Posted in Novosti

Analiza Spider ransomvera

 Published Date: December 13, 2017

Analiza Spider ransomvera

Detalji

CERT-RS je u toku 12. i 13.12.2017. godine izvršio detaljnu tehničku analizu Spider ransomvera. Analizirano je ponašanje i modus operandi (killchain) ransomvera unutar inficiranog virtuelnog hosta, a dio informacija u ovoj analizi je preuzet iz dostupnih OSINT izvora, kao i kroz saradnju sa inostranim CSIRT timovima.

Nakon tehničke analize utvrđeno je da nije u pitanju varijanta „HiddenTear“ kako se pretpostavljalo prvobitno, već je riječ o zasebnoj porodici ransomvera koju istraživači nazivaju „File-Spider“.

Virus je širen spam kampanjom sa domena adriadoo.com. Prve infekcije su zabilježene 10.12.2017 godine u popodnevnim časovima. Prijavljeno je stotinjak infekcija, ali se pretpostavlja da je broj daleko veći. Najveći broj prijava se desio 11.12.2017. godine u prijepodnevnim časovima. Pogođeni su subjekti iz više oblasti, ali s obzirom da se radi o ciljanoj phishing kampanji, najveći broj pogođenih se bavi advokatskom djelatnošću.

Ransomver je kategorija malicioznog softvera koja zaključava datoteke na računarima ili mobilnim uređajima nakon čega od korisnika zahtjeva uplatu u anonimnoj valuti. Najčešće se zahtjeva uplata u kriptovaluti kao što je „Bitcoin“.

Email poruka koja je poslata korisnicima sadržavala je zahtjev od strane „Privatnog izvršioca – Azeljković Ivana“ koji je potraživao dugovanja u nekoj od lokalnih banaka. Ime banke je birano na osnovu lokacije primaoca.

Email poruka sadrži dokument sa .doc ekstenzijom nazvan po ciljanoj organizaciji. Unutar .doc dokumenta nalazi se maliciozni .vba makro koji sadrži „Powershell“ skriptu u base64 obliku. Dokument je napravljen kako bi korisnika naveo da otvori u modu koji dozvoljava izmjene i omogućio pokretanje makro komandi.

Korisnicima ne preporučujemo da dokumente od nepoznatih pošiljaoca otvaraju van podrazumijevanog moda rada. Takođe ne preporučujemo omogućavanje makro komandi. Makro komande koriste varijantu programskog jezika „Visual Basic“ kako bi pomogle naprednim korisnicima da automatizuju određene procese pri obradi teksta. Većina korisnika nema potrebu za korišćenjem makro komandi i ova legitimna funkcionalnost se često koristi za plasiranje virusa.

Ukoliko korisnik otvori dokument u zaštićenom modu i ne omogući makro komande ovaj virus neće zaraziti računar.

Powershell“ skripta preuzima obfuskovane enc.exe i dec.exe datoteke sa sledećih adresa:

http://yourjavascrip[.]com/53103201277/javascript-enc-1-0-9.js
http://yourjavascript[.]com/5118631477/javascript-dec-2-25-2.js

Nakon preuzimanja pokreće se zaključavanje datoteka na računaru i mijenja im se ekstenzija na .spider.

Glavni indikator da je računar zaražen je postojanje tzv. ransom note. Ransom note je obavještenje koju ransomver ostavlja i najčešće sadrži informacije na koji način da se izvrši uplata. Neke varijante ransomvera ostavljaju note u kojima se hakeri predstavljaju kao policijske agencije.

Korisnici mogu ukucati u Windows pretragu *.spider kako bi provjerili da li na njihovom sistemu postoje datoteke enkriptovane ovom varijantom. U nekim slučajevima antivirus primjeti sumnjivu aktivnosti i obriše virus prije nego što zaključa čitav računar, a očekuje se da će stopa detekcije rasti sa prolaskom vremena.

Ransom note upućuje korisnika na veb stranicu na anonimnoj TOR mreži  na adresi. spiderwjzbmsmu7y[.]onion

Ransomveri koriste moderne enkripcione algoritme koji se ne mogu razbiti osim ako hakeri naprave programersku grešku. „File-Spider“ koristi kombinaciju AES-128 i RSA-2048 algoritama. Ključevi koji se koriste za enkripciju su generisani na bezbjedan način te dekriptovanje ovih datoteka nije moguće osim ako se izvrši uplata. Iako uplata na račun u nekim slučajevima može dovesti do otključavanja ne preporučujemo uplatu jer ne postoji garancija da će datoteke biti vraćene.

Testirano je više programa za vraćanje obrisanih datoteka, ali nisu uspjeli vratiti datoteke. Jedini način za vraćanje datoteka je putem bekapa (Backup) ukoliko je prethodno omogućen.

Jedna od datoteka koju virus ostavlja na sistemu nazvana je 5p1d3r (Spider) i sadrži tekst:

„k.t.n.-Cr3w“ (ktn Crew) što može biti referenca na „Kosova Terrorist Network“ hakersku grupu iz Albanije koja je bila aktivna u periodu od 2010. do 2012. godine. Posljednja objavljena aktivnost ove grupe zabilježena je 2015. godine. Nije moguće utvrditi autentičnost ovog potpisa, te je moguće da je datoteka dodata kako bi se skrenuo trag u istrazi.

U ovom slučaju pretpostavka je da su napadači finansijski motivisani, iako „Bitcoin“ novčaniku za otkupnine u vrijeme pisanja članka nije izvršena ni jedan uplata.

Email poruka i sadržaj navode na pretpostavku da su napadači upoznati sa pravnom i finansijskom terminologijom regiona, te je razumna pretpostavka da su i oni sa istog područja, ili je uložen značajan napor da se razumije lokalni kontekst (npr. struktura i nadležnosti privrednih sudova u Republici Srpskoj). Čini se da je inicijalna vba skripta automatski generisana. „Powershell“ skripta, a izvršni dio (napisan korišćenjem .NET tehnologije) virusa može biti napisan od strane napadača ili je dobijen korišćenjem nekog RaaS (Ransomware-as-a-Service) servisa.   

Preporuke

·       Napraviti redovan bekap – Potrebno je uspostaviti bekap rutinu kojom će korisnik sačuvati podatke na neki eksterni mediju. Poželjno je korišćenje eksternog ili mrežnog diska na koji će se upisivati podaci na dnevnoj, sedmičnoj, ili mjesečnoj bazi u zavisnosti od učestalosti pisanja i važnosti podataka. Kao privremeno improvizovano rješenje se može koristi USB stik ili  cloud servis kao što je „Microsoft OneDrive“, „Google Drive“ ili „Dropbox“.

·       Ukoliko dobijete email poruku od nepoznatog pošiljaoca nemojte otvarati datoteke i nemojte klikati na linkove. Ova preporuka se odnosi i na druge poruke kao što su poruke na „Facebook Messenger“, „Viber“ ili  SMS poruke. Sve gorenavedene vrste poruka su ranije korišćenje za širenje različitih virusa uključujući ransomver.

·       Izbjegavati otvaranje .rtf, .doc, .xls, .ppt i sl. Ukoliko dobijete prilog u ovim formatima zahtijevajte da vam se dostavi .docx, .xlsx, .pptx i sl. Od verzije „Office 2007“ datoteke koje sadrže makro komande se moraju snimati u posebne ekstenzije kao .docm, .xlsm i sl.

·       Redovno ažurirati softver i antiviruse – Potrebno je redovno ažuriranje softvera i antivirusnog softvera, kako bi se spriječila eksploatacija ranjivosti u softveru. 

·       Izvršiti separaciju privilegija – Potrebno je koristiti naloge sa nižim nivoom privilegija, a administratorske naloge koristiti samo po potrebi.

·       Promijeniti podrazumijevani program za otvaranje sljedećih ekstenzija .bat, .js, .vbs  na „Notepad“ ili neki drugi tekst editor.

·       Izbrisati nepotrebne i zastarjele dodatke veb čitačima kao što je „Adobe Flash Player“.

·       U slučaju infekcije računar isključiti sa mreže.

·       U slučaju da zaključani podaci zauzimaju relativno malo prostora preporučujemo da se naprave kopije enkriptovanih podataka i sačuvaju za slučaj da se u budućnosti pojavi metod dekripcije, a o čemu će CERT-RS naknadno obavjestiti korisnike.

·       Poželjno je računar ugasiti i skenirati sa nekim od butabilnih antivirusa.  

Za administratore

Nakon inicijalne infekcije ransomver će kreirati novi direktorij unutar AppDataRoaming direktorijuma trenutnog korisnika pod nazivom Spider. Unutar kreiranog direktorijuma nalazi se nekoliko datoteka, između ostalog i izvršne kojima će se vršiti enkripcija korisničkih podataka. Ove datoteke će biti dodane na startup te će se pokrenuti svaki put kada korisnik pristupi sistemu.

Sama enkripcija datoteka može u zavisnosti od količine podataka na računaru da traje duži vremenski period, što korisniku daje šansu da reaguje brzo i pokuša spasiti što više podataka hitrom reakcijom.

Nakon pokretanja ransomver ne dozvoljava korisniku da pokrene programe koji bi mu omogućili da prekine proces enkripcije (npr. Windows Task Manager). Ipak, kreatori ransomvera su izostavili nekoliko metoda terminacije procesa te korisnik ima šansu da prekine enkripciju.

Jedan od metoda je putem Windows PowerShell-a. Klikom na Windows start dugme, te unosom powershell i pritiskom na enter pokreće se Windows PowerShell konzola.

Pokretanjem komande tasklist korisnik će dobiti listu procesa na računaru, jedan od procesa, u zavisnosti od faze u kojoj se ransomver nalazi će biti enc.exe ili dec.exe, pored kojeg će se nalaziti njegov PID.

Dalje je neophodno ukucati komandu kill i dodati pročitani PID ( npr. kill 3176) čime se prekida izvršavanje procesa enkripcije i blokiranja korisničkog interfejsa.

Nakon što korisnik prekine izvršavanje ransomvera trebao bi pristupiti brisanju procesa sa startup liste kako bi se spriječilo pokretanje na svakom paljenju sistema. Unos se može naći pokretanjem msconfig-a i pristupom tabu Startup unutar koga će se nalaziti putanja do datoteke ransomvera.

 

OSINT IZVORI:

https://www.bleepingcomputer.com/forums/t/665090/is-the-spider-ransomware-known-or-is-it-some-variant-of-another-ransomware/

https://www.bleepingcomputer.com/news/security/file-spider-ransomware-targeting-the-balkans-with-malspam/

http://www.sdkhere.com/2017/12/analysis-of-file-spider-ransomware.html

https://www.netskope.com/blog/spider-new-thread-ransomware-web/

Leave a Reply