A Netwalker zsarolóvírussal kapcsolatos fertőzési kampány utáni nyomozás közben a Sophos a támadást végrehajtó bűnözők által használt fájlokra bukkant.

A vírusokat és egyéb fájlokat tartalmazó gyűjtemény számos részletet árul el a támadók módszereiről, melyeket a hálózatok kompromittálására, jogosultságaik magasabb szintre emelésére és a vírus munkaállomásokra való terjesztésére használtak a közelmúltbéli támadásokban.

A Netwalkert terjesztő bűnözői csapat változatos profilú célpontokat támadott meg az Egyesült Államokban, Ausztráliában és Nyugat-Európában. A legutóbbi jelentések arra utalnak, hogy a támadók úgy döntöttek, erőfeszítéseiket nagyobb szervezetekre összpontosítják, mint sem magánszemélyekre.

A Sophos által felfedezett eszköztár megerősíti ezt a feltevést, hiszen vállalati hálózatok rendszergazda hozzáférési adatainak megszerzésére szolgáló programokat is tartalmaz, melyeket Domain Controllerről való szoftverterjesztést alkalmazó eszközökkel kombináltak. Gyakori dolgok egy vállalati hálózatban, azonban ritkák az otthoni felhasználók esetében.

És bár a payload legnagyobb része a Netwalker volt, a Zeppelin Windows zsarolóvírus és a Smaug Linux zsarolóvírus különálló mintáit is megtalálták a kutatók.

Összegzés

A zsarolóvírus támadások napjainkban nem egyszeri események, mint a Wannacry volt 2017-ben. A bűnözők jól megalapozott procedúrákkal és eszköztárral rendelkeznek, melyeket rutinszerűen alkalmaznak. A támadások általában hosszabbak: a támadók napokat (akár heteket is) eltöltenek az áldozatnak jelölt szervezeten belül, alaposan feltérképezve a belső hálózatot, miközben hozzáférési adatokat és más hasznos információt gyűjtenek.

A Sophos kutatás eredményei jó példák a trendre, melyet mindannyian megfigyeltünk a fenyegetések terén. A bűnözők jól megtervezett manuális akciókat szerveznek meg, behatolnak az áldozat rendszereibe, alaposan felderítik őket és kikapcsolják a védelmet, mielőtt végrehajtanák a végső támadást.

A Netwalker zsarolóvírus mögött álló “threat actorok” kevésbé támaszkodnak a saját maguk által készített eszközökre, mint más zsarolóvírus csoportok. Az eszköztár legnagyobb része nyilvános forrásokból lett összegyűjtve. Az ilyen, úgynevezett “grey-hat” alkalmazások használatával spórolnak a fejlesztés idején, mely az eredetiség rovására megy.

Az ehhez hasonló, közvetlenül a támadók taktikáiba és eszközeibe való betekintések ritka lehetőséget kínálnak, hogy meglássuk, mi történik a színfalak mögött. Ez pedig drámai mértékben segíti a védekezőket abban, hogy felkészítsék a védelmüket a támadások korai szakaszai ellen, mielőtt a támadók terjeszteni kezdenék magát a zsarolóvírust.

Mit tartalmaz a bűnözők eszköztára?

Az archívum a fenyegetés mögött álló személyek által használt zsarolóvírus terjesztő csomagok legalább 12 különböző verzióját tartalmazta, illetve még számos más eszközt is:

• egy átfogó eszközkészletet, melyekkel felderíthették a célzott hálózatokat,
• a jogosultságok szintjét emelő és egyéb exploitokat, melyeket Windows számítógépek ellen lehet használni,
• és olyan eszközöket, melyekkel ellophatják, kinyomozhatják vagy kierőszakolhatják az értékes információhoz vezető útvonalat egy gépről vagy egy hálózatról. (Beleértve a Mimikatzet, illetve a Mimidogz és Mimikittenz nevű változatait, utóbbiakat arra tervezték, hogy elkerüljék az endpoint biztonsági megoldás által való felfedezést.)

A szkriptek és exploit eszközök egy részét közvetlenül a Github repositorykból másolták le. Az eszközök egy része ingyenesen beszerezhető Windows segédprogram, mint például az Amplia Security Windows Credential Editorja.

Továbbá a következőket is megtalálták:

• a Microsoft SysInternals PsTools csomag egy majdnem teljes gyűjteményét,
• az NLBrute egy másolatát (amely brute-force módszerrel próbálja feltörni a jelszavakat),
• a kereskedelmi forgalomban kapható TeamViewer és AnyDesk távoli kisegítő eszközeinek telepítőit,
• és számos olyan eszközt, melyet a végpontok biztosításával foglalkozó cégek hoztak létre abból a célból, hogy eltávolítsák a saját (vagy más cégek) endpoint biztonsági megoldásait és vírusirtóit a számítógépről.

A betörés részleteinek felderítése

„Nem teljesen egyértelmű, hogy a kampány mögött álló bűnözők hogyan vetik meg a lábukat az általuk célzott hálózaton, azonban a nyomok arra utalnak, hogy a gyakran használt, elavult szerverszoftverek (például a Tomcat vagy Weblogic) jól ismert, részletesen ismertetett gyengeségeit vagy a gyenge RDP jelszavakat használják ki.”

– mondta Szappanos Gábor, a Sophos kiberbiztonsági szakértője.

Az NLBrute nevű brute-force eszközt is megtalálta a Sophos. Az eszköz konfigurációs fájljai azt mutatják, hogy egy előre megadott felhasználónevekből és jelszavakból álló gyűjtemény használatára állították be, melyekkel olyan számítógépek feltörését kísérelték meg, ahol engedélyezték a távoli asztal használatát. Az NLBrute használható olyan támadásokban, melyek célja a hálózatra való behatolás kívülről vagy arra is, hogy laterális hozzáférést szerezzenek más számítógépekhez, miután megvetették a lábukat a hálózaton.

Miután bejutottak az áldozatuk hálózatára, a támadók a jelek szerint a SoftPerfect Network Scannerét használták arra, hogy azonosítsák a nyitott SMB portokkal rendelkező számítógépeket és célpontlistát készítsenek róluk. Később a Mimikatzet, a Mimidogzot vagy a Mimikittenzt használhatták arra, hogy megszerezzék hozzájuk a hozzáférési adatokat.

A megtalált fájlok a bűnözők preferált exploitjainak gyűjteményét is megmutatták. Ezek között a következők szerepeltek:

• az EternalDarkness SMBv3 exploit variánsai (CVE-2020-0796),
• a CVE-2019-1458 lokális jogosultság exploit Windows ellen,
• a CVE-2017-0213 Windows COM jogosultság-növelő exploit, melyet a Google Security Github fiókján publikáltak,
• a CVE-2015-1701 “RussianDoll” jogosultság-növelő exploit.

Továbbá megtalálták a dirtycow sebezhetőség ellen használt pokemon exploit firefart variánsának forráskódját is; ez pedig túl sok nevetséges elnevezés egyetlen Linux jogosultság-szint emelő exploitra. A támadók arra sem vették a fáradtságot, hogy megváltoztassák a firefart alapértelmezés szerint megadott felhasználónév értékét, ám ezt máshol még megtehetik.

Az exploitok és hackelésre használt eszközök mellett a támadók összeszedtek egy színes gyűjteményt is, mely olyan szoftverekből állt, melyeket endpoint biztonsági megoldások és antivírusok Windows számítógépekről való eltávolítására terveztek. A gyűjteményükben található eszközök között megtaláltuk az ESET által közzétett AV Remover és a TrendMicro WorryFree Uninstall programokat is.

A zsarolóvírus terjesztése

A támadók a Netwalker zsarolóvírus-t általában egy reflektív PowerShell betöltő szkript használatával terjesztik, amelyet több rétegnyi kódolás véd az egyszerűbb elemzések ellen. A folyamat végén a Netwalker payload betöltődik és végrehajtódik.  A végső kártevő egy DLL vagy egy futtatható fájl. A célszámítógépen lévő fájlok titkosításra kerülnek, a felhasználó pedig egy ilyen jellegű üzenetet talál:

Ha ezt a szöveget valamilyen okból a titkosítás vége előtt olvassa, ezt érthető amiatt, mivel a számítógép lelassult,
a szívverése pedig felgyorsult, mivel nem tudja kikapcsolni,
így azt javasoljuk, hogy távolodjon el a számítógépétől és fogadja el a tényt, hogy kompromittálódott.
Az újraindítás/leállítás miatt el fogja veszíteni a fájlokat a visszaállítás lehetősége nélkül.

Minden egyes alkalommal, amikor új szervezet az áldozat, a támadók a Netwalker DLL egy egyedi buildjét használják. Érdekes módon számos Netwalker DLL ugyanazt a létrehozási dátumot tartalmazza a PE headerben. Sőt, az egyetlen eltérés az encrypted blob store resource numberjében található, mely 1337 vagy 31337 lehet. Valószínűnek tűnik, hogy a legtöbb alkalommal ugyanazt a DLL template-et használják és csak ezt a encrypted blobot változtatják meg.