Введение
Недавно при расследовании инцидента мы столкнулись с разновидностью шифровальщика Mimic с интересными настраиваемыми функциями. В этом инциденте злоумышленники получили доступ к серверу жертвы через RDP при помощи перебора паролей, после чего запустили шифровальщик. Затем атакующие повысили привилегии, воспользовавшись уязвимостью CVE-2020-1472 (Zerologon).
Шифровальщик использует библиотеку Everything и предоставляет злоумышленникам удобный графический интерфейс для настройки работы вредоносного ПО. Также образец способен отключать защитные механизмы и запускать системные команды.
Этот вариант шифровальщика называется Elpaco и оставляет после себя файлы с одноименным расширением. В статье мы подробно рассказываем об Elpaco, в дополнение к уже опубликованному исследованию, а также описываем тактики, техники и процедуры, используемые злоумышленниками.
Анализ
Первичный осмотр образца
Мы начали анализ с базовой проверки образца. Сначала мы изучили его свойства: тип файла, строки и функциональные возможности, как показано на изображениях ниже.
Анализ типов файлов
Интересно, что вредоносное ПО использует установщик 7-Zip, из-за чего большинство инструментов анализа и систем детектирования классифицируют его содержимое как упакованное и, соответственно, подозрительное.
Анализ свойств файла
Анализ энтропии
Мы изучили ZIP-файл и обнаружили, что образец использует библиотеку Everything — легитимную поисковую систему, которая индексирует файлы в Windows в режиме реального времени и благодаря этому позволяет быстро их находить.
Содержимое вредоносного архива
Зловред использует эту библиотеку так же, как и шифровальщик Mimic, обнаруженный ранее компанией TrendMicro. Он содержит легитимные бинарные файлы Everything ( Everything32.dll и Everything.exe) и защищенный паролем архив с вредоносными полезными нагрузками под названием Everything64.dll. Помимо этого, в архиве есть легитимная утилита 7-Zip для извлечения вредоносного содержимого. Шифровальщик Mimic использует API Everything для поиска определенных файлов, шифрует пользовательские данные с помощью продвинутых методов, таких как многопоточное шифрование, и отображает требование выкупа. Mimic избегает обнаружения с помощью обфускации кода, что затрудняет выявление и предотвращение атаки средствами безопасности.
Анализируя строки Elpaco, мы смогли найти команду для извлечения файла Everything64.dll и пароль к архиву.
|
1 |
2e434 RunProgram="hidcon:7za.exe x -y -p7183204373585782 Everything64.dll" |
Команда извлечения через 7-Zip
При запуске вредоносная программа распаковывает архив и помещает нужные файлы в %AppData%\Local — в отдельный подкаталог, названный по случайно сгенерированному UUID.
|
1 |
C:\Users\user\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A\ |
Целевой каталог
Содержимое образца
Содержимое архива нужно для шифрования файлов и выполнения дополнительных задач в операционной системе.
Структура Elpaco
Например, бинарный файл DC.exe — это инструмент Defender Control, который позволяет включать и отключать Защитник Windows. После распаковки файл сразу запускается.
Инструмент Defender Control (DC.exe)
Образец также помещает файл с именем session.tmp в тот же целевой каталог. Это ключ сеанса, позволяющий продолжить шифрование в случае прерывания вредоносного процесса (например, если он будет принудительно завершен).
Файл session.tmp
Наиболее интересным файлом является svhostss.exe, который служит основной консолью вредоносного ПО. Стоит отметить, что это имя напоминает svchost.exe — легитимный процесс Windows. Злоумышленники часто используют такую схему именования, чтобы сбить с толку менее опытных пользователей при анализе памяти. На самом деле svhostss.exe — это бинарный файл, выполняющий вредоносные действия. Зловред имеет свой графический интерфейс, расположенный в том же каталоге под именем gui40.exe. Он взаимодействует с консолью и упрощает некоторые операции, например настройку параметров шифровальщика (сообщение о выкупе, разрешенные каталоги и файлы) и выполнение действий в системе жертвы.
При запуске svhostss.exe вызывает программу DC.exe с параметром /D для отключения защиты
В графическом интерфейсе оператор может выбрать шифруемые диски, скрыть вредоносные процессы при помощи инъекции, настроить сообщение о выкупе, изменить расширение зашифрованных файлов, установить порядок шифрования в зависимости от исходного формата файла и исключить определенные каталоги, файлы и форматы из шифрования.
Графический интерфейс шифровальщика
Настройка сообщения о выкупе
Также зловред может завершать конкретные процессы, указанные оператором, и выполнять системные команды, что позволяет настроить различные варианты атаки.
Параметры шифровальщика
Импорт и экспорт данных
Образец позволяет импортировать и экспортировать файлы конфигурации вредоносного ПО с параметрами, заданными оператором. Шифровальщик содержит несколько встроенных шаблонов, из которых может выбрать злоумышленник. На изображении ниже показан экспортированный файл конфигурации. Обратите внимание, что каждой конфигурации предшествует число, которое обозначает ее идентификатор.
Файл с настраиваемой конфигурацией
Консольный интерфейс, запускаемый вместе с графическим, собирает подробную информацию о системе, включая диски и общие файловые ресурсы.
Сбор информации с помощью svhostss.exe
Вредоносная программа создает ключи реестра, показанные ниже. Обратите внимание, что все файлы с расширением .ELPACO-team по умолчанию классифицируются как mimicfile и при запуске открывают сообщение о выкупе ( Decryption_INFO.txt).
|
1 2 3 4 |
HKLM\SOFTWARE\Classes\.ELPACO-team\: "mimicfile" HKLM\SOFTWARE\Classes\mimicfile\shell\open\command\: "notepad.exe "C:\Users\user\AppData\Local\Decryption_INFO.txt"" |
Кроме того, шифровальщик настраивает ключ реестра Run для автозапуска svhostss.exe и отображения сообщения о выкупе при загрузке компьютера.
|
1 2 3 4 5 6 |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svhostss: ""C:\Users\user\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF- C8DF72D8F78A\svhostss.exe"" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svhostss.exe: "notepad.exe "C:\Users\user\AppData\Local\Decryption_INFO.txt"" |
Примечательно, что основной исполняемый файл svhostss.exe слабо защищен от анализа, поэтому нам удалось легко обнаружить некоторые выполняемые им команды.
Выполнение образца
Мы также обнаружили подозрительный импорт функций, таких как FindFirstFileW, WriteFile, FindNextFileW и ShellExecuteW. Эти функции обычно используются шифровальщиками для работы с файлами, а последняя часто применяется для запуска внешних программ (например, PowerShell, cmd.exe или сторонних компонентов), которые удаляют зловред из системы.
Импорт функций
В случае Elpaco и Mimic используется функция SetSearchW из легитимной библиотеки DLL Everything для поиска файлов жертвы, как показано ниже. Что интересно, мы не обнаружили функций, отвечающих за эксфильтрацию данных.
Функция SetSearchW
Предотвращение обнаружения и анализа
Образец шифрует файлы жертвы потоковым шифром ChaCha20. Ключ к шифру зашифрован асимметричным алгоритмом RSA-4096, поэтому без него нам не удалось расшифровать файлы.
Вызов ChaCha20
Как показано ниже, во время работы шифровальщик записывает все выполняемые процедуры в файл C:\temp\MIMIC_LOG.txt. Также зловред помещает копию файла ключа session.tmp в тот же каталог C:\temp.
Файл MIMIC_LOG.txt
На последнем этапе вредоносная программа вызывает команду Del, чтобы удалить все исполняемые файлы, конфигурации, библиотеки DLL, пакетные файлы и базы данных из каталога, в котором находился шифровальщик. Интересно, что перед удалением образец использует LOLBin-файл fsutil для безопасного стирания файла svhostss.exe без возможности его восстановления.
Правила YARA
На основе анализа образца мы создали правила YARA для обнаружения как дроппера, так и консольного интерфейса, используемого графическим интерфейсом. Правила учитывают тип файла, соответствующие строки и импорт библиотечных функций.
Дроппер Elpaco:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
import "pe" rule elpaco_dropper { meta: author = "Kaspersky - GERT" description = "Yara rule for detecting the Elpaco dropper." target_entity = "file" strings: $s1 = "-p7183204373585782" wide ascii nocase $s2 = "Everything64.dll" wide ascii nocase $s3 = "ELPACO-team.exe" wide ascii nocase condition: (2 of ($s*)) and pe.imports("SHELL32.dll", "ShellExecuteW") and pe.imports("KERNEL32.dll", "LoadLibraryA") } |
svhostss.exe (консольный интерфейс):
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
import "pe" rule elpaco_console { meta: author = "Kaspersky - GERT" description = "Yara rule for detecting the Elpaco/Mimic main console." target_entity = "file" strings: $s1 = "powershell.exe -ExecutionPolicy Bypass" wide ascii nocase $s2 = "Software\\Classes\\mimicfile\\shell\\open\\command" wide ascii nocase $s3 = "cmd.exe /c DC.exe /D" wide ascii nocase $s4 = "MIMIC_LOG.txt" wide ascii nocase $s5 = "mimicfile" wide ascii nocase $s6 = "Everything Setup..." wide ascii nocase $s7 = "[*] Everything Query..." wide ascii nocase condition: (5 of ($s*)) and pe.imports("Everything32.dll", "Everything_SetSearchW") and pe.imports("bcrypt.dll", "BCryptGenRandom") } |
Жертвы
Мы применили свои правила YARA к открытым источникам и обнаружили недавние атаки с применением образца Elpaco и других вариантов Mimic, преимущественно в США, России, Нидерландах, Германии и Франции. Однако их присутствие не ограничивается только этими странами: заражения также зафиксированы в Канаде, Румынии, Южной Корее, Великобритании и других странах.
TОР 5 стран, атакуемых Mimic (скачать)
На следующей диаграмме отражено изменение частоты появления Mimic по месяцам.
Появления Mimic по месяцам, 2024 г. (скачать)
Собранные данные показывают, что разные модификации Mimic, включая Elpaco, используются злоумышленниками как минимум с августа 2023 года.
Заключение
В этом инциденте мы наблюдали, как шифровальщик Elpaco, являющийся разновидностью Mimic, применяет DLL легитимной утилиты Everything для обнаружения файлов. Образец имеет удобный пользовательский интерфейс для настройки характеристик и позволяет оператору экспортировать параметры в файл конфигурации. К сожалению, используемый алгоритм шифрования не позволяет восстановить файлы на зараженной машине без закрытого ключа, что усложняет борьбу с этой угрозой. Еще одна особенность Elpaco — он удаляет себя после шифрования файлов, чтобы избежать обнаружения и анализа. Мы наблюдаем атаки с использованием Elpaco и других образцов Mimic, нацеленные на разные страны по всему миру. Мы продолжим отслеживать эту угрозу.
Решения «Лаборатории Касперского» детектируют описанную в этой статье угрозу со следующими вердиктами.
- HEUR:Trojan-Ransom.Win32.Generic (дроппер).
- HEUR:Trojan-Ransom.Win32.Mimic.gen ( svhostss.exe).
Тактики, техники и процедуры
Ниже приведены тактики, техники и процедуры, выявленные на основе нашего анализа вредоносного ПО.
| Тактика | Техника | ID |
| Исследование | Обнаружение сетевых папок | T1135 |
| Выполнение | Интерпретатор команд и сценариев: интерпретатор командной строки Windows | T1059.003 |
| Выполнение | Интерпретатор команд и сценариев: PowerShell | T1059.001 |
| Воздействие | Шифрование данных с целью воздействия | T1486 |
| Воздействие | Остановка служб | T1489 |
| Воздействие | Отключение восстановления системы | T1490 |
| Обход защиты | Обход механизмов контроля привилегий: обход контроля учетных записей | T1548.002 |
| Обход защиты | Маскировка | T1036 |
| Обход защиты | Внесение изменений в реестр | T1112 |
| Обход защиты | Отключение системного сетевого экрана или внесение изменений в его настройки | T1562.004 |
| Обход защиты | Внедрение процесса | T1055 |
| Обход защиты | Сокрытие артефактов | T1564 |
| Закрепление | Автозапуск при загрузке или входе в систему: ключи запуска в реестре / папка автозагрузки | T1547.001 |
Индикаторы компрометации
- 61f73e692e9549ad8bc9b965e25d2da683d56dc1 (дроппер)
- 8af05099986d0b105d8e38f305efe9098a9fbda6 ( svhostss.exe)
Изучаем Elpaco — очередной вариант шифровальщика Mimic