Переведено специально для xss.pro by Stalker
Оригинальная статья
Вступление
Исследователи Anomali обнаружили новое семейство вымогателей, получившее название eCh0raix, предназначенное для устройств QNAP Network Attached Storage (NAS). Устройства QNAP созданы тайваньской компанией QNAP Systems, Inc. и, помимо прочего, содержат функции хранения устройств и медиаплеера. Похоже, что устройства скомпрометированы грубым взломом слабых учетных данных и использованием известных уязвимостей в целевых атаках. Вредоносная полезная нагрузка шифрует целевые расширения файлов на NAS с использованием шифрования AES и добавляет расширение .encrypt к зашифрованным файлам. Примечание о выкупе, созданное вымогателями, имеет форму, показанную ниже.
Обратите внимание, что в записке о выкупе есть опечатка, которая может указывать на то, что участники этой кампании не являются носителями английского языка.
Техническая разбивка QNAP
Вредоносная программа написана и скомпилирована на языке программирования Go. Вымогатель очень прост с его исходным кодом менее 400 строк. Восстановление дерева исходного кода показано ниже. Функциональность стандартна для вымогателей: проверьте, не зашифровано ли уже, пройдитесь по файловой системе, чтобы найти файлы для шифрования, зашифруйте файлы и создайте записку с требованием выкупа.
После выполнения вредоносная программа обращается к URL-адресу http: //192.99.206 [.] 61 / d.php? S =started и уведомляет о начале процесса шифрования, как показано на рисунке 1.
Рисунок 1. Проверяет, запущен ли экземпляр, обращаясь к IP-адресу C2. Если это так, выйдите из процесса.
Установление соединения C2
Вредоносная программа связывается с
Рисунок 2 - Результаты сканирования портов на Proxy IP
Рисунок 3 - Соединение через SOCKS5 прокси
Вредоносная программа извлекает открытый RSA ключ и текстовое содержимое «readme» с сервера C2. В одном из проанализированных примеров использовался URL-адрес «http: // sg3dwqfpnr4sl5hh [.] Onion / api / GetAvailKeysByCampId / 10», который, возможно, предполагает, что это была 10-я кампания, проводимая субъектом угрозы. Данные, возвращаемые сервером C2, кодируются в формате JSON, и вредоносная программа десериализует данные в следующую структуру данных Go:
Модуль шифрования
Модуль генерирует 32-символьную случайную строку из массива «abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ! @ # $% ^ & * () _ +», Чтобы создать ключ AES-256. При использовании этого фиксированного набора символов эффективное пространство ключей составляет 192-разрядное. Как видно на рисунке 4, вредоносная программа инициализирует математическую случайную страницу с начальным значением текущего времени. Поскольку он использует математический пакет для генерации секретного ключа, он не является криптографически случайным и, вероятно, можно написать расшифровщик.
Рисунок 4 - Установка математического случайного начального числа с текущим временем.
Сгенерированный ключ AES затем шифруется открытым ключом, который либо встраивается в образец вредоносного ПО, либо извлекается с сервера C2, в зависимости от версии вредоносного ПО. Полученная строка затем кодируется с помощью base64 и добавляется в файл README_FOR_DECRYPT.txt.
Перед тем, как вредоносная программа зашифровывает какие-либо файлы, она продолжает уничтожать приведенный ниже список процессов. Процессы останавливаются на зараженном NAS с помощью команд «остановка службы% s» или «остановка systemctl% s».
Шифрование файлов
Файлы зашифрованы с помощью AES в Cipher Feedback Mode (CFB) с секретным ключом, который был сгенерирован. При выборе файлов для шифрования вымогатель пропускает любые файлы, где абсолютный путь к файлу содержит любую из строк, перечисленных ниже.
Если путь не содержит ни одной из строк, он проверяет расширение файла для файла. Если расширение файла является одним из расширений, показанных ниже, вымогатель шифрует файл. Зашифрованные данные записываются в новый файл с исходным именем и расширением файла, но расширения файла «.encrypt» добавляются в конец. Как только файл будет записан, исходный файл будет удален.
После завершения всего процесса шифрования вредоносная программа обращается к URL-адресу http://192.99.206.61/d[.]php?s=done и отправляет команду «done», чтобы уведомить о завершении шифрования,рисунок 5.
Рисунок 5 - Отправка команды «done» на C2
C2 Анализ
В анализируемом URL-адресе C2
Анализ
ECh0raix Ransomware, названный в честь строки, найденной в вредоносной программе, является вымогателем, используемым в целевых атаках. Кажется, он не предназначен для массового распространения. Образцы с жестко закодированным открытым ключом, по-видимому, компилируются для цели с уникальным ключом для каждой цели. Иначе расшифровщик, проданный действующим лицом угрозы, мог бы использоваться для всех жертв. Образцы, которые получают открытый ключ и записку о выкупе с сервера C2, также отправляют запрос, когда он запускается и когда это делается. Это, вероятно, используется, чтобы предоставить субъекту угрозы живую обратную связь. Запрос не содержит никакой идентифицируемой информации для субъекта угрозы, чтобы различить несколько целей.
Актер угрозы предназначен для устройств QNAP NAS, которые используются для хранения файлов и резервного копирования. На этих устройствах не принято запускать антивирусные продукты, и в настоящее время образцы обнаруживаются только 2-3 продуктами на VirusTotal, рис. 6, что позволяет программам-вымогателям работать без ограничений. Не известно, как эти устройства заражены. Согласно сообщению на форуме Bleeping Computer, некоторые зараженные системы не были полностью исправлены, а другие сообщили об обнаружении неудачных попыток входа в систему.
Рисунок 6 - Низкий уровень обнаружения на VirusTotal
Рекомендации
Ограничьте внешний доступ к устройству QNAP NAS. Убедитесь, что он обновлен с исправлениями безопасности и что используются надежные учетные данные.
Уязвимые версии QTS по мнению пользователей форума BleepingComputer:
P.S. Поддержи переводы :
QIWI +380999543560
Yandex.Money 410018707581713
Оригинальная статья
Вступление
Исследователи Anomali обнаружили новое семейство вымогателей, получившее название eCh0raix, предназначенное для устройств QNAP Network Attached Storage (NAS). Устройства QNAP созданы тайваньской компанией QNAP Systems, Inc. и, помимо прочего, содержат функции хранения устройств и медиаплеера. Похоже, что устройства скомпрометированы грубым взломом слабых учетных данных и использованием известных уязвимостей в целевых атаках. Вредоносная полезная нагрузка шифрует целевые расширения файлов на NAS с использованием шифрования AES и добавляет расширение .encrypt к зашифрованным файлам. Примечание о выкупе, созданное вымогателями, имеет форму, показанную ниже.
Код:
All your data has been locked(crypted).
How to unclock(decrypt) instruction located in this TOR website: http://sg3dwqfpnr4sl5hh.onion/order/[Bitcoin address]
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
Do NOT remove this file and NOT remove last line in this file!
[base64 encoded encrypted data]Обратите внимание, что в записке о выкупе есть опечатка, которая может указывать на то, что участники этой кампании не являются носителями английского языка.
Техническая разбивка QNAP
Вредоносная программа написана и скомпилирована на языке программирования Go. Вымогатель очень прост с его исходным кодом менее 400 строк. Восстановление дерева исходного кода показано ниже. Функциональность стандартна для вымогателей: проверьте, не зашифровано ли уже, пройдитесь по файловой системе, чтобы найти файлы для шифрования, зашифруйте файлы и создайте записку с требованием выкупа.
Код:
Package main: /home/user/go/src/qnap_crypt_worker
File: main.go
getInfo Lines: 61 to 123 (62)
checkReadmeExists Lines: 123 to 132 (9)
(init)0 Lines: 132 to 161 (29)
main Lines: 161 to 213 (52)
(main)func1 Lines: 185 to 191 (6)
randSeq Lines: 213 to 222 (9)
in Lines: 222 to 231 (9)
writemessage Lines: 231 to 238 (7)
chDir Lines: 238 to 269 (31)
encrypt Lines: 269 to 349 (80)
makesecret Lines: 349 to 358 (9)После выполнения вредоносная программа обращается к URL-адресу http: //192.99.206 [.] 61 / d.php? S =started и уведомляет о начале процесса шифрования, как показано на рисунке 1.
Рисунок 1. Проверяет, запущен ли экземпляр, обращаясь к IP-адресу C2. Если это так, выйдите из процесса.
Установление соединения C2
Вредоносная программа связывается с
C2 sg3dwqfpnr4sl5hh [.]onion через прокси-сервер SOCKS5 Tor по адресу 192.99.206 [.] 61: 65000, как видно на рисунках 2 и 3. На основании анализа становится ясно, что прокси был настроен автором вредоносных программ, обеспечивающий доступ к вредоносным программам через сеть Tor без включения функциональности Tor в вредоносные программы.
Рисунок 2 - Результаты сканирования портов на Proxy IP
Рисунок 3 - Соединение через SOCKS5 прокси
Вредоносная программа извлекает открытый RSA ключ и текстовое содержимое «readme» с сервера C2. В одном из проанализированных примеров использовался URL-адрес «http: // sg3dwqfpnr4sl5hh [.] Onion / api / GetAvailKeysByCampId / 10», который, возможно, предполагает, что это была 10-я кампания, проводимая субъектом угрозы. Данные, возвращаемые сервером C2, кодируются в формате JSON, и вредоносная программа десериализует данные в следующую структуру данных Go:
Код:
type main.Info struct {
RsaPublicKey string
Readme string
}Модуль шифрования
Модуль генерирует 32-символьную случайную строку из массива «abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ! @ # $% ^ & * () _ +», Чтобы создать ключ AES-256. При использовании этого фиксированного набора символов эффективное пространство ключей составляет 192-разрядное. Как видно на рисунке 4, вредоносная программа инициализирует математическую случайную страницу с начальным значением текущего времени. Поскольку он использует математический пакет для генерации секретного ключа, он не является криптографически случайным и, вероятно, можно написать расшифровщик.
Рисунок 4 - Установка математического случайного начального числа с текущим временем.
Сгенерированный ключ AES затем шифруется открытым ключом, который либо встраивается в образец вредоносного ПО, либо извлекается с сервера C2, в зависимости от версии вредоносного ПО. Полученная строка затем кодируется с помощью base64 и добавляется в файл README_FOR_DECRYPT.txt.
Перед тем, как вредоносная программа зашифровывает какие-либо файлы, она продолжает уничтожать приведенный ниже список процессов. Процессы останавливаются на зараженном NAS с помощью команд «остановка службы% s» или «остановка systemctl% s».
- apache2
- httpd
- nginx
- mysqld
- mysql
- php-fpm
- php5-fpm
- postgresql
Шифрование файлов
Файлы зашифрованы с помощью AES в Cipher Feedback Mode (CFB) с секретным ключом, который был сгенерирован. При выборе файлов для шифрования вымогатель пропускает любые файлы, где абсолютный путь к файлу содержит любую из строк, перечисленных ниже.
- /proc
- /boot/
- /sys/
- /run/
- /dev/
- /etc/
- /home/httpd
- /mnt/ext/opt
- .system/thumbnail
- .system/opt
- .config
- .qpkg
Если путь не содержит ни одной из строк, он проверяет расширение файла для файла. Если расширение файла является одним из расширений, показанных ниже, вымогатель шифрует файл. Зашифрованные данные записываются в новый файл с исходным именем и расширением файла, но расширения файла «.encrypt» добавляются в конец. Как только файл будет записан, исходный файл будет удален.
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx
После завершения всего процесса шифрования вредоносная программа обращается к URL-адресу http://192.99.206.61/d[.]php?s=done и отправляет команду «done», чтобы уведомить о завершении шифрования,рисунок 5.
Рисунок 5 - Отправка команды «done» на C2
C2 Анализ
В анализируемом URL-адресе C2
(http: // sg3dwqfpnr4sl5hh [.]onion) Включен частичный список каталогов, и после просмотра каталогов исследователи Anomali смогли найти образец с именем «linux_crypter». Образец был упакован UPX. Анализ неупакованного образца подтвердил, что он написан на Go и имел некоторые модификации ранее проанализированного образца. Образец, найденный на C2, проверяет региональные настройки зараженного NAS для Беларуси, Украины или России и завершает работу, ничего не делая, если найдено совпадение. Этот метод распространен среди участников угроз, особенно когда они не хотят заражать пользователей в своей стране.Анализ
ECh0raix Ransomware, названный в честь строки, найденной в вредоносной программе, является вымогателем, используемым в целевых атаках. Кажется, он не предназначен для массового распространения. Образцы с жестко закодированным открытым ключом, по-видимому, компилируются для цели с уникальным ключом для каждой цели. Иначе расшифровщик, проданный действующим лицом угрозы, мог бы использоваться для всех жертв. Образцы, которые получают открытый ключ и записку о выкупе с сервера C2, также отправляют запрос, когда он запускается и когда это делается. Это, вероятно, используется, чтобы предоставить субъекту угрозы живую обратную связь. Запрос не содержит никакой идентифицируемой информации для субъекта угрозы, чтобы различить несколько целей.
Актер угрозы предназначен для устройств QNAP NAS, которые используются для хранения файлов и резервного копирования. На этих устройствах не принято запускать антивирусные продукты, и в настоящее время образцы обнаруживаются только 2-3 продуктами на VirusTotal, рис. 6, что позволяет программам-вымогателям работать без ограничений. Не известно, как эти устройства заражены. Согласно сообщению на форуме Bleeping Computer, некоторые зараженные системы не были полностью исправлены, а другие сообщили об обнаружении неудачных попыток входа в систему.
Рисунок 6 - Низкий уровень обнаружения на VirusTotal
Рисунок 7 - Содержание из сообщений форума BleepingComputer
Рекомендации
Ограничьте внешний доступ к устройству QNAP NAS. Убедитесь, что он обновлен с исправлениями безопасности и что используются надежные учетные данные.
Уязвимые версии QTS по мнению пользователей форума BleepingComputer:
- 4.1.3
- 4.2.6
- QNAP TS-459 Pro II with 4.2.6 firmware
- QNAP TS-251+ (4.3.1.0695 Build 20180830)
Код:
rule eCh0raix {
meta:
author = "Anomali"
tlp = "GREEN"
description = "Rule to detect eCh0raix ransomware"
version = "1.0"
strings:
$magic = "eCh0raix"
$s0 = "go.buildid"
$s1 = "main.main"
$s2 = "makesecret"
$s3 = "chDir"
$s4 = "writemessage"
$s5 = "randSeq"
$s6 = "encrypt"
condition:
uint16(0) == 0x457f and $magic and all of ($s*)
}P.S. Поддержи переводы :
QIWI +380999543560
Yandex.Money 410018707581713
