StopCrypt fidye yazılımının yeni bir çeşidi keşfedildi. Dosya şifreleme kodunu içeren son veriyi başlatmadan önce çok aşamalı kabuk kodlarını çalıştırır.
Bu kötü amaçlı yazılım, algılamadan kaçınma, 600 milyon yinelemeden oluşan zaman geciktirme döngüsü ve diğer bazı mekanizmalar gibi çeşitli teknikler kullanır.
Üstelik fidye yazılımı, yük yürütmesi için her beş dakikada bir yürütülen komut satırı argümanlarıyla zamanlanmış görevleri de kullanıyor.
Teknik Analiz
Cyber Security News ile paylaşılan raporlara göre kötü amaçlı yazılım bulaşma döngüsü, msim32.dll dosyasının bir dizesinin oluşturulmasıyla başlıyor ancak bu, fidye yazılımı yürütme sürecinde bile kullanılmıyor.
Milyonlarca yineleme, aynı verilerin artan yineleme değerine sahip bir konuma kopyalandığı bir zaman gecikmeli döngü için ayarlanmıştır.
Benzer teknikler, tespit edilmekten kaçınmak için kötü amaçlı yazılımın yürütülmesi sırasında kullanılmak üzere analiz edilmiştir.
Kaçış, kötü amaçlı kodun yapay uzatma süresinden kaynaklanmaktadır.
.webp)
Bundan sonra kod, bellek bloğunun izinlerini READ, WRITE ve EXECUTE olarak değiştirmek için LocalAlloc API ve VirtualProtect'i kullanarak bellek ayırır.
Birinci Aşama Yükü
Bu aşama gerekli API'yi Kernel_GetProcAddress API'sini kullanarak çözer.
Fidye yazılımı, doğrudan yığın üzerinde API adlarını içeren işlev adlarını veya dizeleri oluşturarak API işlev çağrıları oluşturur.
Bu, kolayca algılanan ve tanımlanan basit API çağrılarının yerine kullanılmak üzere yapılır.
Kötü amaçlı yazılım tarafından çözümlenen adresler aşağıdaki API'lere yöneliktir:
- Küresel Tahsis
- Sanal Tahsis
- SetLastError
- Uyumak
- CreateToolHelp32Anlık Görüntü
- Modül32İlk
- KapatHandle
CreateToolhelp32Snapshot, kötü amaçlı yazılım kodunda tüm modülleriyle birlikte mevcut sürecin anlık görüntüsünü almak için kullanılır.
Ayrıca sürecin ilk modülüne ait bilgiler Module32First API kullanılarak çıkarılmaktadır.
.webp)
İkinci Aşama Yükü
Kötü amaçlı yazılımın ikinci aşaması, kabuk kodunun birincil görevi olan süreç boşluğunu gerçekleştirir.
Bu aşamada oluşturulan API işlevleri aşağıdaki adreslere çözümlenir:
- MesajKutusuA
- GetMessageExtraInfo
- WinExec
- DosyaA Oluştur
- Dosya Yaz
- KapatHandle
- SüreçA Oluştur
- GetThreadContext
- Sanal Tahsis
- VirtualAllocEx
- SanalÜcretsiz
- Süreç Belleğini Oku
- Yazma İşlem Belleği
- SetThreadContext
- Devam Konusu
- WaitForSingleObject
- GetModuleFileNameA
- Komut Satırını Al
- NtUnmapViewOfSection
- NtWriteVirtualBellek
- ClassExA'ya kaydolun
- CreateWindowExA
- MesajMesajA
- GetMessageA
- DefWindowProcA
- GetFileAttributesA
- GetStartupInfoA
- VirtualProtectEx
Fidye yazılımı aynı zamanda var olmayan bir dosyanın FileAttributes'unu da bilinmeyen amaçlarla kontrol ediyor ve bunun, dosyanın bulunabileceği belirli sistemleri tanımlamak için kullanıldığı tahmin ediliyor.
Belirli işlemlerden sonra fidye yazılımı, READ ve WRITE izinleriyle bellek ayırmak ve GetModuleFileNameA API tarafından döndürülen yolu depolamak için VirtualAlloc API'yi çağırır.
Bunu takiben, başlangıç bilgilerini çıkarmak için kernel32.GetStartupInfoA API'si çağrılır.
Nihai Yük
Son işlem sırasında, fidye yazılımı “Admin IsNotAutoStart IsNotTask” parametresiyle devam ettirilen bir işlemi başlatır ve ardından fidye yazılımı C:\\Users\ konumunda yeni bir dizin oluşturur.
Ayrıca, Windows'ta erişim kontrol listelerini (ACL'ler) görüntülemek ve değiştirmek için kullanılan komut satırı yardımcı programı olan icacls.exe işlemini başlatır.
Icacls.exe dosyasını yürütmek için kullanılan komut, grubun “Herkes” için belirtilen dosyayı silme iznini reddeder ve bu da kötü amaçlı yazılımın silinebilmesini engeller.
.webp)
Ek olarak, kötü amaçlı yazılım, her 5 dakikada bir komut satırı argümanı olan -Task ile son veri yükünün bir kopyasını yürütmek için zamanlanmış bir görev oluşturur.
Fidye yazılımı dosyaları şifreler ve onlara .msjd uzantısını eklerken, şifrelenmiş her klasöre _readme.txt adı altında bir fidye yazılımı notu koyar.
.webp)
Uzlaşma Göstergeleri
- GAV: StopCrypt.RSM (Trojan)
SOC ve DFIR Ekiplerinden misiniz? – Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> F için Şimdi BaşlayınREvet.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.