HavanaCrypt Ransomware IOCs

Недавно Trendmicro обнаружили совершенно новое семейство программ-вымогателей, использующее схему маскировки под приложение Google Software Update и использует IP-адрес службы веб-хостинга Microsoft в качестве сервера управления и контроля (C&C), чтобы избежать обнаружения. Расследование Trendmicro, также показало, что эта программа-вымогатель использует функцию QueueUserWorkItem, метод пространства имен .NET System.Threading, который ставит метод в очередь на выполнение, и модули KeePass Password Safe, менеджера паролей с открытым исходным кодом, во время процедуры шифрования файлов.

HavanaCrypt Ransomware

HavanaCrypt появляется в виде поддельного приложения Google Software Update.

Эта вредоносная программа представляет собой скомпилированное приложение .NET и защищена Obfuscar, обфускатором с открытым исходным кодом .NET, который используется для защиты кода в сборке .NET.

Вредоносная программа также имеет несколько методов защиты от виртуализации, которые помогают ей избежать динамического анализа при выполнении на виртуальной машине.

При выполнении HavanaCrypt скрывает свое окно, используя функцию ShowWindow с параметром 0 (SW_HIDE).

Затем HavanaCrypt проверяет реестр автозапуска на наличие реестра "GoogleUpdate". Если реестр отсутствует, вредоносная программа продолжает свою вредоносную работу.

Затем он переходит к процедуре антивиртуализации, где завершает свою работу, если обнаруживается, что система работает в среде виртуальных машин.

HavanaCrypt имеет четыре этапа проверки того, работает ли зараженная машина в виртуализированной среде.

  • Во-первых, он проверяет наличие служб, используемых виртуальными машинами, таких как VMWare Tools и vmmouse.
  • Во-вторых, он проверяет наличие обычных файлов, связанных с приложениями виртуальных машин.
  • В-третьих, проверяются имена файлов, используемых виртуальными машинами для своих исполняемых файлов.
  • Наконец, проверяется MAC-адрес машины и сравнивается с префиксами организационно уникальных идентификаторов (OUI), которые обычно используются виртуальными машинами.

Убедившись, что машина-жертва не запущена в виртуальной машине, HavanaCrypt загружает файл с именем "2.txt" с 20[.]227[.]128[.]33, IP-адреса службы веб-хостинга Microsoft, и сохраняет его как пакетный (.bat) файл с именем, содержащим от 20 до 25 случайных символов.

Затем он выполняет пакетный файл с помощью cmd.exe с параметром "/c start". Пакетный файл содержит команды, которые используются для настройки предпочтений сканирования Windows Defender для разрешения любых обнаруженных угроз в каталогах "%Windows%" и "%User%".

HavanaCrypt также завершает некоторые процессы, запущенные на машине:

  • agntsvc
  • axlbridge
  • ccevtmgr
  • ccsetmgr
  • contoso1
  • culserver
  • culture
  • dbeng50
  • dbeng8
  • dbsnmp
  • dbsrv12
  • defwatch
  • encsvc
  • excel
  • fdlauncher
  • firefoxconfig
  • httpd
  • infopath
  • isqlplussvc
  • msaccess
  • msdtc
  • msdtsrvr
  • msftesql
  • msmdsrv
  • mspub
  • mssql
  • mssqlserver
  • mydesktopqos
  • mydesktopservice
  • mysqld
  • mysqld-nt
  • mysqld-opt
  • ocautoupds
  • ocomm
  • ocssd
  • onenote
  • oracle
  • outlook
  • powerpnt
  • qbcfmonitorservice
  • qbdbmgr
  • qbidpservice
  • qbupdate
  • qbw32
  • quickboooks.fcs
  • ragui
  • rtvscan
  • savroam
  • sqbcoreservice
  • sqladhlp
  • sqlagent
  • sqlbrowser
  • sqlserv
  • sqlserveragent
  • sqlservr
  • sqlwriter
  • steam
  • supervise
  • synctime
  • tbirdconfig
  • thebat
  • thebat64
  • thunderbird
  • tomcat6
  • vds
  • visio
  • vmware-converter
  • vmware-usbarbitator64
  • winword
  • word
  • wordpad
  • wrapper
  • wxserver
  • wxserverview
  • xfssvccon
  • zhudongfangyu
  • zhundongfangyu

Следует отметить, что в этот список входят процессы, являющиеся частью приложений, связанных с базами данных, таких как Microsoft SQL Server и MySQL. Настольные приложения, такие как Microsoft Office и Steam, также завершаются.

После завершения всех соответствующих процессов HavanaCrypt запрашивает все доступные дисковые накопители и приступает к удалению теневых копий и изменению максимального объема дискового пространства до 401 МБ.

Он также проверяет наличие экземпляров восстановления системы через Windows Management Instrumentation (WMI) и удаляет их с помощью функции SRRemoveRestorePoint.

Затем он сбрасывает свои копии в папки %ProgramData% и %StartUp% в виде исполняемых файлов (.exe) с различными именами файлов, содержащими от 10 до 15 случайных символов. Их атрибуты затем устанавливаются на "Скрытый" и "Системный файл".

HavanaCrypt также сбрасывает файл с именем "vallo.bat" в %User Startup%, который содержит функции, позволяющие отключить диспетчер задач.

HavanaCrypt использует функцию QueueUserWorkItem для реализации пула потоков для других полезных нагрузок и потоков шифрования. Эта функция используется для выполнения задачи, когда пул потоков становится доступным.

Она также использует атрибут DebuggerStepThrough, который заставляет ее во время отладки проходить через код, а не входить в него.

Прежде чем приступить к процедуре шифрования, HavanaCrypt собирает определенную информацию и отправляет ее на свой C&C-сервер по адресу 20[.]227[.]128[.]33/index.php. Это уникальный идентификатор (UID), токен и дата.

UID содержит системный отпечаток пальца машины. HavanaCrypt собирает части информации о машине и комбинирует их, добавляя одну к другой, а затем преобразует информацию в свой хэш SHA-256 в формате:

Информация о машине, которую собирает HavanaCrypt, включает в себя:

  • Количество ядер процессора
  • ID процессора
  • Имя процессора
  • Обозначение сокета
  • Производитель материнской платы
  • Название материнской платы
  • Версия BIOS
  • Номер продукта

HavanaCrypt заменяет строку "index.php" на "ham.php", чтобы отправить GET-запрос на свой C&C-сервер (hxxp[:]//20[.]227[.]128[.]33/ham.php), используя "Havana/1.0" в качестве агента пользователя.

HavanaCrypt декодирует ответ от ham.php в Base64 и расшифровывает его с помощью алгоритма расшифровки AES, используя эти параметры:

Затем HavanaCrypt сохраняет выходные данные в двух различных массивах с "-" в качестве разделителя. Первый массив используется в качестве токена, а второй - в качестве даты.

HavanaCrypt использует модули KeePass Password Safe в процессе шифрования. В частности, он использует функцию CryptoRandom для генерации случайных ключей, необходимых для шифрования.

HavanaCrypt шифрует файлы и добавляет ".Havana" в качестве расширения имени файла. Он избегает шифрования файлов с определенными расширениями, включая файлы, к которым уже добавлено расширение ".Havana". HavanaCrypt также избегает шифрования файлов, находящихся в определенных каталогах.

Indicators of Compromise

URLs

  • http://20.227.128.33/2.txt
  • http://20.227.128.33/index.php
  • http://20.227.128.33/ham.php

User-Agent

  • Havana/1.0

SHA256

  • b37761715d5a2405a3fa75abccaf6bb15b7298673aaad91a158725be3c518a87
  • bf58fe4f2c96061b8b01e0f077e0e891871ff22cf2bc4972adfa51b098abb8e0
  • aa75211344aa7f86d7d0fad87868e36b33db1c46958b5aa8f26abefbad30ba17
SEC-1275-1
Добавить комментарий