Отчеты о вредоносном ПО

Crimeware: самораспространение и эксплуатация драйверов

Введение

Дурной пример заразителен. Эта старая поговорка, аналог которой есть в разных языках, вполне применима и к разработчикам шифровальщиков. В предыдущих статьях мы уже писали о растущей популярности платформонезависимых языков и поддержке ESXi, а в одной из недавних публикаций мы рассказали об уникальных методах распространения шифровальщиков.

В прошлом месяце мы писали о двух новых шифровальщиках, которые теперь используют собственные методы распространения в сети. Мы также рассказали о некоторых случаях эксплуатации уязвимых драйверов — эта тенденция тоже может стать популярной среди злоумышленников. В этой статье мы публикуем выдержки из этих отчетов.

Если у вас возникли вопросы или вы хотите получить дополнительную информацию о нашем сервисе информирования о киберугрозах, пишите по адресу crimewareintel@kaspersky.com.

Немного статистики по атакам шифровальщиков

За первые десять месяцев 2022 года доля пользователей, пострадавших от целевых атак шифровальщиков, среди всех пользователей, столкнувшихся с вредоносными программами, возросла почти вдвое по сравнению с аналогичным периодом прошлого года и составила 0,026%.

Доля пользователей, атакованных целевыми шифровальщиками, январь–октябрь 2021 г. и январь–октябрь 2022 г. (скачать)

LockBit

LockBit — одно из самых популярных, продвинутых и стремительно развивающихся современных семейств шифровальщиков. Недавно мы заметили на сайте, позволяющем конструировать инструментарий на основе LockBit, новую функцию:

Новая функциональность, предлагаемая разработчиками LockBit

Помимо популярного варианта распространения с помощью PsExec, в LockBit теперь есть механизм «самораспространения» (self-spread). Нам, конечно же, захотелось узнать о нем больше, особенно о принципах его работы.

Шифровальщик устанавливается на зараженное устройство в виде службы. Эта служба вызывает функцию netapi32.DsGetDcNameW, чтобы получить информацию о том, к какому домену принадлежит зараженная машина, и создает именованный канал. Завершив эту операцию, модуль создает дамп учетных данных операционной системы, получая дескрипторы из explorer.exe и lsass.exe через вышеупомянутый канал.

Больше никаких действий не предпринимается. Как видим, самораспространения здесь нет — вредоносное ПО лишь создает дамп учетных данных. Хотя этот подход, избавляющий от необходимости использовать Mimikatz и аналогичные инструменты, укладывается в популярную тенденцию расширения функциональных возможностей шифровальщиков для большей автономности, зловред не распространяется самостоятельно.

Play

Play — это новый шифровальщик, который мы обнаружили совсем недавно. Его код совершенно не похож ни на один из известных нам образцов. К тому же он сильно обфусцирован, что затрудняет его анализ. Play только находится на стадии разработки. У злоумышленников пока нет своего сайта, и жертвам приходится общаться с ними по электронной почте, адрес которой вымогатели оставляют в записке с требованием выкупа. Тем не менее этот зловред, как и некоторые другие новые шифровальщики, способен распространяться самостоятельно.

Play собирает IP-адреса из подсети, в которой находится, и пытается обнаружить SMB-ресурсы с помощью функции NetShareEnum(), в результате чего генерируется ARP-трафик (см. скриншот, созданный утилитой Wireshark). Целью этого действия является распространение шифровальщика на другие устройства в этой сети.

ARP-запросы Play

После обнаружения SMB-ресурса шифровальщик устанавливает подключение и пытается примонтировать обнаруженный ресурс, скопироваться туда и запуститься. Это наглядно показано на приведенном ниже скриншоте Wireshark.

Соединения по протоколу SMB

Эксплуатация драйверов

В драйверах есть уязвимости, которыми могут воспользоваться преступники. Один из таких драйверов — Anti-Rootkit, разработанный компанией Avast. Несмотря на то что этот драйвер раньше использовался шифровальщиком AvosLocker, об уязвимостях, которые эксплуатируются сейчас (CVE-2022-26522 и CVE-2022-26523), стало известно лишь недавно. Они позволяют атакующим повысить свои права в целевой системе или сбежать из песочницы. Об этом подробно писала SentinelLabs. В начале 2022 года уязвимости были закрыты. Нам известно, что сейчас эти уязвимости эксплуатируют, по крайней мере, шифровальщики из семейств AvosLocker и Cuba.

Эксплуатация уязвимых драйверов имеет несколько преимуществ. Во-первых, она позволяет отключить другие защитные решения, установленные в системе. Во-вторых, установленное защитное решение генерирует меньше оповещений. В-третьих, эксплуатируя драйвер, злоумышленники могут завершать запущенные процессы.

Функция завершения процессов

Заключение

Разработчики шифровальщиков пристально следят за работой своих конкурентов. Если кто-то из них внедряет новую полезную функциональность, велика вероятность того, что это сделают и другие, чтобы новые версии были привлекательными для партнеров. Самораспространяющиеся шифровальщики — характерный пример такого поведения.

По этой же причине мы считаем, что уязвимые драйверы — еще один вектор атаки, который в дальнейшем будут использовать все больше злоумышленников.

Чтобы защитить себя от таких атак, изучайте отчеты об угрозах. Если вы хотите получать свежую информацию о новейших тактиках, методах и процедурах злоумышленников или задать вопрос о наших приватных отчетах, пишите по адресу crimewareintel@kaspersky.com.

Crimeware: самораспространение и эксплуатация драйверов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике