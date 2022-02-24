Posting ini ditulis dengan kontribusi dari Anne Jobmann, Claire Zaboeva dan Richard Emerson dari IBM® Security X-Force.
Pada 24 Februari 2022, Symantec Enterprise melaporkan ransomware yang dijuluki sebagai PartyTicket diterapkan bersama malware HermeticWiper. IBM Security X-Force memperoleh sampel ransomware PartyTicket dan telah memberikan analisis teknis, indikator penyusupan, dan deteksi di bagian PartyTicket di blog ini.
Pada 23 Februari 2022, sumber intelijen sumber terbuka mulai melaporkan deteksi malware penghapus — keluarga malware destruktif yang dirancang untuk menghancurkan data dari target secara permanen — yang dieksekusi pada sistem milik organisasi Ukraina. IBM Security X-Force memperoleh sampel penghapus bernama HermeticWiper. Penghapus ini menggunakan driver manajer partisi tidak berbahaya (salinan empntdrv.sys) untuk melakukan kemampuan penghapusan yang merusak semua Master Boot Record (MBR) drive fisik yang tersedia, partisi, dan sistem file (FAT atau NTFS).
Ini bukan malware penghapus pertama yang menargetkan organisasi Ukraina yang dianalisis X-Force. Pada Januari 2022, X-Force menganalisis malware WhisperGate dan tidak mengidentifikasi tumpang tindih kode apa pun antara WhisperGate dan HermeticWiper.
Postingan blog ini akan memerinci insight IBM Security X-Force tentang malware HermeticWiper, analisis teknis sampel, dan indikator penyusupan (IoC) untuk membantu organisasi melindungi diri dari malware ini.
Pada bulan Januari 2022, X-Force menganalisis malware WhisperGate. HermeticWiper adalah keluarga malware destruktif kedua yang baru terlihat, yang diamati dalam dua bulan terakhir dengan target organisasi di Ukraina dan negara-negara lain di Eropa Timur menurut laporan. Tidak ada tumpang tindih kode yang diidentifikasi antara WhisperGate dan HermeticWiper.
Kecepatan penerapan dan penemuan keluarga malware baru yang merusak ini belum pernah terjadi sebelumnya, dan menyoroti lebih lanjut perlunya organisasi untuk memiliki strategi pertahanan aktif dan tepat yang berkembang melampaui pertahanan berbasis tanda tangan.
Ketika konflik di wilayah tersebut terus berkembang dan mengingat kemampuan destruktif dari WhisperGate dan HermeticWiper, IBM Security X-Force merekomendasikan organisasi infrastruktur penting di dalam wilayah yang ditargetkan untuk membentengi pertahanan. Semua organisasi tersebut harus berfokus pada persiapan untuk potensi serangan yang dapat menghancurkan atau mengenkripsi data, atau berdampak signifikan pada operasi.
Menurut pendapat X-Force, serangan siber destruktif kemungkinan akan terus dimanfaatkan terhadap target sipil untuk mendukung operasi hybrid. Selain itu, X-Force meyakini bahwa kemungkinan serangan siber akan terus meningkat dan berkembang berbarengan dengan ruang lingkup konflik yang sedang berlangsung. Perlu dicatat bahwa peningkatan jumlah kemampuan destruktif yang difokuskan terhadap industri swasta dan entitas yang terkait dengan Ukraina dan yang dianggap sekutunya kemungkinan akan mengubah lingkungan keamanan siber dengan menciptakan peningkatan ancaman terhadap perdagangan regional.
Bagian ini berisi hasil analisis yang dilakukan untuk sampel yang dikirim. Analisis umum mencakup analisis perilaku dan statis.
Analisis perilaku menggambarkan perilaku malware yang diamati pada sistem selama eksekusi. Analisis perilaku biasanya mencakup tindakan yang dilakukan pada sistem seperti penulisan file, persistensi, detail seputar eksekusi proses, dan komunikasi C2 apa pun. Perlu dicatat bahwa analisis perilaku mungkin tidak menangkap semua perilaku malware penting karena beberapa fungsi tertentu hanya dapat dilakukan oleh malware dalam kondisi tertentu.
Analisis statis menyelami analisis teknis malware lebih dalam. Analisis statis biasanya mencakup perincian lebih lanjut tentang fungsionalitas, pengaburan, atau pengemasan dalam sampel, enkripsi yang digunakan oleh malware, informasi konfigurasi, atau detail teknis penting lainnya.
Setelah eksekusi, HermeticWiper segera menyesuaikan hak istimewa token prosesnya dan mengaktifkan SeBackupPrivilege. Ini memberikan malware kontrol akses baca ke file apa pun, terlepas dari apa pun yang ditentukan dalam daftar kontrol akses (ACL).
Malware kemudian memeriksa versi OS sistem untuk mengetahui salinan versi mana yang berisi driver manajemen partisi tidak berbahaya (EaseUS Partition Manager: epmntdrv.sys) yang akan digunakannya. Driver pada awalnya dikompresi Microsoft (kompresi SZDD) dan disematkan dalam sumber dayanya yang bernama RCDATA.
Untuk Windows XP:
Untuk Windows 7 dan versi yang lebih baru:
Setelah memverifikasi versi apa yang akan digunakan, driver manajemen partisi tidak berbahaya terkompresi SZDD kemudian ditulis di direktori berikut sebagai:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Kemudian malware melanjutkan untuk melakukan dekompresi dan menambahkan “.sys” sebagai ekstensi file.
Example: C:\Windows\system32\Drivers\vfdr.sys
Kemudian melanjutkan untuk menyesuaikan hak istimewa token prosesnya lagi untuk mengaktifkan SeLoadDriverPrivilege. Token ini memungkinkan proses HermeticWiper memiliki kemampuan untuk memuat dan membongkar driver perangkat.
Selanjutnya, malware akan menonaktifkan crash dump dengan memodifikasi kunci registri berikut:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Perhatikan bahwa crash dump adalah dump memori yang berisi informasi mengapa sistem berhenti secara tak terduga. Dengan penonaktifan opsi ini, sistem akan dicegah untuk membuat dump apa pun, sehingga berhasil menutupi jejaknya.
Malware ini juga menonaktifkan Volume Shadow Service (vss), jika diaktifkan, dan menonaktifkan ShowCompColor dan ShowInfoTip di semua registri HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
Opsi ShowCompColor menampilkan file NTFS terkompresi dan terenkripsi dalam warna sementara ShowInfotip menampilkan deskripsi pop-up untuk folder dan item desktop.
HermeticWiper kemudian melanjutkan untuk menambahkan dan memuat driver yang dibuat sebagai layanan menggunakan API Windows, seperti OpenSCManagerW(), OpenServiceW(), CreateServiceW(), dan StartServiceW().
Contoh:
Tindakan ini membuat entri layanan di registri:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Setelah layanan driver tidak berbahaya dimulai dan dimuat dalam sistem, kemudian malware melanjutkan untuk menutupi jejaknya sekali lagi dengan menghapus driver yang dibuat di %WINDIR%\system32\driver dan menghapus layanan yang dibuat di registri.
HermeticWiper menghitung rentang hingga 100 Drive Fisik dengan pengulangan 0-100. Malware ini menggunakan manajer partisi tidak berbahaya, yang sekarang dimuat dalam sistem, untuk merusak semua Master Boot Record (MBR) untuk setiap Drive Fisik yang ada di sistem.
Tapi aksinya tidak berhenti di situ, malware ini juga merusak semua partisi yang tersedia, bahkan mendukung sistem file FAT dan NTFS. Untuk NTFS, malware ini juga merusak Master File Table (MFT) yang menyimpan semua informasi tentang file untuk memastikan bahwa data tidak dapat dipulihkan.
Setelah semua disk rusak, sistem akan mengalami crash, tetapi untuk berjaga-jaga, HermeticWiper juga membuat alur tidur pada mode fail-safe yang memicu penghentian sistem untuk memaksa mulai ulang sistem target.
Analisis pada sampel penghapus mengungkapkan bahwa malware ini ditandatangani dengan sertifikat digital yang dikeluarkan untuk organisasi bernama 'Hermetica Digital Ltd' dan dibuat 15 April 2021. Sertifikat digital adalah file atau tanda tangan kriptografi yang membuktikan keaslian item seperti file, server, atau pengguna.
HermeticWiper berisi sertifikat digital berikut:
SISTEM FILE:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRI:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
LAYANAN:
nama layanan: <random_2chars>dr
IBM Security X-Force telah mengembangkan tanda tangan Yara berikut untuk mendeteksi contoh lain HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
Sampel ransomware yang dijuluki sebagai PartyTicket adalah ransomware yang dikompilasi Golang yang diyakini didistribusikan bersama malware HermeticWiper yang menargetkan organisasi Ukraina.
Ransomware PartyTicket tidak menyertakan peningkatan hak istimewa dan akan dijalankan dalam konteks pengguna saat ini. Ini berarti bahwa jika dijalankan dengan akun yang tidak memiliki hak istimewa, folder dan file yang membutuhkan hak istimewa lebih tinggi tidak akan dienkripsi.
PartyTicket menambahkan “.[vote2024forjb@protonmail.com].encryptedJB” sebagai ekstensi file untuk semua file yang dienkripsinya. Ransomware ini menggunakan RSA dan AES untuk mengenkripsi file yang ditargetkan.
Analisis statis awal pada ransomware ini mengungkapkan penyebutan “Biden” dan “Whitehouse” dalam kode.
Setelah eksekusi, ransomware PartyTicket membangun daftar file untuk dienkripsi dengan memeriksa semua drive yang tersedia dari A: hingga Z: dan melintasi semua direktori kecuali yang berisi “Windows” dan “File Program”.
Saat melintasi struktur direktori, ransomware ini mencantumkan daftar target file yang berisi ekstensi berikut:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .one, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact, inc
Perhatikan bahwa .exe disertakan dalam file target untuk mengenkripsi, menunjukkan bahwa ransomware akan mengenkripsi dirinya sendiri setelahnya.
Setelah daftar target dibuat, ransomware akan membuat salinan dirinya sendiri dengan nama penanda unik universal (UUID) untuk setiap file dalam daftar target. Salinan dieksekusi dengan batas waktu tiga puluh detik sebagai hasil dari proses asli PartyTicket, masing-masing bertanggung jawab untuk mengenkripsi file dalam daftar file target.
Contoh siklus hidup eksekusi proses hasil PartyTicket:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
SISTEM FILE:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force telah mengembangkan tanda tangan Yara berikut untuk membantu mengidentifikasi contoh ransomware PartyTicket.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
Pada saat ini, X-Force merekomendasikan organisasi menerapkan deteksi untuk sistem file, registri, dan indikator layanan Windows yang tercantum dalam laporan ini serta memanfaatkan aturan Yara yang disediakan untuk memindai file. Selain itu, bisnis global harus berusaha untuk membangun insight yang kuat tentang jaringannya masing-masing, rantai pasokan, pihak ketiga, dan kemitraan yang berbasis di atau melayani institusi di wilayahnya. Disarankan pula agar organisasi membuka jalur komunikasi antara entitas berbagi informasi yang relevan untuk memastikan penerimaan dan pertukaran indikator yang dapat ditindaklanjuti.
Selain langkah-langkah respons yang terkait dengan indikator penyusupan, X-Force merekomendasikan organisasi untuk mempertimbangkan langkah-langkah proaktif berikut:
Jika Anda memiliki pertanyaan dan ingin berdiskusi lebih dalam tentang malware dan teknik pencegahannya, Anda dapat menjadwalkan pengarahan di sini. Dapatkan pembaruan terbaru seiring dengan perkembangan informasi di IBM Security X-Force Exchange dan blog IBM PSIRT.
Jika Anda mengalami masalah keamanan siber atau insiden, hubungi X-Force untuk membantu.
Hotline AS 1-888-241-9812
Hotline global (+001) 312-212-8034
