Archive | February 2015

CTB-Locker_аналитика

ctb_blog

Образцы dropper`ов

Короткая справка

CTB-Locker, он же Curve-Tor-Bitcoin Locker, он же Critroni. Является представителем т.н. Ransomware, а по простому вирус-вымогатель. Распространяется посредством SPAM-рассылок и URL на зловредные ресурсы. Механизм активации вируса бинарен, т.е. первым запускается dropper (.SCR файл), который подгружает payload (.EXE с произвольным именем). Последствия инфицирования: выборочное шифрование файлов на локальных и сетевых дисках скомпрометированной системы. Схема монетизации: требование оплаты выкупа в размере 1,4 – 3 BTC (340-700$) на Bitcoin кошелек злоумышленника за восстановление доступа к зашифрованным документам.

Процесс заражения в динамике был рассмотрен в предыдущей заметке.


Аналитика

Впервые CTB-Locker проявил себя в июле 2014 года, однако по каким-то причинам его распространение не было таким массовым, как второй пик активизации, который пришелся на конец 2014 – начало 2015 года. Несмотря на простоту вируса и то, что его новые версии уже в 20-тых числах января были включены в базы сигнатур ведущих игроков антивирусного рынка, я с удивлением продолжаю отмечать факты заражения.

Давайте проанализируем, что вскрыла вторая волна активности CTB-Locker:

  • недостаток осторожности пользователей (“запускаю все, что вижу“);
  • отсутствие фильтров по типам файлов на корп. шлюзах (.SCR, .CAB etc);
  • отсутствие актуальных резервных копий;
  • отсутствие резервных копий вообще;
  • синдром защиты “settings by default”*

* несмотря на то, что многие решения по защите конечных точек содержат дополнительные механизмы защиты, например, GTI File reputation, VSE Access Protection Rules, большинство специалистов ограничивают защиту своих компаний сигнатурным анализом. Это действительно плохо и как показывает практика вылазит боком. Когда придет время подводить итоги я еще вернусь к теме настроек защиты конечных точек.

Как я уже писал, одним из сдерживающих факторов для защиты ИТ инфраструктур компаний от такого рода угроз, особенно в первые часы распространения, является использование так называемых “песочниц” (sandboxing). Динамический анализ исполняемого кода позволяет безопасно запустить файл внутри виртуальной машины и отследить его активность, не подвергая при этом риску рабочие сервера и конечные точки. Для тех угроз, которые могут содержать антиотладочные механизмы и отказываются запускаться внутри виртуальной среды предусмотрен статический анализ кода, который позволяет выявить зловредные участки кода и уже на этом основании запретить доступ к этому файлу.


Анализ вируса в “песочнице” McAfee ATD

Давайте на примере анализа семплов CTB-Locker посмотрим, какие возможности появляются у операторов защиты при использовании продвинутой “песочницы” McAfee Advanced Threat Defense (ATD). Самому устройству ATD будет посвящена отдельная заметка.

atd

Консоль McAfee ATD

atd2

Результаты анализов

Прежде чем двигаться дальше, стоит отметить два факта:

  • автоматический анализ семпла занимает в среднем от 30 до 100 секунд*;
  • материалы отчетов ATD были основным источником предыдущей заметки.

* да, именно так, то, на что при ручном анализе семлов уходит, как правило, 2-3 часа, при использовании ATD занимает 1-2 минуты. Поверьте, это не много, учитывая время, требуемое на локализацию последствий того же CTB-Locker.

А теперь давайте перенесемся в начало января 2015 – новые образцы CTB-Locker выходят на тропу войны, уже отмечены первые случаи заражения, но свежие семплы пока отсутствуют в базах антивирусных сигнатур. Мы видим мир глазами ИТ/ИБ инженера, который отвечает за безопасность обработки данных в одной из украинских компаний. Помимо антивируса, разбросанного по конечным точкам, в нашем арсенале также имеются шлюзы Web и Email и “песочница” McAfee ATD. Одному либо нескольким сотрудникам компании приходят странные письма, содержащие вложения архивного типа (.ZIP, .CAB etc). Эти вложения выдерживают проверку по сигнатурам и контрольным суммам но тут в процесс вмешивается ATD. (Дело в том, что модуль ATD является не просто “песочницей” для какого-то определенного канала передачи, нет. McAfee ATD уже сейчас может интегрироваться не только с защитой конечных точек, но и с шлюзами Web и Email трафика, с NSP (IPS) и NG Firewall.) Таким образом, подозрительные вложения отправляются на проверку, результаты которой привлекают внимание ИТ/ИБ инженера и позволяют не только однозначно судить о содержимом присланных вложений, но и выработать соответствующие контр-меры:

scr_operations

Активность .SCR файла

scr_ntwrk

Сетевая активность dropper`а

Уже по результатам активности .SCR dropper`а можно предпринимать строгие меры, однако давайте посмотрим на действия основного модуля CTB-Locker:

exe_file_reg_proc_op

Закрепление в системе, удаление теневых копий

exe_ntwrk2

Соединение с управляющим центром в TOR

exe_encryption

Процесс шифрования файлов. Оригиналы удаляются.

По совокупности признаков и по результатам активности получаем вердикт от ATD:

exe_dynamic

Вердикт ATD по результатам динамического анализа

Отчет ATD по семплу CTB-Locker (.pdf, ~ 180 kb)

Таким образом, за 1-2 минуты мы получили полную раскладку по активности зловреда, при этом не дав ему запуститься на рабочих системах. А поскольку McAfee ATD интегрирована с антивирусом на конечных точках и со шлюзами, попытка транспортировки и запуска данного образца теперь будет автоматически блокироваться по контролируемым каналам (а новые/измененные образцы будут неизменно сперва запускаться в “песочнице”). Однако нам, как образцовому специалисту надлежит выполнить несколько шагов для усиления безопасности вверенной нам инфраструктуры. О них речь пойдет ниже.


Советы по контрмерам

Итак, что мы знаем об угрозе:

  • Он бинарен, т.е. состоит из двух модулей;
  • Dropper – .SCR файл (в “обертке” .ZIP либо .CAB) весом 30-50 Кб распространяется через email вложения либо URL;
  • Payload – .EXE файл весом 600-800 Кб загружается dropper`ом в каталог %temp%;
  • Он не требуется повышенных привилегий;
  • Он шифрует файлы, удаляя оригиналы и отключая теневое копирование;
  • Ключи шифрования – уникальны для каждой системы;
  • Он может шифровать файлы также и на сетевых дисках;
  • Способа расшифровки на данный момент кроме выплаты 300-700$ нет;
  • C&C (управляющие сервера) расположены в сети TOR;
  • Этот вирус продается как готовый инструмент для любого script kiddie;
  • Вирус не дает выбирать файлы для тестовой расшифровки и выполняет ее даже в автономном режиме (без доступа к Сети), это может означать, что эти 5 файлов выбираются заранее и шифруются отдельным ключем, который храниться локально.

Исходя из этого логично предположить два основных правила, которые касаются как простых пользователей так и ИТ/ИБ специалистов:

  1. Не попадаться!
  2. Делать бэкапы (резервные копии важных данных).

Какой смысл я вкладываю в правило “не попадаться”?

Домашним и корпоративным пользователям стоит быть предельно внимательными и подозрительными при работе в Сети. Это значит не открывать/не загружать/не запускать подозрительные файлы/вложения/ссылки, особенно если вы не знаете отправителя либо вы не искали/не запрашивали этот файл.

Корпоративным ИТ/ИБ специалистам на заметку:

Проведите очередной (либо первый) ликбез для ваших сотрудников. Покажите им результаты работы CTB-Locker. Благо, McAfee ATD позволяет вмешиваться в процесс анализа и получать управление над заражаемой виртуальной средой.

Идем дальше, способ доставки угрозы известен, а это означает, что необходимо проверить настройки фильтрации файлов на корпоративных шлюзах и если этого еще не сделано, то банально запретить передачу .exe, .scr и .cab, а прочие файлы архивного типа поддавать жесткому антивирусному сканированию.

CTB-Locker как и его “коллеги по цеху” (я имею ввиду предшественника Cryptolocker и свежие образцы CryptoWall) имеют схожую систему заражения. Стоит учитывать, что если мы не заблокировали доставку и разрешили запустить основной модуль – файлы будут зашифрованы и в этом случае нас может спасти только наличие резервных копий. Лично я считаю, что проще упредить нанесение ущерба чем бороться с последствиями, поэтому, для защиты от запуска основного модуля из каталога %temp% либо по произвольному пути \AppData\ можно воспользоваться либо групповыми политиками, либо сторонним решением.


Если вы являетесь пользователями защиты конечных точек от McAfee, то:

  1. проверьте актуальность вирусных сигнатур (DAT);
  2. проверьте соединение VSE с “облаком” GTI (KB53733);
  3. обратите внимание на Access Protection Rules:

Для защиты от новых образцов CTB-Locker и ему подобных угроз необходимо создать несколько правил

VSE\Access Protection Policies\User-defined Rules \ File\Folder Blocking Rule ->

+ Files being executed

+ New Files created

ePO _ VSE _ Access Protection Policies

ePO _ VSE _ Access Protection Policies

Запрет создания/запуска .exe в AppData

Запрет создания/запуска .exe в AppData

Необходимо создать три таких правила по одному для каждой маски пути:
**\Users\*\AppData\*.exe
**\Users\*\AppData\*\*.exe
**\Users\*\AppData\*\*\*.exe

Эти три правила обеспечат простую и в тоже самое время эффективную защиту от попытки запуска .exe файлов из каталога профиля ваших пользователей, включая каталог %temp% (если конечно значение этой переменной не было изменено на другой путь).

Я уже писал об этом раньше, но стоит напомнить. Это касается всех, кто использует McAfee VirusScan Enterprise (VSE) для защиты серверов и рабочих станций. Коллеги, не ленитесь использовать Access Protection Policies изменяя их под свои задачи. Помните, что by default они защищают только сам антивирусный модуль, но при правильной настройке они могут оказать вам неоценимую услугу в борьбе с новыми, еще неизученными угрозами.

ePO_VSE_AccProtect_samples_1

Это НЕ default конфигурация

Это не default конфигурация

Это НЕ default конфигурация

Будьте осторожными и не попадайтесь!

ps

Еще немного аналитики по ransomware и анонимным сетям

Последние образцы CTB-Locker и 3-я версия CryptoWall имеют схожий принцип работы, однако CTB использует в качестве площадки под C&C сеть TOR, а CryptoWall – I2P. Учитывая успех монетизации, даже несмотря на относительно высокую сумму выкупа, стоит ожидать дальнейшей эволюции как со стороны существующих шифровальшиков-вымогателей так и появления новых видов. К сожалению, как показывает мониторинг специализированных ресурсов и блогов, большая часть пользователей и администраторов была не готова к CTB и подобных ему (хотя идея применять шифрование в таком ключе возникла не вчера). Отмечается большой процент тех пользователей, которые понадеялись на появление дешифраторов, а с течением времени все же заплатили выкуп (300-700$) из-за отсутствия резервных копий ценной информации. Что же касается использования TOR и I2P – это ожидаемый шаг со стороны злоумышленников, который усложняет идентификацию хозяина серверов и попытки блокировки C&C.

pps

Дополнительная информация по CTB-Locker, Cryptolocker и CryptoWall

McAfee Knowledge Center:

Threat Advisory: CTB-Locker

Protecting against Cryptolocker and CryptoWall – Rev C

Threat Advisory: Ransom Cryptolocker

Разбор CTB-Locker в блогах исследователей:

malware.dontneedcoffee.com – заметка 1

malware.dontneedcoffee.com – заметка 2

bleepingcomputer.com – способы защиты

CTB-Locker_анализ

Или как процесс “заражения”/шифрования выглядит в динамике

ctb

Все начинается с небольшого вложения к письму из SPAM-рассылки, которое содержит якобы важный документ. На самом деле внутри архивного вложения с произвольным именем (.CAB, .RAR, .ZIP либо .7Z) содержится запускной файл формата .SCR (“весом”от 30 до 50 Кбайт), который является т.н. dropper`ом, т.е. модулем, который обеспечивает загрузку основного тела вируса.

Если жертва оказалась настолько любопытной чтобы распаковать и запустить .SCR файл, ей демонстрируется .RTF документ бессмысленного содержания. Примеры документов из различных образцов представлены ниже:

(обратите внимание на имена файлов, которые шли в комплекте с различными образцами)

ctb_decompress

ctb_decompress2

ctb_decompress3

Пока ничего не подозревающая жертва с удивлением изучает документ, в фоне происходит докачка основной “полезной” нагрузки (payload). Основной модуль сохраняется с произвольным именем по пути %temp%\*.EXE

  • для NT 5.x \Documents and Settings\%name%\Local Settings\Temp
  • для NT 6.x \Users\%name%\AppData\Local\Temp

(!) Важный момент: отсутствие административных привилегий не является препятствием для запуска .SCR и активации основного модуля вируса. Грубо говоря, если на данном этапе активность вируса не будет остановлена защитными мерами – заражения, а фактически шифрования файлов не избежать.

Что же происходит при активации основного модуля? Во-первых он закрепляется в системе – добавляет запуск самого себя скрытой задачей в системный планировщик:

ctb_scheduler

И дополнительно копирует свое тело с произвольным именем в том же каталоге по пути %temp%

ctb_tmp_payload

ctb_procexp_payload

А дальше события развиваются по такому сценарию: процесс вируса развивает бурную деятельность по поиску файлов определенного типа, как правило это документы MS Office, PDF файлы, изображения и т.д. Как только вирус обнаруживает такие файлы, он шифрует их используя асимметричное шифрование при этом удаляя оригиналы файлов. В первых образцах вируса (появление которых было зафиксировано в начале-середине июля 2014) файлы можно было восстановить через механизм теневых копий (System Protection). В текущих версиях авторы исправили этот момент – параллельно с процессом шифрования вирус пытается отключить System Protection и удалить существующие точки восстановления. Если система будет перезагружена либо пользователь выйдет из системы – процесс шифрования будет продолжен вновь при включении (входе в систему) – это обеспечивается за счет задачи в планировщике. Параллельно с шифрованием файлов вирус также пытается найти подключенные сетевые диски. Если в системе таковые имеются – не трудно догадаться о том, какая участь их постигнет. Пока вирус занят шифрованием он не подает особых признаков жизни, и если пользователь не заглядывает в дерево запущенных процессов, единственное что ему может броситься в глаза – файлы постепенно будут обретать новое расширение и перестанут открываться. Пример ниже:

ctb_doc_before

ctb_doc_after

Когда все полезное содержимое диска до которого вирус смог получить доступ будет зашифровано, вирус соединится с командным центром, выгрузит закрытый ключ шифрования на сервер, создаст два файла в каталоге “Документы” – текст и изображения с инструкциями для жертвы, которое в последствии будет использовано для подмены фона Рабочего стола.

ctb_user_manual

ctb_user_manual_bmp

ctb_desk_wallpaper

В конце пользователь скомпрометированной системы получит окно, которое будет развернуто поверх запущенных приложений:      ctb_notifyЖертве ставят ультиматум – либо в течении 96 часов на электронный кошелек злоумышленника попадает требуемая сумма (1,5 – 3 Bitcoin ~ 340$ – 700$), либо закрытый ключ будет уничтожен и файлы останутся зашифрованными. На самом деле, злоумышленники предусмотрели возможность расшифровки в случае оплаты по истечении 96 часов, в данном случае это просто попытка запугать пользователя зараженной системы. Жертве предлагают ознакомиться со списком файлов, которые были зашифрованы. Ради подтверждения того, что процесс обратим и файлы не просто испорчены, а зашифрованы, CTB-Locker предлагает расшифровать 5 произвольно выбранных файлов. В конечном итоге все сводится к вымогательству криптовалюты на один из кошельков злоумышленников.

ctb_list_of_files ctb_test_decrypt ctb_payment1 ctb_payment2 ctb_payment3

Детальный анализ и рекомендации по защите от CTB-Locker и подобных ему Ransomware будут рассмотрены в следующей заметке.

Подводя промежуточные итоги следует помнить главное:

  1. на данный момент способа восстановить зашифрованные файлы (помимо выплаты BTC) нет;
  2. в первые часы активности и сейчас в случаях полиморфизма, от заражения может спасти ряд факторов:
    • запрет запуска исполняемых файлов из каталогов временных файлов;
    • наличие актуальных резервных копий;
    • фильтр .SCR вложений на почтовых шлюзах;
    • очистка web-траффика (отмечены попытки заражения через URL);
    • наличие т.н. “песочницы” которая бы позволила безопасно изучить поведение файла до его открытия на рабочих станциях.

О мерах предосторожности и о роли “песочницы” в борьбе с неизвестными угрозами читайте в следующей заметке.

ps

Будьте осторожны при использовании высоких технологий, не попадайтесь на уловки злоумышленников.