Описание вредоносного ПО

Изучаем Elpaco — очередной вариант шифровальщика Mimic

Введение

Недавно при расследовании инцидента мы столкнулись с разновидностью шифровальщика Mimic с интересными настраиваемыми функциями. В этом инциденте злоумышленники получили доступ к серверу жертвы через RDP при помощи перебора паролей, после чего запустили шифровальщик. Затем атакующие повысили привилегии, воспользовавшись уязвимостью CVE-2020-1472 (Zerologon).

Шифровальщик использует библиотеку Everything и предоставляет злоумышленникам удобный графический интерфейс для настройки работы вредоносного ПО. Также образец способен отключать защитные механизмы и запускать системные команды.

Этот вариант шифровальщика называется Elpaco и оставляет после себя файлы с одноименным расширением. В статье мы подробно рассказываем об Elpaco, в дополнение к уже опубликованному исследованию, а также описываем тактики, техники и процедуры, используемые злоумышленниками.

Анализ

Первичный осмотр образца

Мы начали анализ с базовой проверки образца. Сначала мы изучили его свойства: тип файла, строки и функциональные возможности, как показано на изображениях ниже.

Анализ типов файлов

Анализ типов файлов

Интересно, что вредоносное ПО использует установщик 7-Zip, из-за чего большинство инструментов анализа и систем детектирования классифицируют его содержимое как упакованное и, соответственно, подозрительное.

Анализ свойств файла

Анализ свойств файла

Анализ энтропии

Анализ энтропии

Мы изучили ZIP-файл и обнаружили, что образец использует библиотеку Everything — легитимную поисковую систему, которая индексирует файлы в Windows в режиме реального времени и благодаря этому позволяет быстро их находить.

Содержимое вредоносного архива

Содержимое вредоносного архива

Зловред использует эту библиотеку так же, как и шифровальщик Mimic, обнаруженный ранее компанией TrendMicro. Он содержит легитимные бинарные файлы Everything ( Everything32.dll и Everything.exe) и защищенный паролем архив с вредоносными полезными нагрузками под названием Everything64.dll. Помимо этого, в архиве есть легитимная утилита 7-Zip для извлечения вредоносного содержимого. Шифровальщик Mimic использует API Everything для поиска определенных файлов, шифрует пользовательские данные с помощью продвинутых методов, таких как многопоточное шифрование, и отображает требование выкупа. Mimic избегает обнаружения с помощью обфускации кода, что затрудняет выявление и предотвращение атаки средствами безопасности.

Анализируя строки Elpaco, мы смогли найти команду для извлечения файла Everything64.dll и пароль к архиву.

Команда извлечения через 7-Zip

При запуске вредоносная программа распаковывает архив и помещает нужные файлы в %AppData%\Local — в отдельный подкаталог, названный по случайно сгенерированному UUID.

Целевой каталог

Содержимое образца

Содержимое архива нужно для шифрования файлов и выполнения дополнительных задач в операционной системе.

Структура Elpaco

Структура Elpaco

Например, бинарный файл DC.exe — это инструмент Defender Control, который позволяет включать и отключать Защитник Windows. После распаковки файл сразу запускается.

Инструмент Defender Control (DC.exe)

Инструмент Defender Control (DC.exe)

Образец также помещает файл с именем session.tmp в тот же целевой каталог. Это ключ сеанса, позволяющий продолжить шифрование в случае прерывания вредоносного процесса (например, если он будет принудительно завершен).

Файл session.tmp

Файл session.tmp

Наиболее интересным файлом является svhostss.exe, который служит основной консолью вредоносного ПО. Стоит отметить, что это имя напоминает svchost.exe — легитимный процесс Windows. Злоумышленники часто используют такую схему именования, чтобы сбить с толку менее опытных пользователей при анализе памяти. На самом деле svhostss.exe — это бинарный файл, выполняющий вредоносные действия. Зловред имеет свой графический интерфейс, расположенный в том же каталоге под именем gui40.exe. Он взаимодействует с консолью и упрощает некоторые операции, например настройку параметров шифровальщика (сообщение о выкупе, разрешенные каталоги и файлы) и выполнение действий в системе жертвы.

При запуске svhostss.exe вызывает программу DC.exe с параметром /D для отключения защиты

При запуске svhostss.exe вызывает программу DC.exe с параметром /D для отключения защиты

В графическом интерфейсе оператор может выбрать шифруемые диски, скрыть вредоносные процессы при помощи инъекции, настроить сообщение о выкупе, изменить расширение зашифрованных файлов, установить порядок шифрования в зависимости от исходного формата файла и исключить определенные каталоги, файлы и форматы из шифрования.

Графический интерфейс шифровальщика

Графический интерфейс шифровальщика

Настройка сообщения о выкупе

Настройка сообщения о выкупе

Также зловред может завершать конкретные процессы, указанные оператором, и выполнять системные команды, что позволяет настроить различные варианты атаки.

Параметры шифровальщика

Параметры шифровальщика

Импорт и экспорт данных

Образец позволяет импортировать и экспортировать файлы конфигурации вредоносного ПО с параметрами, заданными оператором. Шифровальщик содержит несколько встроенных шаблонов, из которых может выбрать злоумышленник. На изображении ниже показан экспортированный файл конфигурации. Обратите внимание, что каждой конфигурации предшествует число, которое обозначает ее идентификатор.

Файл с настраиваемой конфигурацией

Файл с настраиваемой конфигурацией

Консольный интерфейс, запускаемый вместе с графическим, собирает подробную информацию о системе, включая диски и общие файловые ресурсы.

Сбор информации с помощью svhostss.exe

Сбор информации с помощью svhostss.exe

Вредоносная программа создает ключи реестра, показанные ниже. Обратите внимание, что все файлы с расширением .ELPACO-team по умолчанию классифицируются как mimicfile и при запуске открывают сообщение о выкупе ( Decryption_INFO.txt).

Кроме того, шифровальщик настраивает ключ реестра Run для автозапуска svhostss.exe и отображения сообщения о выкупе при загрузке компьютера.

Примечательно, что основной исполняемый файл svhostss.exe слабо защищен от анализа, поэтому нам удалось легко обнаружить некоторые выполняемые им команды.

Выполнение образца

Выполнение образца

Мы также обнаружили подозрительный импорт функций, таких как FindFirstFileW, WriteFile, FindNextFileW и ShellExecuteW. Эти функции обычно используются шифровальщиками для работы с файлами, а последняя часто применяется для запуска внешних программ (например, PowerShell, cmd.exe или сторонних компонентов), которые удаляют зловред из системы.

Импорт функций

Импорт функций

В случае Elpaco и Mimic используется функция SetSearchW из легитимной библиотеки DLL Everything для поиска файлов жертвы, как показано ниже. Что интересно, мы не обнаружили функций, отвечающих за эксфильтрацию данных.

Функция SetSearchW

Функция SetSearchW

Предотвращение обнаружения и анализа

Образец создает новую пару ключей X25519 для шифрования каждого файла, вычисляет общий секрет и получает ключ ChaCha20 при помощи HKDF-SHA256.

Вызов ChaCha20

Вызов ChaCha20

Как показано ниже, во время работы шифровальщик записывает все выполняемые процедуры в файл C:\temp\MIMIC_LOG.txt. Также зловред помещает копию файла ключа session.tmp в тот же каталог C:\temp.

Файл MIMIC_LOG.txt

Файл MIMIC_LOG.txt

На последнем этапе вредоносная программа вызывает команду Del, чтобы удалить все исполняемые файлы, конфигурации, библиотеки DLL, пакетные файлы и базы данных из каталога, в котором находился шифровальщик. Интересно, что перед удалением образец использует LOLBin-файл fsutil для безопасного стирания файла svhostss.exe без возможности его восстановления.

Правила YARA

На основе анализа образца мы создали правила YARA для обнаружения как дроппера, так и консольного интерфейса, используемого графическим интерфейсом. Правила учитывают тип файла, соответствующие строки и импорт библиотечных функций.

Дроппер Elpaco:

svhostss.exe (консольный интерфейс):

Жертвы

Мы применили свои правила YARA к открытым источникам и обнаружили недавние атаки с применением образца Elpaco и других вариантов Mimic, преимущественно в США, России, Нидерландах, Германии и Франции. Однако их присутствие не ограничивается только этими странами: заражения также зафиксированы в Канаде, Румынии, Южной Корее, Великобритании и других странах.

TОР 5 стран, атакуемых Mimic (скачать)

На следующей диаграмме отражено изменение частоты появления Mimic по месяцам.

Появления Mimic по месяцам, 2024 г. (скачать)

Собранные данные показывают, что разные модификации Mimic, включая Elpaco, используются злоумышленниками как минимум с августа 2023 года.

Заключение

В этом инциденте мы наблюдали, как шифровальщик Elpaco, являющийся разновидностью Mimic, применяет DLL легитимной утилиты Everything для обнаружения файлов. Образец имеет удобный пользовательский интерфейс для настройки характеристик и позволяет оператору экспортировать параметры в файл конфигурации. К сожалению, используемый алгоритм шифрования не позволяет восстановить файлы на зараженной машине без закрытого ключа, что усложняет борьбу с этой угрозой. Еще одна особенность Elpaco — он удаляет себя после шифрования файлов, чтобы избежать обнаружения и анализа. Мы наблюдаем атаки с использованием Elpaco и других образцов Mimic, нацеленные на разные страны по всему миру. Мы продолжим отслеживать эту угрозу.

Решения «Лаборатории Касперского» детектируют описанную в этой статье угрозу со следующими вердиктами.

  • HEUR:Trojan-Ransom.Win32.Generic (дроппер).
  • HEUR:Trojan-Ransom.Win32.Mimic.gen ( svhostss.exe).

Тактики, техники и процедуры

Ниже приведены тактики, техники и процедуры, выявленные на основе нашего анализа вредоносного ПО.

Тактика Техника ID
Исследование Обнаружение сетевых папок T1135
Выполнение Интерпретатор команд и сценариев: интерпретатор командной строки Windows T1059.003
Выполнение Интерпретатор команд и сценариев: PowerShell T1059.001
Воздействие Шифрование данных с целью воздействия T1486
Воздействие Остановка служб T1489
Воздействие Отключение восстановления системы T1490
Обход защиты Обход механизмов контроля привилегий: обход контроля учетных записей T1548.002
Обход защиты Маскировка T1036
Обход защиты Внесение изменений в реестр T1112
Обход защиты Отключение системного сетевого экрана или внесение изменений в его настройки T1562.004
Обход защиты Внедрение процесса T1055
Обход защиты Сокрытие артефактов T1564
Закрепление Автозапуск при загрузке или входе в систему: ключи запуска в реестре / папка автозагрузки T1547.001

Индикаторы компрометации

Изучаем Elpaco — очередной вариант шифровальщика Mimic

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. safety

    .Однако прошло уже более двух лет, с момента появления активности Mimic, Существуют около сотни вариантов Mimic, и все они используют Everything с самого начала, которое было по осени 2022 года. И все работают по такой же схеме что и Mimic/Elpaco-team.

    1. Securelist

      Здравствуйте, Safety!
      Действительно, существует множество образцов Mimic. Вариант, описываемый в статье, привлек наше внимание возможностью кастомизации, а также способами повышения привилегий в системе, которые использовали злоумышленники при помощи старой уязвимости. Это подчеркивает важность регулярного обновления систем и использования надежных защитных решений.
      Спасибо за бдительность!

  2. Maksim

    Добрый день!
    Данное Yara-правило будет добавлено в Kaspersky TI?

    Проверяли в крайней выгрузке, ничего не нашли.

    1. Securelist

      Здравствуйте, Максим!
      Да, правила YARA из этой статьи будут добавлены на портал Kaspersky Threat Intelligence.
      Следите за обновлениями и спасибо за бдительность!

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике