23.7 C
İstanbul
27/07/2024

Epics for Security
Image default
HaberlerZararlı Yazılım Analizleri

WASTEDLOCKER RANSOMWARE

by Mustafa Okay Maktav0230

WastedLocker, Nisan 2020’den beri aktif olan, Maze ve NetWalker gibi fidye yazılım ailelerine benzer şekilde birçok sektörde yüksek değerli hedefleri odağına yerleştirmiş bir fidye yazılımı ailesidir. Kampanyaları, ABD merkezli Fortune 500 şirketlerini de hedef almıştır.

Payload iletimi birden fazla metodoloji ile gerçekleştirilmektedir. Saldırganlar, hedeflenen ortamda bir yer edindikten sonra, Cobalt Strike gibi araçları- genellikle fidye yazılımı payloadlarını doğrudan iletmek için- kullanmaktadır. WastedLocker’ın arkasındaki aktörlerin, JavaScript tabanlı bir Framework olan SocGholish Framework’ünden yararlandığı tespit edilmiştir.

SocGholish, 2018’den beri çok sayıda kötü amaçlı yazılım kampanyasında ve geçmiş saldırılarda NetSupport RAT, Lokibot ve diğer kötü amaçlı yazılım türleri/aileleri ile kullanılan bir araç setidir. Kötü amaçlı JavaScript kodunu içeren web siteleri ile kurulan iletişim sonucunda kullanıcılar zararlı yazılımın hedefi haline gelmektedir.

Saldırganlar, SocGholish aracı ile kurbanları enfekte ettikten sonra, Cobalt Strike aracını kullanarak hedeflenen bilgisayarlar ve/veya ortamlar üzerinde yanal hareket ederek diğer cihazlara yayılır ve bu cihazlardaki profil verilerini elde etmeyi hedefler. WastedLocker zararlı ailesini kullanan tehdit aktörü, payload’ı hedef bilgisayarlara iletmeden önce temel Windows Defender özelliklerini devre dışı bırakmakta ve VSS (Volume Shadow Copies) kopyalarını silmektedir. Bu tehdit aktörü, kampanyalarında sıklıkla LOTL (Living off the Land) tekniğini kullanmaktadır. Örnek olarak, bazı kampanyalar içerisinde WastedLocker’ın başlatılmasını sağlamak için “PsExec” kullanılmaktadır.

Resim 1: Süreç Haritası

WastedLocker’ın yönetici yetkileriyle (Administrative Privileges) çalışma eğilimi bulunmaktadır. Eğer zararlı yazılıma ait payload dosyası yönetici yetkileri olmadan çalıştırılır ise, zararlı UAC bypass yöntemlerini kullanarak yetkilerini artırmaya çalışır.

Zararlı, yönetici yetkilerini elde ettikten sonra rastgele bir dosyanın kopyasını “System32“dizininden “%APPDATA%” dizinine yazmaktadır. Bu kopyalanan dosya rastgele ve gizli bir dosya adına sahip olmaktadır. Bu işlem, fidye yazılımının alternatif bir veri akışı (ADS) aracılığıyla kendisini dosyaya kopyalama yeteneği kazanmasını sağlamaktadır.

Bu adımı, “%TEMP%” dizininde “WINMM.DLL” ve “WINSAT.EXE” kopyalarını içeren yeni bir klasör oluşturulması takip etmektedir. “WINMM.DLL” dosyasının “%TEMP%” dizinindeki kopyası, daha önce oluşturulan alternatif veri akışından (ADS) fidye yazılımını yürütmek için kullanılmaktadır.

Şifreleme Adımı

WastedLocker’ın şifreleme stili, diğer önde gelen fidye yazılımı ailelerinden çok da farklı değildir. WastedLocker, yerel ve çıkarılabilir disklerdeki dosyaları şifrelemeye çalışmaktadır. Zararlı, uygun diskleri bulduğunda şifreleme işlemine başlamaktadır.

Tüm dosya türleri şifreleme için potansiyel adaylar olmaktadır fakat fidye yazılımları bazı dizinlerin ve uzantıların şifrelenmemesi için beyaz liste uygulamaktadır. Bu fidye yazılımı, dosyaları AES şifreleme metodu ile şifrelemektedir. AES anahtarları, daha sonrasında RSA-4096 genel anahtar (public key) kullanılarak şifrelenmektedir.

Fidye notları, RSA genel anahtarının base64 temsilini içermektedir. Şifrelenmiş dosyalar, hedeflenen şirketin adı ile “wasted” uzantılı olarak yeniden isimlendirilmektedir. Örnek olarak şirketin ismi “ABCDEF” olsaydı, enfekte dosyaların isimleri “file.pdf.ABCDEFwasted” gibi isimlendirilmektedir. Aşağıdaki örnek, bulaşma sonrası bir dizi şifrelenmiş dosyayı göstermektedir (gizlilik için yeniden düzenlenmiştir).

Resim 2: Şifrelenmiş Dosya Örnekleri

Her şifrelenmiş dosya için, dosya uzantısının sonuna “_info” eklenmiş ek bir dosya da oluşturulmaktadır. Bu dosyalar fidye notları olarak karşımıza çıkmaktadır. Her fidye notunun ayrıca “şirket/hedef adını” ve ana bilgisayara özgü genel anahtarın kodlanmış bir kopyasını içerdiği görülmektedir. Saldırganlar, kurbanlarına daha fazla bilgi alabilmeleri için kendilerine e-posta göndermelerini belirtmektedir.

Resim 3: Ransomware Mesajı

Ayrıca, analiz edilen bazı örneklerin belirli komut satırı parametrelerini kullandığı görülmektedir.

  • takeown.exe /F C:\Windows\system32\Setup2.exe
  • vssadmin.exe Delete Shadows /All /Quiet
  • cmd.exe (choice.exe)” & del “C:\Users\xxxxx\Music\wastlock_5.exe”
  • cmd.exe (choice.exe) /c choice /t 10 /d y & attrib -h “C:\Users\xxxxxx\AppData\Roaming\Index” & del “C:\Users\xxxxxx\AppData\Roaming\Index”
  • C:\Users\adminx\AppData\Roaming\Network:bin -r

MITRE ATT&CK

  1. Hide Artifacts: Hidden Files and Directories T1564
  2. Hide Artifacts: NTFS File Attributes T1564
  3. System Services: Service Execution T1569
  4. Abuse Elevation Control Mechanism: Bypass User Access Control T1548
  5. Native API T1106
  6. Command and Scripting Interpreter T1059
  7. File Permissions Modification T1222
  8. Command-Line Interface T1059
  9. Data Encrypted for Impact T1486
  10. Inhibit System Recovery T1490

Bulunan zararlılara ait hash değerleri aşağıdaki gibidir:

MD5

  1. edbf07eaca4fff5f2d3f045567a9dc6f (IDMipdate.exe VT: 61/72)
  2. ecb00e9a61f99a7d4c90723294986bbc (ecb00e9a61f99a7d4c90723294986bbc.virus VT: 60/72)
  3. 2000de399f4c0ad50a26780700ed6cac (_00180000.mem VT: 59/72)
  4. 0ed2ca539a01cdb86c88a9a1604b2005 (VT: 59/71)
  5. 6b20ef8fb494cc6e455220356de298d0 (Launchy.exe 59/73)
  6. d7eefcce371e3deec178a2a1c12f2c22 (Launchy.exe 49/73)
  7. bceb4f44d73f1a784e0af50e233eb1b4 (config:bin VT: 51/72)
  8. 3208a14c9bad334e331febe00f1e9734 (still:bin 52/72)
  9. f67ea8e471e827e4b7b65b65647d1d46 (Launchy.exe VT: 59/72)
  10. 572fea5f025df78f2d316216fbeee52e (Launchy.exe VT: 58/72)
  11. 13e623cdfb75d99ea7e04c6157ca8ae6 (Launchy.exe VT: 57/72)

SHA1

  1. 9292fa66c917bfa47e8012d302a69bec48e9b98c
  2. be59c867da75e2a66b8c2519e950254f817cd4ad
  3. 70c0d6b0a8485df01ed893a7919009f099591083
  4. 4fed7eae00bfa21938e49f33b7c6794fd7d0750c
  5. 763d356d30e81d1cd15f6bc6a31f96181edb0b8f
  6. e13f75f25f5830008a4830a75c8ccacb22cebe7b
  7. b99090009cf758fa7551b197990494768cd58687
  8. 809fbd450e1a484a5af4ec05c345b2a7072723e7
  9. e62d3a4fe0da1b1b8e9bcff3148becd6d02bcb07
  10. 91b2bf44b1f9282c09f07f16631deaa3ad9d956d
  11. f25f0b369a355f30f5e11ac11a7f644bcfefd963

SHA256

  1. ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3
  2. e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae992222a8eb
  3. bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8
  4. aa05e7a187ddec2e11fc1c9eafe61408d085b0ab6cd12caeaf531c9dca129772
  5. 9056ec1ee8d1b0124110e9798700e473fb7c31bc0656d9fc83ed0ac241746064
  6. 8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80
  7. 887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d
  8. 97a1e14988672f7381d54e70785994ed45c2efe3da37e07be251a627f25078a7
  9. 85f391ecd480711401f6da2f371156f995dd5cff7580f37791e79e62b91fd9eb
  10. 7a45a4ae68992e5be784b4a6da7acd98dc28281fe238f22c1f7c1d85a90d144a
  11. 5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367

Kaynak:

WastedLocker Ransomware: Abusing ADS and NTFS File Attributes

Related posts

NETWALKER vs LORIEN HEALTH SERVICES

Mustafa Okay Maktav

OLDGREMLIN RUSYAYI HEDEF ALDI!

Mustafa Okay Maktav

Emotet, artık Microsoft Word’ü yükseltmenizi istiyor!

Yeşim Alan

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası