ذكاء البرامج الضارة

التحليل الفني لبرنامج MedusaLocker رانسوم وير

September 29, 2022

دقيقة

جدول المحتوى

مثال H2

المؤلف: أناندشوار أونيكريشنان
المحرر: بابلو كومار

تشير الأبحاث إلى أنه على الرغم من انخفاض تكاليف اختراق برامج الفدية بشكل طفيف من 4.62 مليون دولار أمريكي إلى 4.54 مليون دولار أمريكي في عام 2021، إلا أن برامج الفدية لا تزال مسؤولة عن 11٪ من الانتهاكات. القطاعات الأكثر استهدافًا (حوالي 57٪) هي الحكومة والتكنولوجيا والرعاية الصحية والمؤسسات الأكاديمية.

ميدوسا لوكر هي عائلة برامج الفدية التي ظهرت في سبتمبر 2019 وتم استخدامها بسرعة للهجمات على الشركات من جميع أنحاء العالم. كان يستهدف بشكل خاص المستشفيات والمنظمات الأخرى في صناعة الرعاية الصحية.

هذا التقرير الفني مستوحى من CISA Cybersecurity Advisory ويقدم تحليلًا متعمقًا للبرامج الضارة وتصاعد امتيازاتها ومكافحة الاكتشاف ومسح الشبكة وتقنيات التشفير وما إلى ذلك.

طريقة العمل

يعتمد MedusaLocker بشكل أساسي على نقاط الضعف في بروتوكول سطح المكتب البعيد (RDP) للوصول إلى شبكات الضحايا.
يتم تشفير بيانات الضحية ويتم وضع مذكرة فدية مع تعليمات الاتصال في كل مجلد يحتوي على ملف مشفر.
يتم تزويد الضحايا بعنوان محفظة بيتكوين محدد للحصول على فدية.
ربما تعمل Medusa كنموذج Ransomware-as-a-Service (RaaS).

ملخص فني

يقوم برنامج الفدية بتجاوز UAC (تصعيد الامتيازات) لتشغيل البرامج الضارة بحقوق إدارية.
يتم قفل بيانات المستخدم باستخدام AES ومفتاح AES محمي بتشفير RSA.
يتم إنشاء مهمة مجدولة لتشغيل الخزانة كل 15 دقيقة.
يقوم برنامج الفدية بتعداد وإنهاء عمليات محددة تعمل على النظام المستهدف. يتم حذف بعض الخدمات لضمان التنفيذ السلس.
يمكن أيضًا إجراء استطلاع للشبكة عبر فحص ping لتحديد الأصول المتصلة.
يمكن لبرنامج الفدية قفل الملفات على الأنظمة المحلية والمتصلة.

اقرأ أيضًا التقرير المفصل عن زيادة الهجمات الإلكترونية على قطاع الرعاية الصحية العالمي

التحليل الفني

المرحلة الأولى - عمليات ما قبل التشفير

يبدأ MedusaLocker تنفيذه عن طريق استرداد المعلومات المحلية للضحية مثل المنطقة واللغة التي حددها المستخدم.

ابتكار موتكس

يتم إنشاء mutex لضمان عدم تشغيل مثيلات متعددة من البرامج الضارة على النظام المخترق.

Process of mutex creation — عملية إنشاء mutex

بعد فحص mutex، تستمر البرامج الضارة في التحقق من تصعيد الامتيازات من خلال الحصول على رمز معالجة للبرامج الضارة والتحقق مما إذا كان الرمز المميز مرتفعًا عبر»فئة ارتفاع الرمز«انتقلت إلى Advapi 32. احصل على معلومات الرمز المميز API. بهذه الطريقة يمكن للبرامج الضارة تأكيد ما إذا كانت تعمل بامتيازات مرتفعة لقشرة المسؤول.

تصعيد الامتيازات

Preparing for privilege escalation — التحضير لتصعيد الامتيازات

إذا كانت البرامج الضارة لا تعمل بامتيازات مرتفعة، فإنها تقوم بتجاوز ارتفاع UAC عبر CMSTPLUA COM واجهة. تعد آلية تجاوز UAC (التحكم في حساب المستخدم) ناقلًا مفرطًا وشائعًا جدًا في برامج الفدية للوصول إلى الموارد بمستوى عالٍ من النزاهة، وبالتالي الحصول على امتيازات إدارية على النظام المستهدف.

اقرأ أيضًا ما هو برنامج Redeemer Ransomware وكيف ينتشر: تحليل فني

بعد رفع مستوى العملية، تستمر البرامج الضارة في تعطيل ميزتين، إنابل لوا و مسؤول سلوك موجه الموافقة، مسؤولة عن إخطار المستخدم بأي نشاط مشبوه على النظام عبر التسجيل.

Disabling the two features via registry — تعطيل الميزتين عبر التسجيل

مفتاح تسجيل جديد «MDSLK» تم إنشاؤه بواسطة البرامج الضارة الموجودة على نظام الضحية. هذه واحدة من الأشياء الواضحة مؤشرات ميدوسا لوكر.

Creation of new registry key “MDSLK” — إنشاء مفتاح تسجيل جديد «MDSLK»

تهيئة التشفير

يستخدم ميدوسا لوكر AES و RSA في عملية القفل الخاصة بها. معيار التشفير المتقدم (AES) هو تشفير كتلة متماثل يتم تنفيذه لتشفير البيانات الحساسة. RSA هو نظام تشفير للمفتاح العام يستخدم لنقل البيانات بشكل آمن.

يتم تشفير بيانات المستخدم باستخدام AES ومفتاح AES محمي بتشفير RSA.

تهيئة سياق التشفير لـ RSA بواسطة البرامج الضارة

تهيئة سياق التشفير لـ AES بواسطة البرامج الضارة

إصرار

يشرع MedusaLocker في نسخ ملف البرامج الضارة إلى %بيانات التطبيق% من المستخدم كـ svhost.exe. يحتوي مجلد AppData على إعدادات مخصصة ومعلومات أخرى تحتاجها تطبيقات النظام لتشغيلها. إنه مجلد مخفي يتضمن إعدادات التطبيق والملفات والبيانات الفريدة للتطبيقات المختلفة، إلى جانب جميع البيانات الخاصة بملف تعريف مستخدم النظام.

ثم، من خلال إساءة استخدام جدولة مهام COM الفئة 0f87369f-a4e5-4cfc-bd3e-73e6154572 dd، يتم إنشاء مهمة مجدولة على النظام المستهدف الذي ينفذ البرامج الضارة، في كل 15 دقيقة.

Copying malware to the APPDATA folder and creating a scheduled job — نسخ البرامج الضارة إلى مجلد APPDATA وإنشاء مهمة مجدولة

ال إركسيد تساعد القيمة في تحديد الفئة المحددة التي تستهدفها البرامج الضارة لتحقيق الهدف. في هذه الحالة، هوية شخصية القيمة 0f87369f-a4e5-4cfc-bd3e-73e6154572 dd يؤكد أن البرامج الضارة تصل إلى فئة جدولة المهام التي تم تنفيذها بواسطة C:\Windows\System32\taskschd.dll.

Malware targeting the task scheduler class — البرامج الضارة التي تستهدف فئة جدولة المهام

تعداد الجهاز ووحدة التخزين

وحدة التخزين أو محرك الأقراص المنطقي عبارة عن منطقة تخزين واحدة يمكن الوصول إليها باستخدام نظام ملفات واحد، وعادةً ما تكون موجودة على قسم واحد من القرص الثابت. قبل عملية التشفير، يقوم MedusaLocker بتعداد (التعداد يكشف العيوب الأمنية المحتملة) وحدات التخزين المحلية والمشاركات المرفقة على النظام المستهدف. عند إجراء مزيد من التحقيق في الكود، تم العثور على واجهات برمجة التطبيقات التالية لاستخدامها لإجراء التعداد:

احصل على محركات أقراص منطقية
احصل على اتصالات W
ابحث عن المجلد الأول W
جهاز الاستعلام عن الجرعة W
ابحث عن المجلد التالي W

تستهدف البرامج الضارة قسم SystemReserved عن طريق تركيبه عبر setVolumeMountPointW. أثناء مرحلة القفل، يتم تشفير بيانات القسم المحجوز لمنع استعادة البيانات.

Malware targeting the SystemReserved partition — البرامج الضارة التي تستهدف قسم SystemReserved

اقرأ أيضًا التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء الأول)

إنهاء الخدمة والعملية

بعد تعداد وحدة التخزين وتركيب القسم المحجوز، يقوم MedusaLocker بإنهاء قائمة العمليات وحذف خدمات النظام. يحتوي الجدول أدناه على قائمة بالخدمات التي تستهدفها Medusa.

الخدمات التي سيتم إنهاؤهاساعة ديف المغلفة CCevtmgrccsetMgr Rsavroam خوادم SQL وكلاء SQL خادم SQL خادم كمبيوتر محمول Rtvscan متصفحات SQL SQL SQL SQL SQL خدمة BIDP Intuit.QuickBooks. fcsqbcf خدمات الشاشة Sqlwriter Msmdsrvvمقابل SQLdhlptomcat6Zhudong Fangyuvmware-usbarbitator 64 VMware محول VMsrv12dbg8

تفتح البرامج الضارة كل خدمة في القائمة عبر واجهة برمجة التطبيقات للخدمات المفتوحة وتراقب حالتها عبر حالة خدمة الاستعلام. إذا كانت حالة الخدمة في انتظار إيقاف الخدمة ثم تنام البرامج الضارة حتى يحدث تغيير جديد في الحالة.

Locker waits for a state change — ينتظر لوكر تغيير الدولة

بمجرد حدوث تغيير في الحالة، تقوم Medusa باسترداد الخدمات وإيقافها (اعتمادًا على الخدمة المستهدفة) عن طريق إرسال إيقاف التحكم بالخدمة إشارة تحكم.

Sending a SERVICE_CONTROL_STOP control signal — إرسال إشارة تحكم SERVICE_CONTROL_STOP

بعد إيقاف الخدمة، تحذف البرامج الضارة هذه الخدمة أيضًا.

Locker deletes services after stopping it — يقوم Locker بحذف الخدمات بعد إيقافها

تسترد الخزانة مؤشرًا إلى البنية التي تحتفظ بالعمليات النشطة على النظام وتتصفح القائمة عبر إنشاء أداة مساعدة 32 لقطة، المعالجة 32 الأولى، و العملية 32: الخطوة الثانية واجهات برمجة التطبيقات. إذا تم العثور على تطابق، يتم إنهاء العملية عبر إنهاء العملية API.

Code for terminating processes — رمز إنهاء العمليات

يحتوي الجدول أدناه على قائمة العمليات الجارية التي تستهدفها Medusa.

العمليات الجارية التي يتم استهدافهاخادم wxServer.exe يعرض ملفات SQL server.exeqlmangr.exeqlmangr.exeragui.exeqbdgmgr.exeqbgmgr.exeqbdgmgr.exeqbdmgr.exeqbdmgr.exeqbdmgr.exeqbdmgr.exeqbdmgr.exeqbdmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exeqbdgmgr.exesdtsrvr.exe إلى كات 6.exe java.exe360 se.exe 360 se.exe 360 Doctor.exe edswfsafe.exeمشغل.exefdhost.exegdscane.exe

الاسترداد وإزالة النسخ الاحتياطي

بمجرد تعداد جميع العمليات والخدمات، تستمر البرامج الضارة في إزالة النسخ الاحتياطية وتحييد آليات الاسترداد قبل تشفير البيانات.

Preparing for backups removal and neutralizing recovery mechanisms — التحضير لإزالة النسخ الاحتياطية وتحييد آليات الاسترداد

لتنفيذ أوامر السلسلة أعلاه، يتم إنشاء عملية جديدة ويتم تمرير السلسلة كمعامل.

Creation of a new process to execute the commands — إنشاء عملية جديدة لتنفيذ الأوامر

ثم تنتقل البرامج الضارة إلى تفريغ سلة المحذوفات.

Malware clearing the recycle bin — تقوم البرامج الضارة بمسح سلة المحذوفات

فحص الشبكة

يقوم ميدوسا لوكر بتمكين تمكين الاتصالات المرتبطة ميزة في السجل لجعل المشاركات البعيدة قابلة للوصول من جلسة العملية الإدارية المرتفعة. تلعب هذه الميزة دورًا مهمًا في بيئة شبكية، خاصة عندما يريد المستخدم الوصول إلى مورد شبكة من عملية مرتفعة.

Locker preparing to make the remote shares accessible — تستعد الخزانة لإتاحة الوصول إلى المشاركات عن بُعد

برنامج الفدية قادر على صياغة حزم ICMP وإرسالها عبر الشبكة للبحث عن المثيلات المتصلة وتعداد المشاركات المرفقة.

Code for implementing the ICMP scan to enumerate the connected hosts in the network. — رمز لتنفيذ فحص ICMP لتعداد المضيفين المتصلين في الشبكة.

اقرأ أيضًا التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء 2)

بعد إجراء الفحص، يستخدم MedusaLocker نت شارينوم API لجمع معلومات حول الموارد المشتركة من قبل الخادم البعيد في الشبكة. يوضح هذا قدرة البرامج الضارة على إصابة الموارد المتصلة بالشبكة المخترقة.

Code for infecting resources connected to the compromised network — رمز لإصابة الموارد المتصلة بالشبكة المخترقة

المرحلة الثانية - التشفير والقفل

تحتوي الخزانة على تدفقات تحكم منفصلة لقفل بيانات المستخدم على النظام المحلي والمضيفين المتصلين بالشبكة. روتين التشفير (الجزء الفرعي 5258e0) المستخدمة في كلتا الحالتين هي نفسها.

Malware’s control flow for encryption and locking — تدفق التحكم في البرامج الضارة للتشفير والقفل

يتم تنفيذ روتين التشفير على النحو التالي:

يقوم برنامج الفدية بإنشاء ملف جديد لحفظ البيانات المشفرة عبر إنشاء ملف جديد API.
ال فرعية 535840 يقوم بإجراء التشفير وكتابة البيانات في الملف الذي تم إنشاؤه حديثًا.
ال نقل ملف EXW يتم استخدام API لإعادة تسمية الملف وإضافة». مارلوك 11» ملحق.

Code for the implementation of the encryption routine — رمز لتنفيذ روتين التشفير

مؤشرات التسوية (IOCs)

تجزئات قابلة للتنفيذ634 × 84758 × 8 بوصة × 9 بوصة × 3 بوصة × 904 × 8 بوصة × 9 بوصة × 9 بوصة × 9 بوصة × 9 بوصة × 10 بوصة × 8 بوصة × 9 بوصة × 5 بوصة × 3 بوصة × 4 بوصة × 72 بوصة × 7 بوصة × 5 بوصة × 5 بوصة × 5 بوصة × 51 بوصة × 7 بوصة × 9 بوصة × 7 بوصة × 7 بوصة × 9 بوصة × 7 بوصة × 9 بوصة × 17 بوصة × 9 بوصة × 9 بوصة × 4 بوصة × 98 سم 9 بوصة × 7 بوصة × 71 بوصة × 7 بوصة × 17 بوصة × 9 بوصة 067d9b549594 f8 دي سي 60c941 f93346e376 c008939141 fb565 c044895627 bbbeb 522 d840 d24899 ديسمبر 53545e4a925012 ديسيبل 83230 ec2ec1c316045d5e2e43 cc0f1 df738 e6367 b520310a4b644717 bda 43f46c51f28a35c91e789a4b5032c87a3f03x87a3f036019b4997 dc092 ad1c8 a625 cb12325 d13acb03ad4f9977 f426 baf8b4688 af04d4ff23a5f1 bbd747 a147c0fbe10d483a0db66 86b1f03f18b00db60c69fb9a9f4a941764c2c3426367 c1c367c1 c361 b3b649918 bc5b3ad3d 5c5bd1d 1bbd7c585fbe2557410e267d161d 3b998465 ab4311a7db9f0b10921cf6a0d7a7a746c4023d78fdc1c253 eee69e5b9d15840 fb0547 f71166adb 89c7a58647d4e379256 a2f9806 dd5a33862799 a72 b56725196298391 قدم 3d 52b8536b018a8b60d97c443161e912430079 ed3019e31469 f150f69 f150f69 bda363 c8a3454113236620 aa44155 ديسيبل 845 e76895227240b0bc79c6bd003c6bd00385369dd458a0db1ae0d7d8c5e5e5a24fd1088b8029a4e5e4e5e5e4e51c02e7b77d400 c17b858 a66a13e8102 f809e23e0 ad0b88ced5 eecfa319797c9th 709d09094a74a74743d858 aa3fe92260ec183a25999c849 18d4f86149649 f1a701 ac91b04d73e8678495 ديسيبل 4f2fffcb4e09 ad772895647 e8f161b1ac713592 f475e 8207c85722f13