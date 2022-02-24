Questo post è stato scritto con il contributo di Anne Jobmann, Claire Zaboeva and Richard Emerson di IBM Security X-Force.
Il 24 febbraio 2022, Symantec Enterprise ha segnalato che un ransomware chiamato PartyTicket è stato distribuito insieme al malware HermeticWiper. IBM Security X-Force ha ottenuto un campione del ransomware PartyTicket e ha fornito analisi tecniche, indicatori di compromissione e rilevamenti nella sezione PartyTicket di questo blog.
Il 23 febbraio 2022, fonti di intelligence open source hanno iniziato a segnalare rilevamenti di un wiper malware, una famiglia distruttiva di malware progettata per distruggere permanentemente i dati del bersaglio, che si esegue su sistemi appartenenti a organizzazioni ucraine. IBM Security X-Force ha ottenuto un campione del wiper denominato HermeticWiper. Utilizza un driver di gestione delle partizioni benigno (una copia di empntdrv.sys) per eseguire le sue funzionalità corrompendo il Master Boot Record (MBR), la partizione e il file system (FAT o NTFS) di tutte le unità fisiche disponibili.
Questo non è il primo malware wiper che prende di mira le organizzazioni ucraine analizzato da X-Force. Nel gennaio 2022, X-Force ha analizzato il malware WhisperGate e non ha identificato alcuna sovrapposizione di codice tra WhisperGate e HermeticWiper.
Questo post sul blog fornirà gli insight di IBM Security X-Force sul malware HermeticWiper, l'analisi tecnica del campione e gli indicatori di compromissione (IoC) per aiutare le organizzazioni a proteggersi da questo malware.
Nel gennaio 2022, X-Force ha analizzato il malware WhisperGate. HermeticWIper è la seconda famiglia di malware distruttivi recentemente osservata negli ultimi due mesi, che ha preso di mira alcune organizzazioni in Ucraina e, secondo quanto riferito, in altri paesi dell'Europa orientale. Non sono state identificate sovrapposizioni di codice tra WhisperGate e HermeticWiper.
Il ritmo con cui queste nuove famiglie di malware distruttive vengono implementate e scoperte è senza precedenti, e sottolinea ulteriormente la necessità per le organizzazioni di avere una strategia di difesa attiva e informata che vada oltre le difese basate sulle firme.
Poiché il conflitto nella regione continua ad evolversi e date le capacità distruttive sia di WhisperGate che di HermeticWiper, IBM Security X-Force raccomanda alle organizzazioni con infrastrutture critiche nella regione presa di mira di rafforzare le difese. Tali organizzazioni dovrebbero concentrarsi sulla preparazione a potenziali attacchi che potrebbero distruggere o crittografare i dati o comunque avere un impatto significativo sulle operazioni.
Secondo X-Force, gli attacchi informatici distruttivi continueranno probabilmente a essere utilizzati contro obiettivi civili a supporto di operazioni ibride. Inoltre, X-Force ritiene probabile che gli attacchi informatici continuino a intensificarsi ed espandersi parallelamente all'entità del conflitto in corso. Va notato che il numero crescente di funzionalità distruttive focalizzate contro settori privati e entità associate all'Ucraina e ai suoi alleati percepiti probabilmente altererà l'ambiente della sicurezza informatica creando una minaccia elevata al commercio regionale.
In questa sezione sono riportati i risultati delle analisi effettuate sui campioni inviati. L'analisi tipica include sia analisi comportamentale che statica.
L'analisi comportamentale descrive il comportamento del malware osservato su un sistema durante l'esecuzione. L'analisi comportamentale in genere include azioni eseguite sul sistema come file eliminati, persistenza, dettagli sull'esecuzione del processo ed eventuali comunicazioni C2. Va notato che l'analisi comportamentale potrebbe non catturare tutti i comportamenti rilevanti del malware, poiché alcune funzioni possono essere svolte dal malware solo in condizioni specifiche.
L'analisi statica è un approfondimento dell'analisi tecnica del malware. L'analisi statica include tipicamente ulteriori dettagli sulla funzionalità, l'offuscamento o l'impacchettamento nel campione, la crittografia utilizzata dal malware, le informazioni di configurazione o altri dettagli tecnici rilevanti.
Al momento dell'esecuzione, HermeticWiper regola immediatamente i privilegi dei token di processo e abilita SeBackupPrivilege, fornendo al malware il controllo dell'accesso in lettura a qualsiasi file, indipendentemente da quanto specificato nell'elenco di controllo degli accessi (ACL).
Poi controlla la versione del sistema operativo per sapere quale versione copia di un driver di gestione delle partizioni benigno (EaseUS Partition Manager: epmntdrv.sys) utilizzerà. Il driver è inizialmente compresso da Microsoft (compressione SZDD) e incorporato nella sua risorsa chiamata RCDATA.
Per Windows XP:
Per Windows 7 e versioni successive:
Dopo aver verificato quale versione utilizzerà, il driver di gestione delle partizioni benigne compresso SZDD viene quindi inserito nella seguente directory come:
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
Quindi procede alla decompressione e aggiunge “.sys“ come estensione del file.
Example: C:\Windows\system32\Driver\vfdr.sys
Successivamente procede di nuovo ad adeguare i privilegi dei token di processo per abilitare SeLoadDriverPrivilege. Questo token consente al processo HermeticWiper di caricare e scaricare i driver dei dispositivi.
Successivamente, disabilita i crash dump modificando la seguente chiave del registro:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
Si noti che i crash dump sono dump di memoria che contengono informazioni sul motivo per cui il sistema si arresta in modo imprevisto. Con questa opzione disattivata, il sistema non potrà creare alcun dump, coprendo così con successo le sue tracce.
Disabilita anche il Volume Shadow Service (vss) se attivato, e disabilita ShowCompColor e ShowInfoTip in tutti i registri HKEY_USERS:
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
L'opzione ShowCompColor visualizza i file NTFS compressi e criptati a colori, mentre ShowInfoTip mostra le descrizioni a comparsa per gli elementi delle cartelle e del desktop.
HermeticWiper procede quindi ad aggiungere e caricare il driver creato come servizio utilizzando API di Windows come OpenSCManagerW(), OpenServiceW(), CreateServiceW() e StartServiceW().
Esempio:
In questo modo viene creata una voce di servizio nel registro:
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
Una volta avviato e caricato nel sistema il servizio di driver benigno, quest'ultimo procede a coprire nuovamente le tracce eliminando il driver creato in %WINDIR%\system32\driver ed eliminando il servizio creato nel registro.
HermeticWiper enumera un intervallo di massimo 100 unità fisiche eseguendo un ciclo da 0 a 100. Utilizza il gestore delle partizioni benigno, ora caricato nel sistema, per danneggiare tutti i Master Boot Record (MBR) per ogni unità fisica presente nel sistema.
Ma non si ferma qui, corrompe anche tutte le partizioni disponibili, anche quelle che supportano i file system FAT e NTFS. Nel caso di NTFS, danneggia anche la Master File Table (MFT), che contiene tutte le informazioni su un file, per garantire che i dati non siano recuperabili.
Una volta che tutti i dischi sono danneggiati, il sistema dovrebbe bloccarsi, ma per sicurezza, HermeticWiper ha anche creato un thread di sospensione a prova di errore che attiva lo spegnimento del sistema per forzare il riavvio del sistema target.
L'analisi del campione di wiper ha rivelato che è stato firmato con un certificato digitale emesso da un'organizzazione denominata "Hermetica Digital Ltd" e creato il 15 aprile 2021. Un certificato digitale è un file o una firma crittografica che dimostra l'autenticità di un elemento come un file, un server o un utente.
HermeticWiper contiene il seguente certificato digitale:
FILE SYSTEM:
%WINDIR%\system32\driver\<random_2chars>dr
REGISTRO:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
SERVIZIO:
nome del servizio: <random_2chars>dr
IBM Security X-Force ha sviluppato la seguente firma Yara per rilevare ulteriori istanze di HermeticWiper.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
Il campione di ransomware denominato PartyTicket è un ransomware compilato da Golang che si ritiene venga distribuito insieme al malware HermeticWiper che prende di mira le organizzazioni ucraine.
Il ransomware PartyTicket non include alcuna escalation dei privilegi e verrà eseguito nel contesto dell'utente attuale. Ciò significa che, se eseguito con un account non privilegiato, cartelle e file che richiedono privilegi maggiori non saranno criptati.
PartyTicketaggiunge"[vote2024forjb@protonmail.com].encryptedJB" come estensione di file per tutti i file che crittografa. Utilizza sia RSA che AES per crittografare i file mirati.
L'analisi statica iniziale del ransomware rivela che nel codice si fa riferimento a "Biden" e "Whitehouse".
Una volta eseguito, il ransomware PartyTicket crea un elenco di file da crittografare verificando tutte le unità disponibili dalla A: alla Z: e analizzando tutte le directory tranne quelle contenenti "Windows" e "Programmi".
Durante l'attraversamento della struttura delle directory, il ransomware elenca una lista target di file contenente le seguenti estensioni:
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .uno, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contatto, inc
Nota che .exe è incluso nel file di destinazione da crittografare, indicando che il ransomware si crittograferà da solo in seguito.
Una volta creato l'elenco di destinazione, il ransomware creerà una copia di se stesso con un nome identificativo univoco universale (UUID) per ogni file all'interno dell'elenco di destinazione. Le copie vengono eseguite con un timeout di trenta secondi come figli del processo originale PartyTicket, ciascuno responsabile della crittografia di un file all'interno della lista dei file target.
Esempio di ciclo di vita di esecuzione del processo secondario di PartyTicket:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
FILE SYSTEM:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force ha sviluppato la seguente firma Yara per aiutare a identificare le istanze del ransomware PartyTicket.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
Al momento, X-Force raccomanda alle organizzazioni di implementare rilevamenti per il file system, il registro e gli indicatori di servizio Windows elencati in questo report, oltre a utilizzare la regola Yara fornita per scansionare i file. Inoltre, le aziende globali dovrebbero cercare di stabilire una solida conoscenza delle rispettive reti, supply chain, terze parti e partnership che hanno sede o servono le istituzioni della regione. Si consiglia inoltre alle organizzazioni di aprire linee di comunicazione tra le entità di condivisione delle informazioni rilevanti per garantire la ricezione e lo scambio di indicatori attuabili.
Oltre alle misure di risposta associate agli indicatori di compromesso, X-Force raccomanda alle organizzazioni di considerare le seguenti misure proattive:
Se hai domande e desideri parlare in modo più approfondito sul malware e sulle tecniche di prevenzione, puoi fissare un briefing qui. Ricevi gli ultimi aggiornamenti man mano che si sviluppano nuove informazioni sull'IBM Security X-Force Exchange e sul blog IBM PSIRT.
Se stai riscontrando problemi o incidenti di cybersecurity, contatta X-Force per ricevere assistenza.
Numero assistenza USA: 1-888-241-9812
Numero assistenza globale: (+001) 312-212-8034
