Приветствую, читатели. Не так давно в сети была обнаружена новая версия вымогателя BlackCat, и на этот раз злоумышленники начали использовать передовой инструмент под названием Munchkin. Он позволяет вредоносу развертываться из виртуальной среды на другие сетевые устройства. Теперь эта Кошка способна шифровать не только удаленные сетевые ресурсы через протокол SMB, но и ресурсы Common Internet File System (CIFS).
Исследовательская лаборатория по кибербезопасности Palo Alto Networks впервые обнаружила обновленный инструментарий Черной Кошки. По их словам, теперь вымогатель распространяется через ISO-файлы Linux и Windows. Когда жертва устанавливает образ в виртуальную среду (WMware, VirtualBox или другие), срабатывает ранее упомянутый Munchkin. В этой цепочке он является одновременно и дроппером и трояном удаленного доступа (RAT). Вшитый вредонос загружает в систему BlackCat, а после распространяет его и на удаленные сети.
Дроппер — это вид вредоносного программного обеспечения, которое используется для тайного внедрения и запуска других вредоносных программ или компонентов на компьютере или в сети. Этот тип вируса получил свое название от своей функции «дроппинга» (передачи) других вредоносных файлов или кодов на зараженную систему.
RAT — это тип вредоносного программного обеспечения, которое предоставляет злоумышленнику возможность дистанционно управлять компьютером или устройством, на котором оно было установлено.
Почему и без того швейцарский нож в мире вирусов с каждый месяц обзаводится все новыми и новыми функциями? Об этом сегодня и поговорим.
BlackCat — краткая история самого многофункционального вымогателя на сегодняшний день
Интересный факт — этот вредонос достаточно молод. Первые упоминания о нем всплыли в сети весной 2022 года, и на то время на фоне других угроз он не был особенно примечательным. Но время шло, а эта Черная Кошка никуда не исчезала, напротив, разработчики постоянно улучшали своё творение, дополняя его всё новыми и новыми функциями. И к началу лета 2022 года, вымогатель BlackCat стал одной из самых продвинутых угроз.
В чем кроется секрет такого небывалого энтузиазма злоумышленников? Всё очень просто — им нужно было обойти своих конкурентов на рынке. Дело в том, что BlackCat распространяется исключительно по принципу Ransomware-as-a-Service, дословно — «Вымогатель как услуга».
Ransomware-as-a-Service (RaaS) — это модель распространения и использования вредоносного программного обеспечения как услуги, доступной для потенциальных злоумышленников через сеть. Это означает, что злоумышленники могут арендовать или приобрести вымогатель и использовать его для проведения атак на компьютеры и сети, захватывая файлы и шифруя их, а затем требуя выкуп за их дешифрацию.
Больше не нужно годами изучать какой-то язык или быть гением, чтобы стать киберпреступником, достаточно просто купить уже готовый продукт. Я считаю, что RaaS — это очень проблемная штука по следующим причинам:
Доступность для широкого круга пользователей: RaaS предоставляет возможность использовать вымогателей даже тем, кто не имеет глубоких знаний в области кибератак. Это приводит к тому, что всё больше злоумышленников могут проводить атаки с использованием этого типа вредоносного ПО.
Обслуживание и инфраструктура: RaaS обычно включает в себя инфраструктуру для приема выкупа и обслуживания жертв. Это значит, что за этим делом стоят как минимум опытные люди. Шансы быть пойманными из-за какой-то глупой ошибки очень низкие.
Множество вариантов: RaaS может предоставлять различные варианты вымогателей с разными характеристиками и возможностями, включая целевые системы, методы шифрования и требования к выкупу.
Конкуренция между различными «производителями» вредоносного ПО провоцирует форсированное развитие продукта, что прекрасно видно на примере сегодняшнего гостя.
Видимо, по инструкции производителя злоумышленники все вместе нацелились на мелкий и средний бизнесы практически во всех странах мира, включая Россию и СНГ. Почему частные лица менее подвержены этой напасти? По мнению злоумышленников, они менее охотно платят выкуп, что не очень далеко от правды.
Вектор распространения очень и очень широк, сюда можно отнести обычные спам-рассылки, к которым мы уже привыкли, или огромные порталы, распространяющие пиратские копии систем. Возникает вопрос, зачем люди качают образы Linux с левых порталов, когда он бесплатен? Ладно, Windows… Но Linux-то зачем?
Изначально вымогатель распространялся посредством инфицированного документа Microsoft Office (в одной из статей мы уже разбирали подобную цепочку). За доставку вредоноса и его открытие на целевой системе отвечает макрос, срабатывающий при нажатии на определенный элемент документа.
Методы шифрования BlackCat практически ничем не отличаются от его коллег, но с некоторыми доработками, которые значительно затрудняют процесс расшифровки. К примеру, RSA ключ никогда не будет храниться на одном диске с зашифрованными файлами. Более детально мы поговорим об этом уже на этапе анализа.
Munchkin — что же ты такое?
В рамках этой статьи мы не будем разбирать этот вредонос детально. Если это сделать, то статья превратится в целый роман. Возможно, об этом вредоносе выйдет отдельная публикация, так как связан он не только с вымогателем BlackCat и имеет достаточно обширную инфраструктуру, на анализ которой требуется много времени и текста.
Но общие сведения о нем привести всё-таки стоит. Первое, что стоит отметить, так это то, что вредонос не просто маскируется под .ISO-образ. Это даже маскировкой назвать сложно, ведь он буквально является неотъемлемой составляющей .ISO. Манчкин имеет модульную структуру, он состоит из ядра и дополнительных приложений, написанных на Python:
Controller: ключевое приложение, отвечающее за функции RAT (контроль зараженного устройства, захват изображения с экрана или вебкамеры).
Payload: приложение, позволяющее удаленному злоумышленнику выполнить произвольную полезную нагрузку на устройстве жертвы.
Smb_copy_and_exec.py: скрипт-дроппер на Python, использует протокол SMB для реализации.
Dumpntlminfo.py: скрипт, ворующий данные с NT LAN Manager.
Server Message Block (SMB) — это протокол сетевого взаимодействия, используемый для обмена файлами, принтерами и другими ресурсами в сети. SMB задействуется в среде Windows для обеспечения общего доступа к файлам и принтерам.
NT LAN Manager — представляет собой протокол аутентификации, который часто используется в сетях Windows. В основном NTLM применяется для проверки подлинности пользователей и предоставления им доступа к ресурсам в локальной сети.
BlackCat — краткий статистический анализ
Путем обычного вскрытия ISO-образа мы ищем файл, отвечающий за загрузку и запуск основной полезной нагрузки (шифровальщика), и извлекаем из него наш образец.
Список инструментов, используемых для анализа:
DIE — Detect It Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE-файла.
Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
IDA PRO — инструмент для реверс-инжиниринга.
Reko — декомпилятор, также знаком нам из прошлых статей.
HollowHunter — утилита распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
Итак, перед нашими глазами извлеченный образец вредоноса, весит он целых 14 МБ, что для вредоносов достаточно много. Отсутствует любая другая информация о файле.
По классическому сценарию сперва воспользуемся DIE для получения дополнительных сведений. Получаем достаточно странный результат: если верить DIE, вредонос является 32-битным исполняемым PE-файлом, но одновременно и консольным приложением с архитектурой i386. В качестве компилятора был использован GNU Linker Id 2.35. Но все мои сомнения были развеяны, когда я попытался запустить вредонос на своей виртуальной машине. BlackCat действительно является консольным приложением, которое можно запускать с различными аргументами. Именно поэтому Манчкин использует скрипт SMB-copy-and-exec для его доставки.
Консольное приложение в Windows — это приложение, которое работает в текстовом режиме через командную строку. Оно взаимодействует с пользователем через текстовый интерфейс, предоставляя командную строку для ввода команд и отображая текстовый вывод.
Консольные приложения могут выполнять различные задачи, такие как обработка файлов, выполнение системных команд, административные функции и т. д.
А теперь давайте уже традиционно посмотрим на процент обнаружения антивирусными приложениями. Для этого, как всегда, выгружаем образец на VirusTotal. На момент написания статьи, впервые эта версия Черной Кошки была загружена для сканирования всего 8 дней назад, а процент обнаружения составляет 52/72, что является прекрасным показателем. Все популярные антивирусные приложения справляются прекрасно.
Так как вредонос — это консольное приложение, единственным вариантом, как можно детально разобраться в его устройстве, является использование дебаггера. А именно старой доброй утилиты x32dbg.
Примерный алгоритм работы вредоноса:
Повышение привилегий и обход UAC;
Обеспечение собственной безопасности и закрепление в системе;
Непосредственно шифрование данных;
Формирование записки о выкупе и другие манипуляции.
Первый этап: повышение привилегий и обход UAC
Сразу же после запуска в системе вредонос пытается обойти UAC, чтобы жертва не получила никаких уведомлений о деятельности вредоноса.
UAC (User Account Control) — это механизм безопасности, внедренный в операционные системы начиная с Windows Vista. Он предоставляет дополнительный слой безопасности, предотвращая несанкционированный доступ к системным ресурсам и изменения важных настроек без разрешения пользователя. Проще говоря, те самые всплывающие окна «вы действительно хотите запустить этот файл?».
Реализовано это посредством злоупотребления интерфейсом компонентной объектной модели Windows(COM). В операционной системе их содержится множество, и каждый из них имеет свой уникальный CLSID. BlackCat использует CLSID 3ad05575-8857-4850-9277-11b85bdb8e09, который соответствует интерфейсу IFileOperation. Он идеально подходит для обхода UAC, так как может запускаться с правами администратора в системе.
Если мы обратимся к дебаггеру, то увидим следующие строчки, отвечающие за использование этого CLSID’a:
Посредством функции CoGetObject вредонос регистрирует новый интерфейс с аналогичным CLSID и будет использовать его в дальнейшем для обхода блокировки UAC. Важно отметить, что каждая версия вредоноса использует разный интерфейс. Также эта манипуляция решает сразу две проблемы: жертва не получает уведомления о запуске каких-либо приложений, а вредонос обретает права администратора. Я впервые встречаю подобный метод.
Затем вредонос создает новый файл с названием Prev посредством функции CreateFileA и переносит его в только что созданный поток. Название модуля говорит само за себя, он отвечает за поиск API-привилегий, позволяющих выполнить операции системного уровня, а затем он передает эти привилегии первичному процессу. За это отвечают вызовы LookupPrivilegeValueW и AdjustTokenPriveleges, соответственно. Критически важные права, которые обретает вредонос:
SeSecurityPrivilege: предоставляет доступ к функциям, связанным с управлением системной безопасностью.
SeTakeOwnershipPrivilege: позволяет вредоносу стать владельцем любого объекта в зараженной системе.
SeSystemProfilePrivilege: вредонос может собирать информацию о работе системы, включая использование её ресурсов и другие характеристики.
SeBackupPrivilege: управление резервными копиями.
SeManageVolumePrivilege: позволяет вредоносу менять конфигурацию томов и дисков.
Второй этап: Обеспечение собственной безопасности и закрепление в системе
Дальнейшее выполнение вредонос продолжит только в том случае, если ему был предоставлен специальный токен для доступа к командной строке. Этот токен указывается злоумышленником и имеет длину от 32 до 72 символов. Используется он специально для шифрования конфигурационного файла Черной Кошки. Это знатно затрудняет работу аналитиков, так как провести динамический анализ становится практически невозможно. К нам в руки попал сэмпл, в котором уже был указан этот токен, поэтому мы можем погрузиться в самые глубины вредоноса.
Сразу же после запуска вредонос поместит свою копию в папку автозагрузки, а также создаст соответствующий ключ в реестре Windows. Это происходит не совсем типичным образом, ведь Черная Кошка использует оболочку CMD для выполнения следующей команды:
cmd.exe /c schtasks.exe /create /ru system /sc minute /tn microsoft\windows\wininet\cachedtask /tr C:\Users\53663\AppData\Local\Temp\ServiceADS:cachetask /f
schtasks.exe — это командная утилита в операционных системах Windows, которая предназначена для создания, изменения, удаления и управления запланированными задачами в системе. Этот инструмент позволяет автоматизировать запуск программ или скриптов в определенное время или при наступлении определенных условий.
Скорее всего, это попытка обойти обнаружение антивирусными приложениями по поведенческому фактору, но это лишь моё предположение, возможно, здесь имеет место и другая причина.
После этого вредонос попытается получить список запущенных процессов с помощью системного вызова TH32CS_SNAPALL, затем начинает перебирать их, используя API Process32FirstW и Process32NextW.
Думаю, что все понимают, с какой целью он их перебирает, это достаточно распространенный метод защиты. Каждый неугодный шифровальщику процесс будет завершен через вызов PROCESS_TERMINATE, в списки попали: VMWare, VirtualBox и другие виртуальные станции, практически все современные антивирусы, KMPlayer.
Параллельно шифровальщик будет собирать данные о системе жертвы с помощью тех же системных вызовов: GetLogicalDrives, GetDriveTypeW, FindFirstVolumeW, SetVolumeMountPointW.
Третий этап: непосредственно шифрование данных
Итак, Черная Кошка использует для этого процесса алгоритм AES-128-CBC, с ним в анализах мы видимся очень часто, ну прямо-таки любимец всех злодеев. Этапы шифрования конкретно в этом образце сводятся к следующим шагам:
Непосредственно шифрование данных, которое включает в себя несколько шагов:
Генерация ключей AES.
Генерация ключа AES и IV.
Защита ключа AES и IV.
Непосредственно шифрование #1.
Непосредственно шифрование #2.
Вторичное повышение привилегий, выполняемое между двумя этапами шифрования.
Сбор информации об устройстве жертвы и отправка статистики на C&C сервер.
Так как мы не можем провести статический анализ через IDA, нам приходится довольствоваться лишь тем, что мы видим в деббагере, поэтому подробно описать каждый шаг не выйдет, но везде реализация этого алгоритма примерно одинаковая. Лучшее описание этого процесса было представлено в анализе шифровальщика Magnibar.
AES (Advanced Encryption Standard) — это симметричный алгоритм блочного шифрования, который был принят Национальным институтом стандартов и технологий (NIST) США в качестве стандарта шифрования. В AES используются ключи тремя различными длинами: 128, 192 и 256 бит. В AES-128 используется ключ длиной 128 бит.
128-битный ключ — это означает, что ключ шифрования состоит из 128 битов. Сила шифрования зависит от длины ключа: чем длиннее ключ, тем труднее криптографический алгоритм поддается взлому.
CBC (Cipher Block Chaining) — это режим шифрования, при котором каждый блок текста перед шифрованием сначала комбинируется (обычно путем операции XOR) с предыдущим блоком шифротекста. Первый блок комбинируется с так называемым инициализирующим вектором (IV). Этот метод обеспечивает то, что одинаковые блоки исходного текста будут преобразованы в разные блоки шифротекста, что повышает безопасность шифрования.
Вымогатель шифрует файлы с таким расширением: arc asf avi bak bmp fla flv gif gz iso jpeg jpg mid mkv mov mpeg mpg paq png rar swf tar tbk tgz tif tiff vcd vmdk vob wav wma wmv zip. Но эта конфигурация может изменяться в зависимости от желания злоумышленника.
Этот образец шифрует данные исключительно в стандартных директориях Windows: рабочий стол, фотографии, видео, съемные носители.
Далее происходит инициализация создания ключа, за это отвечает вызов BcryptRandom, который генерирует 16 случайных байт для генерации.
Сам процесс шифрования достаточно медленный, так как выполняется в один поток, начинается с вызова системного API CreateFileW, посредством которого вредонос открывает целевой файл. Затем с помощью API SetFilePointerEx вирус создает контрольную точку. Следом вредонос использует API ReadFile и считывает содержимое по 4 байта. Перезапись содержимого происходит через WriteFileW. После чего будет изменено расширение файла на произвольное, в данной версии — .bldkr. Переименование происходит с сохранением изначального названия, и отвечает за это функция MoveFileExW.
Четвертый этап: формирование записки о выкупе и другие манипуляции
В каждую директорию с зашифрованными документами помещается записка о выкупе. Текст хранится в памяти самого вредоноса и выглядит следующим образом:
За создание .txt файла отвечает вызов CreateFile, а за заполнение соответствующим текстом — все тот же WriteFile. После завершения этапа шифрования вредонос, используя вызов SPI_SETDESKWALLPAPER, изменит фон рабочего стола (кстати, картинка также содержится в памяти) на вот это:
Связь вредоноса с C&C-сервером устроена достаточно просто, он не имеет возможности получать какие-либо команды, но вот отправлять файлы вполне в его силах. Этим он и занимается с помощью обычного POST-запроса на удаленный сервер.
Выводы
Ну, а на этом все. Черная Кошка очень сложно поддается анализу. На данный момент все версии BlackCat легко могут быть обнаружены с помощью современных антивирусов. Дешифратора для новых версий, к сожалению, на данный момент нет, но для более старых — имеется.
Найти дешифраторы можно на сайте No More Ransomware, интерфейс прост в использовании и интуитивно понятен.
RAS — это огромная проблема современного цифрового сообщества, которая с каждым днём становится актуальнее. Вредоносы развиваются с пугающей скоростью, а повлиять на это мы никак не можем. Главное — не забывайте, что лучший антивирус находится в вашей голове. До скорого.
Автор статьи @DeathDay
НЛО прилетело и оставило здесь промокод для читателей нашего блога:
— 15% на заказ любого VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.
