Атакующие Gwisin ransomware нацелены на общедоступные серверы компаний и проникают на них. Затем они используют сервер в качестве плацдарма для распространения ransomware во внутренней инфраструктуре. Известно, что для распространения ransomware во внутренней инфраструктуре злоумышленники используют различные средства, такие как SFTP, WMI, интегрированное решение управления и веб-служба IIS. В данном подтвержденном случае для распространения программы Gwisin ransomware использовалась веб-служба IIS.
Gwisin ransomware
В отличие от других злоумышленников, которые используют методы spear phishing, watering hole и другие известные методы для захвата ПК и получения привилегий администратора для распространения вируса во внутренние сетевые системы компании-мишени, агент угрозы Gwisin непосредственно осуществляет атаку веб-взлома для проникновения на веб-серверы. Таким образом, компании должны проверять веб-уязвимости и укреплять безопасность подключенных БД, чтобы защититься от атак веб-взлома.
Похоже, что злоумышленник пытается украсть информацию о системной учетной записи перед распространением ransomware. Они сканируют и выполняют атаку с использованием SQL-инъекций на публично доступные веб-серверы.
Среди следов атаки на сервере Linux был обнаружен код атаки SQL Injection, написанный для использования против сервера MS SQL. Это намекает на то, что злоумышленник без разбора атакует серверы, используя автоматизированные средства нападения.
Рисунок. Код атаки SQL-инъекции злоумышленника Gwisin, обнаруженный в Linux-сервере
Было подтверждено, что после успешной атаки на веб-сервер злоумышленник использует WebShell. В некоторых случаях WebShell вставляется в PHP-файл. В других случаях создавались независимые файлы WebShell. Однако техники вставки кода WebShell в существующий файл или загрузки файла пока не определены.
Кроме того, злоумышленник использует код Reverse Shell, написанный на Python, для установления обратного соединения. Было обнаружено, что злоумышленник добавляет функцию service_issue(), выполняющую роль Reverse Shell, к существующему в системе сценарию оболочки Linux типа init. Через эту функцию злоумышленник создает TCP-сокет, подключается к серверу злоумышленника (158.247.221.23:80) и запускает sh, чтобы предоставить злоумышленнику Linux shell
После захвата системы Linux злоумышленник использует RPM для установки NMAP. Затем они выполняют сканирование множества портов на внутренних системах, чтобы определить дополнительные цели атаки.
Атакующий, завладев системой Windows внутренней сети, регистрирует службу, выполняющую полный дамп памяти процесса Isass.exe для получения дополнительных учетных данных. Затем они защищают дамп памяти процесса lsass.exe.
Затем злоумышленник использует полученные учетные данные для отправки команды обратного подключения другим системам. Среди целевых систем, получивших команду, системы, подключенные к Интернету, подключены к серверу C2. В результате злоумышленник получает прямой контроль над внутренней системой извне. Затем злоумышленник загружает MSI-файл Gwisin с сервера C2.
Злоумышленник устанавливает веб-службу IIS в первую доминирующую систему и использует ее для распространения ransomware на внутренние системы целевой компании. После установки веб-службы IIS злоумышленник создает файлы ransomware в корневом пути веб-сервиса (C:\inetpub\wwwroot) и распространяет ransomware.
- Ransomware для Windows: x64_install.msi
- Ransomware для Linux: x64_nix, x86_nix
Злоумышленник может использовать веб-службу IIS во внутренней системе, чтобы легко распространить ransomware на несколько систем, подключенных к домену, с помощью политики AD и команды WMI. Более того, злоумышленнику не нужно напрямую обращаться к серверу, распространяющему вредоносное ПО в Интернете. Таким образом, они могут успешно распространять ransomware во внутренние системы без доступа к Интернету.
Когда файл зашифрован с помощью ransomware, к зашифрованному файлу добавляется расширение, похожее на название целевой компании. Кроме того, в том же каталоге создается файл с '0' в конце расширения. Он содержит информацию, необходимую для восстановления исходного файла.
После шифрования файла создается записка с требованием выкупа. Имя файла и основной текст записки содержат строки, по которым можно определить компанию-цель. В нем содержится URL-адрес, соединяющий с веб-сайтом злоумышленника, а также учетная запись и пароль, которые можно использовать для входа на веб-сайт.
Рисунок. Записка с подтверждением выкупа из зараженной вымогательской программой системы (!!!_HOW_TO_UNLOCK_FILES_!!!.TXT).
После шифрования файлов Gwisin удаляет журналы событий и файлы системы, зараженной ransomware.
Indicators of Compromise
IPv4
- 158.247.221.23
MD5
- 13eef02d5e5f5543e83ad8c8a8c8ff9a
- 95237d0c6e6b1822cecca34994c0d273