des précisions supplémentaires sur les fonctionnalités, l’obscurcissement ou la compression de l’échantillon, le chiffrement utilisé par le logiciel malveillant, les informations de configuration ou d’autres éléments techniques notables.
Lors de son exécution, HermeticWiper ajuste immédiatement ses privilèges de token de processus et active SeBackupPrivilege. Cela lui confère un contrôle d’accès en lecture à tous les fichiers, indépendamment de ce qui est spécifié dans la liste de contrôle d’accès (ACL).
Il vérifie ensuite la version du système d’exploitation afin de savoir quelle version d’un pilote de gestion de partition inoffensif (EaseUS Partition Manager : epmntdrv.sys) il va utiliser. Le pilote est initialement compressé par Microsoft (compression SZDD) et intégré dans sa ressource nommée RCDATA.
Pour Windows XP :
Pour Windows 7 et versions ultérieures :
Après avoir vérifié la version à utiliser, le pilote de gestion de partition inoffensif compressé au format SZDD est ensuite déposé dans le répertoire suivant :
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Il procède ensuite à sa décompression et ajoute « .sys » comme extension de fichier.
Example: C:\Windows\system32\Drivers\vfdr.sys
Il ajuste ensuite à nouveau les privilèges de son token de processus pour activer SeLoadDriverPrivilege. Ce token permet au processus HermeticWiper de charger et de décharger des pilotes de périphériques.
Ensuite, il désactive les vidages de la mémoire en cas de panne en modifiant la clé de registre suivante :
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Notez que les vidages de la mémoire en cas de panne contiennent des informations sur les raisons pour lesquelles le système s’arrête de manière inattendue. Cette option étant désactivée, le système ne pourra créer aucun vidage, ce qui permettra au logiciel malveillant d’effacer ses traces.
Il désactive également le service Volume Shadow Service (vss) s’il est activé, ainsi que les options ShowCompColor et ShowInfoTip dans tout le registre HKEY_USERS :
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
L’option ShowCompColor affiche les fichiers NTFS compressés et chiffrés en couleur, tandis que ShowInfoTip affiche des descriptions contextuelles pour les éléments du dossier et du bureau.
HermeticWiper procède ensuite à l’ajout et au chargement du pilote créé à titre de service à l’aide des API Windows telles que OpenSCManagerW(), OpenServiceW(), CreateServiceW() et StartServiceW().
Exemple :
Cela crée une entrée de service dans le registre :
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Une fois que le service du pilote inoffensif est démarré et chargé dans le système, il efface à nouveau ses traces en supprimant le pilote créé dans %WINDIR%\system32\drivers et en supprimant le service créé dans le registre.
HermeticWiper énumère une plage allant jusqu’à 100 lecteurs physiques en parcourant les numéros de 0 à 100. Il utilise le gestionnaire de partition inoffensif, désormais chargé dans le système, pour corrompre tous les MBR de chaque lecteur physique présent dans le système.
Mais cela ne s’arrête pas là, il corrompt également toutes les partitions disponibles, même celles qui prennent en charge les systèmes de fichiers FAT et NTFS. Pour NTFS, il corrompt également la Master File Table (MFT) qui contient toutes les informations sur un fichier afin de garantir que les données seront irrécupérables.
Une fois tous les disques corrompus, le système devrait planter, mais au cas où, HermeticWiper a également créé un fil dormant à sécurité intégrée qui déclenche un arrêt du système pour forcer le redémarrage du système cible.
L’analyse de l’échantillon du wiper a révélé qu’il était signé avec un certificat numérique délivré à une entreprise nommée « Hermetica Digital Ltd » et créé le 15 avril 2021. Un certificat numérique est un fichier ou une signature cryptographique qui prouve l’authenticité d’un élément tel qu’un fichier, un serveur ou un utilisateur.
HermeticWiper contient le certificat numérique suivant :
FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRE :
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVICE :
service name: <random_2chars>dr
IBM Security X-Force a mis au point la signature Yara suivante afin de détecter d’autres instances de HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
L’échantillon baptisé PartyTicket est un ransomware compilé en Golang qui serait distribué avec le logiciel malveillant HermeticWiper qui cible les entreprises ukrainiennes.
PartyTicket n’inclut aucune escalade de privilèges et s’exécute dans le contexte de l’utilisateur courant. Cela signifie que s’il est exécuté avec un compte dépourvu de privilèges, les dossiers et fichiers nécessitant des privilèges supérieurs ne seront pas chiffrés.
PartyTicket ajoute «.[vote2024forjb@protonmail.com].encryptedJB» comme extension à tous les fichiers qu’il chiffre. Il utilise à la fois les algorithmes RSA et AES pour le chiffrement des fichiers ciblés.
Une première analyse statique du ransomware révèle les références « Biden » et « Whitehouse » dans le code.
Une fois exécuté, le ransomware PartyTicket établit une liste de fichiers à chiffrer en vérifiant tous les lecteurs disponibles de A: à Z: et en parcourant tous les répertoires, à l’exception de ceux contenant « Windows » et « Program Files ».
Tout en parcourant la structure des répertoires, le ransomware énumère une liste cible de fichiers contenant les extensions suivantes :
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .un, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact, inc
Notez que .exe est inclus dans le fichier cible à chiffrer, ce qui indique que le ransomware se chiffrera lui-même par la suite.
Une fois la liste des cibles créée, le ransomware crée une copie de lui-même avec un nom d’identifiant unique universel (UUID) pour chaque fichier de la liste cible. Les copies sont exécutées avec un délai d’attente de trente secondes en tant que processus enfants du processus PartyTicket d’origine, chacune étant responsable du chiffrement d’un fichier de la liste cible.
Exemple de cycle de vie d’exécution d’un processus enfant de PartyTicket :
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
SYSTÈME DE FICHIERS :
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force a mis au point la signature Yara suivante afin d’identifier les instances du ransomware PartyTicket.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
À l’heure actuelle, X-Force recommande aux entreprises de mettre en œuvre des mesures de détection pour le système de fichiers, le registre et les indicateurs de service Windows répertoriés dans ce rapport, ainsi que d’utiliser la règle Yara fournie pour analyser les fichiers. En outre, les entreprises internationales doivent s’efforcer d’acquérir une bonne connaissance de leurs réseaux, chaînes d’approvisionnement, tiers et partenaires respectifs qui sont basés dans la région ou qui y fournissent des services. Il leur est également conseillé d’ouvrir des voies de communication entre les entités concernées par le partage d’informations afin de garantir la réception et l’échange d’indicateurs exploitables.
Outre les mesures de réponse associées aux indicateurs de compromission, X-Force recommande aux entreprises d’envisager les mesures proactives suivantes :
Si vous avez des questions et souhaitez approfondir le sujet des logiciels malveillants et des techniques de prévention, vous pouvez programmer une réunion d’information ici. Les dernières informations sont disponibles sur IBM Security X-Force Exchange et le blog IBM PSIRT.
En cas de problème ou d’incident de cybersécurité, contactez X-Force pour obtenir de l’aide.
Assistance téléphonique aux USA : 1-888-241-9812
Ligne d’assistance mondiale : (+001) 312-212-8034
