Phân tích kỹ thuật Ransomware Ragnar Locker - Sử dụng máy ảo VirtualBox để mã hóa
Ramgar Locker sử dụng cách mã hóa file mới để né trách các phần mềm diệt virus. Cụ thể, ransomware đã được chạy trong một máy ảo Windows XP -VirtualBox. Bộ đóng gói của ransomware là một file cài đặt msi 122MB gồm 282MB máy ảo và 49KB file mã độc.
Các hacker đứng sau Ragnar Locker đã từng biết đến trước đó với mục đích tấn công vào các công ty đánh cách dữ liệu để đòi tiền chuộc. Vào tháng 4, các hacker đã tấn công mạng vào công ty Energias của Bồ Đào Nha đánh cắp 10TB dữ liệu nhạy cảm, yêu cầu thanh toán 1.580 bitcoin (khoảng 11 triệu đô) và đe dọa tiết lộ dữ liệu nếu không được trả.
Trong các cuộc tấn công trước đó, Ragnar Locker tấn công thông qua khai thác lỗ hổng của các dịch vụ hoặc tấn công qua Remote Desktop. Sau khi truy cập được vào quyền quản trị domain, nó đã sử dụng GPO hoặc Powershell để cài đặt và phát tán đến các máy tính khác.
Trong cuộc tấn công mới được phát hiện này, Ragnar Locker đã sử dụng GPO để thực thi chương trình Windows Installer (msiexec.exe) trên các máy tính, để tải và cài đặt một file MSI 122MB gồm:
Sau khi file msi được tải và thực thi thành công, script install.bat được chạy với các mục đích sau:
Đăng ký các extension cần thiết (VBoxC.dll and VboxRT.dll,) và driver (VboxDrv.sys) cho VirutualBox
Tắt chức năng thông báo Auto Play của Windows
sc stop ShellHWDetection
Xóa shadow trên máy để không thể khôi phục lại các phiên bản trước của file đã bị mã hóa.
vssadmin delete shadows /all /quiet
Duyệt tìm các ổ đĩa của máy, ổ đĩa mạng và lưu chúng vào file cấu hình micro.xml để phục vụ cho máy ảo micro.vdi
Máy ảo được cấu hình với 256MB RAM, 1 CPU, 299MB HDD và một network NAT.
Đến đây, môi trường máy ảo đã chuẩn bị xong, script tìm và kết thúc 50 tiến trình đang chạy trên máy để tất cả các file có thể truy cập được, phục vụ mục đích mã hóa. 50 tiến trình này chủ yếu của các phần mềm dịch vụ, cơ sở dữ liệu, quản lý remote, sao lưu và khôi phục dữ liệu, các service của các phần mềm bảo mật.
Môi trường máy ảo chuẩn bị thành công, script bắt đầu chạy máy ảo thông qua lệnh
“%binpath%\VboxHeadless.exe” –startvm micro -v off
Đưới đây là hình ảnh mô tả quá trình cài đặt của ransomware
Các bước thực thi của ransoware được xác định trong quá trình phân tích log:
Như đã đề cập, máy ảo là một hệ điều ảo Windows XP trong một file micro.vdi. Ransomware trong máy ảo được tìm thấy C:\vrun.exe
Để chạy ransomawre, một file bat tên là vrun.bat trong thư mục C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ sẽ được chạy và gọi ransomware lên. Như chúng ta đã biết, Starrup là một folder chứa các file được chạy khi hệ điều hành khởi động.
Dưới đây là các lệnh trong file vrun.bat
Các lệnh này còn mục đích chia sẻ các ổ đĩa để máy ảo có thể truy cập được, danh sách các ổ đĩa này đã có sẵn trong file cấu hình micro.xml được tạo ra trước đó. Như vậy, ransomware được chạy trên máy ảo mà có toàn bộ quyền truy cập các ổ đĩa trên máy thật.
Ransomware vrun.exe có một số tham số như sau:
Vì ransomware được chạy trong máy ảo, hành vi mã hóa của nó không thể bị can thiệp bởi các phần mềm diệt virus. Toàn bộ các file trên máy thật khi bị hóa hóa sẽ được tính cho tiến trình VboxHeadless.exe của phần mềm hợp pháp VirtualBox
Nguồn: Sophos
Các hacker đứng sau Ragnar Locker đã từng biết đến trước đó với mục đích tấn công vào các công ty đánh cách dữ liệu để đòi tiền chuộc. Vào tháng 4, các hacker đã tấn công mạng vào công ty Energias của Bồ Đào Nha đánh cắp 10TB dữ liệu nhạy cảm, yêu cầu thanh toán 1.580 bitcoin (khoảng 11 triệu đô) và đe dọa tiết lộ dữ liệu nếu không được trả.
Trong các cuộc tấn công trước đó, Ragnar Locker tấn công thông qua khai thác lỗ hổng của các dịch vụ hoặc tấn công qua Remote Desktop. Sau khi truy cập được vào quyền quản trị domain, nó đã sử dụng GPO hoặc Powershell để cài đặt và phát tán đến các máy tính khác.
Trong cuộc tấn công mới được phát hiện này, Ragnar Locker đã sử dụng GPO để thực thi chương trình Windows Installer (msiexec.exe) trên các máy tính, để tải và cài đặt một file MSI 122MB gồm:
- Một bộ cài phần mềm VirtualBox phiên bản 3.0.4. từ 5/8/2009
- Một file máy ảo tên micro.vdi – đây là một file máy ảo Windows XP SP3, trong máy ảo chứa ransomware có kích thước 49KB
- Một chương trình thực thi có tên va.exe
- Một file install.bat
- Một số file hỗ trợ khác
Sau khi file msi được tải và thực thi thành công, script install.bat được chạy với các mục đích sau:
Đăng ký các extension cần thiết (VBoxC.dll and VboxRT.dll,) và driver (VboxDrv.sys) cho VirutualBox
Tắt chức năng thông báo Auto Play của Windows
sc stop ShellHWDetection
Xóa shadow trên máy để không thể khôi phục lại các phiên bản trước của file đã bị mã hóa.
vssadmin delete shadows /all /quiet
Duyệt tìm các ổ đĩa của máy, ổ đĩa mạng và lưu chúng vào file cấu hình micro.xml để phục vụ cho máy ảo micro.vdi
Máy ảo được cấu hình với 256MB RAM, 1 CPU, 299MB HDD và một network NAT.
Đến đây, môi trường máy ảo đã chuẩn bị xong, script tìm và kết thúc 50 tiến trình đang chạy trên máy để tất cả các file có thể truy cập được, phục vụ mục đích mã hóa. 50 tiến trình này chủ yếu của các phần mềm dịch vụ, cơ sở dữ liệu, quản lý remote, sao lưu và khôi phục dữ liệu, các service của các phần mềm bảo mật.
Môi trường máy ảo chuẩn bị thành công, script bắt đầu chạy máy ảo thông qua lệnh
“%binpath%\VboxHeadless.exe” –startvm micro -v off
Đưới đây là hình ảnh mô tả quá trình cài đặt của ransomware
Các bước thực thi của ransoware được xác định trong quá trình phân tích log:
- Thực thi Microsoft Installer (msiexec.exe)
- Tải và thực thi gói MSI
- Thực thi file bat: cmd.exe /c “C:\Program Files (x86)\VirtualAppliances\install.bat”
- Cố gắng tắt tiến trình của AntiVirus: taskkill /IM SavService.exe /F
- Cố gắng dừng service của AntiVirus và các tiến trình khác: sc stop mysql
- Chia sẻ các ổ đĩa có thể truy cập: mountvol E: \\?\Volume{174f8ec6-d584-11e9-8afa-806e6f6e6963}\
- Bắt đầu chạy máy ảo: C:\Program Files (x86)\VirtualAppliances\app64\VBoxHeadless.exe” –startvm micro -v off
- Xóa shadow: vssadmin delete shadows /all /quiet
Như đã đề cập, máy ảo là một hệ điều ảo Windows XP trong một file micro.vdi. Ransomware trong máy ảo được tìm thấy C:\vrun.exe
Để chạy ransomawre, một file bat tên là vrun.bat trong thư mục C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ sẽ được chạy và gọi ransomware lên. Như chúng ta đã biết, Starrup là một folder chứa các file được chạy khi hệ điều hành khởi động.
Dưới đây là các lệnh trong file vrun.bat
Các lệnh này còn mục đích chia sẻ các ổ đĩa để máy ảo có thể truy cập được, danh sách các ổ đĩa này đã có sẵn trong file cấu hình micro.xml được tạo ra trước đó. Như vậy, ransomware được chạy trên máy ảo mà có toàn bộ quyền truy cập các ổ đĩa trên máy thật.
Ransomware vrun.exe có một số tham số như sau:
- -backup
- -list
- -force
- -vm
Vì ransomware được chạy trong máy ảo, hành vi mã hóa của nó không thể bị can thiệp bởi các phần mềm diệt virus. Toàn bộ các file trên máy thật khi bị hóa hóa sẽ được tính cho tiến trình VboxHeadless.exe của phần mềm hợp pháp VirtualBox
Nguồn: Sophos
Chỉnh sửa lần cuối bởi người điều hành: