Эксперт обнаружил уязвимость в популярных шифровальщиках

[Rehub]

Эксплойт для уязвимостей в программах-вымогателях от Conti, REvil и LockBit блокирует шифрование.

Операторы шифровальщиков часто используют уязвимости для проникновения в корпоративные сети. Однако в программах-вымогателях тоже есть бреши, которые сумел найти специалист из MalVuln project под ником hyp3rlinx . Он изучал не только старые семейства вымогателей – REvil и Conti, но и новичков вроде Black Basta, LockBit и AvosLocker. Согласно отчетам на сайте эксперта, все шифровальщики имеют проблемы с безопасностью, которые можно использовать для остановки самого разрушительного этапа атаки – шифрования файлов.

Анализируя образцы вредоносных программ различных хакерских группировок, hyp3rlinx обнаружил у всех образцов уязвимость к перехвату DLL. Данный метод используют злоумышленники для внедрения вредоносного кода в официальные приложения.

Перехват DLL работает только в Windows-системах, используя способ поиска и загрузки необходимых DLL-файлов в память приложений. Программа с недостаточным количеством проверок может загрузить DLL за пределами своего каталога, повышая привилегии или выполняя вредоносный код.

По словам специалиста, для уязвимых образцов вымогательского ПО от Conti, REvil, LockBit, Black Basta, LockiLocker и AvosLocker, эксплойт способен завершить работу вредоносной программы перед началом шифрования. Чтобы использовать уязвимости шифровальщика, нужно скомпилировать код эксплойта в DLL-файл с определенным именем. Тогда программа-вымогатель распознает файл как собственный и загрузит для начала шифрования данных.

На видео hyp3rlinx использует перехват DLL в программе-вымогателе от REvil и успешно завершает процесс шифрования данных до его начала.

“Для защиты от этих семейств вымогателей, DLL можно поместить в место, где злоумышленники будут запускать свое ПО, например в сеть с важными данными”, – сказал hyp3rlinx. “После загрузки DLL-эксплоита процесс программы-вымогателя должен завершиться до начала шифрования данных”.

Исследователь отмечает, что, в то время, когда вредоносное ПО отключает системы безопасности на зараженной машине, оно не может ничего сделать против перехвата DLL, поскольку это просто файлы, хранящиеся на диске хоста и неактивные до момента запуска.

Пока неясно, какие версии вредоносных программ оказались уязвимы к обнаруженной проблеме. Если образцы новые, то эксплоит будет работать недолго, поскольку вымогатели быстро исправляют попавшие в открытый доступ ошибки. Эксплоиты могут быть рабочими еще некоторое время, но компании все равно рискуют стать жертвами вымогателей, поскольку кража данных с целью получения выкупа – неотъемлемая часть подобных угроз.

Но даже при таком раскладе эксплойты все равно окажутся полезными для предотвращения нарушений работы, способных нанести компании-жертве колоссальный ущерб.

source: youtube.com/watch?v=Sb2fKCOSoew&ab_channel=malvuln

 

[bratva]

Ты забыл дать главное - ссылку на сайт: https://www.malvuln.com/
Тулза: https://github.com/malvuln/Adversary3
Твиттер: https://twitter.com/malvuln

Там вообще много прикольного, есть и PoC, и эксплойты, пример:

Discovery / credits: Malvuln - malvuln.com (c) 2022
Original source: https://malvuln.com/advisory/96de05212b30ec85d4cf03386c1b84af.txt
Contact: malvuln13@gmail.com
Media: twitter.com/malvuln

Threat: Ransom.LockBit
Vulnerability: DLL Hijacking
Description: LockBit ransomware looks for and executes DLLs in its current directory. This can potentially allow us to execute our own code, control and terminate the malware pre-encryption. The exploit dll will check if the current directory is "C:\Windows\System32", if not we grab our process ID and terminate. Endpoint protection systems and or antivirus can potentially be killed prior to executing malware, but this method cannot as theres nothing to kill the DLL just lives on disk waiting. All basic tests were conducted successfully in a virtual machine environment.
Family: LockBit
Type: PE32
MD5: 96de05212b30ec85d4cf03386c1b84af
Vuln ID: MVID-2022-0572
Disclosure: 05/02/2022
Video PoC URL:

Exploit/PoC:
1) Compile the following C code as "netapi32.dll"
2) Place the DLL in same directory as Lockbit ransomware
3) Optional - Hide it: attrib +s +h "netapi32.dll"
4) Run Lockbit PE file

#include "windows.h"
#include "stdio.h"

//By malvuln - 5/1/2022
//Vuln: DLL Hijacking
//Target: Lockbit Ransomware
//MD5: 96de05212b30ec85d4cf03386c1b84af
/** DISCLAIMER:
Author is NOT responsible for any damages whatsoever by using this software or improper malware
handling. By using this code you assume and accept all risk implied or otherwise.
**/

//gcc -c netapi32.c -m32
//gcc -shared -o netapi32.dll netapi32.o -m32

BOOL APIENTRY DllMain(HINSTANCE hInst, DWORD reason, LPVOID reserved){
switch (reason) {
case DLL_PROCESS_ATTACH:
MessageBox(NULL, "Code Exec", "by malvuln", MB_OK);
TCHAR buf[MAX_PATH];
GetCurrentDirectory(MAX_PATH, TEXT(buf));
//printf("Current directory: %s\n", buf);
//check the path, netapi32.dll is sideloaded by lockbit
int rc = strcmp("C:\\Windows\\System32", TEXT(buf));
if(rc != 0){
HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid());
if (NULL != handle) {
TerminateProcess(handle, 0);
CloseHandle(handle);
}
}
break;
}
return TRUE;
}


Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).

В Твиттере уже у кого-то подгорает, что чел релизит в паблик то, что было доступно только исследователям и правоохранителям

 

[toptiku]

Что то стразу мысль пришла, типа на след день другая новость . Эксперт обнаруживший уязвимость в шифровальщиках, оказался ключевой фигурой группировки известного шифровальщика
Сорь за флуд

 

[Quake3]

Ну по такой логике можно написать длл, которая допустим перехватит CreateMutex, вернув ERROR_ALREADY_EXISTS (большинство шифровальщиков да и просто обычных прог юзают такое для проверки на дабл ран). Или перехватить функцию определения языка системы и возвращать локаль ru-ru. Да мало ли чего можно придумать, вплоть до ExitProcess в троянской длл. Только вопрос, как это внедрить в локер.

 

[hvb]

Поставить русский язык и так недавно озвучивалось экспертами как действенный способ защиты от малвари)

 

[Bastar]

Поставить русский язык и так недавно озвучивалось экспертами как действенный способ защиты от малвари)

Не корми их идеями бро, прошло ж это без шума)

 

[Quake3]

Поставить русский язык и так недавно озвучивалось экспертами как действенный способ защиты от малвари)

Это не поможет, те "иксперты" слышали звон только. Локеры проверяют язык системы, а не раскладку клавиатуры. Точнее, некоторые проверяют и раскладку, но основная проверка именно на язык винды.
И да, последние версии того же ревила и дарксайда шифровали систему без оглядки на локаль. Оно и логично - раньше локеры грузили со связок или спама или еще хрен знает как, и был риск попасть на ру машину. Теперь же, работая вручную, адверт сам видит, кого он шифрует.

 

[hvb]

Это не поможет, те "иксперты" слышали звон только. Локеры проверяют язык системы, а не раскладку клавиатуры. Точнее, некоторые проверяют и раскладку, но основная проверка именно на язык винды.
И да, последние версии того же ревила и дарксайда шифровали систему без оглядки на локаль. Оно и логично - раньше локеры грузили со связок или спама или еще хрен знает как, и был риск попасть на ру машину. Теперь же, работая вручную, адверт сам видит, кого он шифрует.

Тогда речь шла не про локеры, а вообще про малварь. Когда вручную грузят, то да, ничего не поможет.

 

[LockBitSupp]

Радует то, что платное обучение всех системных администраторов планеты даёт свои плоды, они учаться и лучше защищают свои сети. Значит мы не зря стараемся. Мы не стоим на месте и противодействуем чуть-чуть по умневшим системным администратором, чтобы наша школа компьютерной грамотности всегда была актуальна как волки в лесу. Ведь волки санитары леса, и кушают самых слабых, больных, раненых зверей, а мы обучаем мало грамотных системных администраторов лучше настраивать корпоративную сеть.

Можно что угодно придумать для защиты своей корпоративной сети, хоть СНГ системного администратора завести и перевести важные узлы на любой язык из стран СНГ, не только русский, но и украинский или армянский, например, но всё это не поможет от нового локера в обновлении 3.0, в нем не работают эти безобидные фокусы с DLL и есть функция отключения проверки языка системы. Кроме того, опытные дорогостоящие учителя системных администраторво проверяют успешность зашифрованности всех файлов в корпоративной сети с помощью скриптов после завершения работы локера.

Негодую от того, что все считают, что учителя системных администраторов именно русские, что за национализм такой, значит получается если ревилов ловят в Москве, то все рансомварщики сразу русские, а если на Украине рансомварщики с теслами, мерсами и мак буками, то про них все молчат в тряпочку, не справедливо!

 

[C0rtex]

Негодую от того, что все считают, что учителя системных администраторов именно русские, что за национализм такой, значит получается если ревилов ловят в Москве, то все рансомварщики сразу русские, а если на Украине рансомварщики с теслами, мерсами и мак буками, то про них все молчат в тряпочку, не справедливо!

like

 

[Apocalypse]

Какие-то "сферические в вакууме" экплоиты пошли нынче, печаль.

 

[DildoFagins]

HANDLE handle = OpenProcess(PROCESS_TERMINATE, FALSE, getpid()); if (NULL != handle) { TerminateProcess(handle, 0);
Может, стоит экспертам рассказать про существование ExitProcess и еще про 100500 методов завалить собственный процесс, а то это кринжатина какая-то.

 

[Apocalypse]

Какие "эксплоиты" такие и методы завершения своего процесса... бл#ть это сюр какой-то.