Выкуп сценарий на татарском языке: Сценарий выкупа невесты на татарском языке

Рис. 13. Последние 32 байта файла PNG, выделенные как выделенные, являются КЛЮЧОМ для расшифровки зашифрованного ключа TripleDES

Ниже приведен расшифрованный необработанный ключ:

Этот необработанный ключ затем повторно шифруется с помощью RSA с использованием открытого ключа, встроенного в модуль (показан ниже), а затем после шифрования ключ кодируется с помощью Base64.

Зашифрованный необработанный ключ заменяется в заполнителе ключа записки с требованием выкупа, где он отображается.

Рисунок 14: Записка о выкупе

После загрузки и расшифровки необработанного ключа он будет получен необработанный ключ с использованием реализации Rfc2898DeriveBytes с солевым массивом байтов {0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08} и с 1000 итераций

Рис. 15: Функция формирования ключа

Рисунок ниже поможет визуализировать процедуру шифрования:

Рисунок 16: Процедура шифрования

После этого программа-вымогатель начнет перечислять диски (за исключением дисковода для компакт-дисков) и добавлять их в список. Он гарантирует, что имеет полный контроль над целевыми дисками, изменив свой контроль доступа на полный.

После сбора всех дисков (локальных и удаленных) и общих папок на удаленном хосте программа-вымогатель начнет перемещаться по нему и искать все целевые файлы.

Рисунок 17: Процедура обхода файла BlackByte

Избегает шифрования файлов с атрибутом системного файла, а также имен файлов и расширений файлов из этого списка:

Имена файлов:

Расширения файлов:

Если программа-вымогатель обнаруживает расширение файла виртуального жесткого диска. vhd и .vhdx, он попытается размонтировать эти диски с помощью команды PowerShell:

Целевой файл для шифрования подвергается фильтрации по размеру файла:

• Если файл больше 150 МБ
  • зашифровать первые 50 МБ и последние 50 МБ файла
• Если файл больше 15 МБ
  • зашифровать первые 5 МБ и последние 5 МБ файла
• Если файл больше 3 МБ
  • зашифровать первый 1 МБ и последний 1 МБ файла
• Если размер файла меньше 3 МБ

Для шифрования файла используется алгоритм симметричного ключа AES с использованием исходных ключей RFC2898 из файла .png файл.

Ниже приведен фрагмент кода процедуры шифрования файлов.

Рисунок 18: Процедура шифрования BlackByte

В BlackByte Ransomware — Часть 2 мы покажем вам, как мы деобфусцировали программу запуска JScript, декомпилировали код программы-вымогателя и проанализировали ее внутреннюю работу.

МОК

Программа-вымогатель Egregor — углубленный анализ

Minerva Labs провела подробное исследование программы-вымогателя Egregor с целью подробного анализа того, как она работает для заражения цели.Лучшее знание методов злоумышленников может помочь экспертам по безопасности обнаруживать и устранять новые угрозы, что особенно важно, учитывая недавнюю эволюцию программ-вымогателей. В рамках данного исследования мы попытались определить, какие приемы уклонения использует вредоносное ПО.

Недавний всплеск программ-вымогателей Egregor и сходство кода с штаммами программ-вымогателей Sekhmet и Maze наводят нас на мысль, что они, вероятно, имеют одинаковую кодовую базу. Кроме того, схожие приемы обфускации кода используют Maze и Egregor, которые замедляют процесс анализа и мешают исследователям.

Сообщения в блоге об Эгрегоре детализируют разную степень запутанности. В нашем случае и загрузчик, и сама программа-вымогатель были сильно запутаны, что вынудило нас написать сценарии деобфускации, упрощающие процесс анализа.

Программа-вымогатель, с которой мы столкнулись, представляет собой DLL-файл с именем b.dll. Файл был выполнен вручную с помощью следующей командной строки:

Анализ дизассемблированного кода показывает, что он сильно запутан методами, основанными на компиляторе, что делает статический анализ кода довольно трудоемким.

Например, см. ниже функцию DllRegisterServer, которую злоумышленник использует для запуска программы-вымогателя, в графическом представлении IDA:

Обфускация, которую использует Эгрегор, аналогична той, что используется в программе-вымогателе Maze. Нам удалось изменить сценарий деобфускации Blueliv’s Maze (сообщение в блоге и исходный скрипт можно найти здесь), чтобы он соответствовал шаблонам обфускации Egregors, что позволило упростить анализ программ-вымогателей.

Загрузчик проверяет наличие командной строки «—nop» и завершает работу, если она существует.

Что касается дальнейшей распаковки, большой блок данных расшифровывается со следующими шагами:

• Большой двоичный объект декодируется методом xor с помощью жестко запрограммированного ключа (0x4 в нашем примере).
• Затем данные, подвергнутые операции xor, декодируются в формате Base64 с помощью функции Windows API CryptStringToBinaryA.
• Для алгоритма ChaCha20 инициализируется жестко запрограммированный ключ и IV, который затем используется для окончательного расшифрования полезной нагрузки. Авторы вредоносного ПО решили изменить количество циклов вращения ключа с 20 по умолчанию до 4.

После расшифровки второй полезной нагрузки, файла DLL, он копируется в новое выделение, созданное с помощью VirtualAlloc с разрешениями страницы RWX.

Последний этап начального загрузчика — подготовка полезной нагрузки в памяти. Вредонос рефлективно загружает расшифрованную полезную нагрузку и использует функцию CreateThread для передачи выполнения на следующий этап.

На следующем этапе командная строка анализируется в поисках параметра -p, который содержит пароль, используемый для расшифровки бинарного файла программы-вымогателя.Программа-вымогатель расшифровывается с помощью потокового шифра, некоторые константы которого совпадают с кроличьим шифром:

Программа-вымогатель Код:
Программа-вымогатель скомпилирована в виде DLL-файла с единственным экспортируемым файлом «DllEntryPoint». Функция создает поток, выполняющий основную подпрограмму программы-вымогателя:

Перед запуском вредоносной процедуры вымогателя вызывается функция для определения локали рабочей станции.Вымогатель использует три разные функции Windows API, чтобы убедиться, что он не шифрует компьютер, расположенный в России или любой другой стране СНГ:

Эгрегор прекратит работу, если будет найдена любая из следующих локалей:

После проверки локали конфигурация выкупа будет расшифрована из буфера, расположенного в разделе данных исполняемого файла. Первые 8 байт зашифрованной конфигурации начинаются с заголовка PNG, который анализатор пропускает перед расшифровкой. Последующее DWORD содержит размер конфигурации для расшифровки. Начиная со смещения 12, конфигурация будет расшифрована с использованием циклически модифицированного ChaCha20 и жестко закодированного ключа и IV.

Зашифрованная конфигурация в памяти:

Декомпиляция функции инициализации класса конфигурации:

Конфигурация содержит несколько интересных настроек:

• Записка о выкупе.
• Список процессов, которые необходимо завершить.
• Ключевые слова, занесенные в черный список для алгоритма прекращения обслуживания.
• Жестко закодированный 2048-битный открытый ключ RSA, который используется для схемы шифрования файлов.
• Флаги наличия удаленных адресов.

Для создания отпечатка зашифрованной рабочей станции Эгрегор использует несколько функций API для извлечения информации о машине:

Программа-вымогатель использует функции API GetLogicalDriveStrings и GetDiskFreeSpace для определения имен и типов логических дисков, подключенных к устройству, а также объема доступного на них свободного места.

Открытый ключ RSA программы-вымогателя в памяти, сохраненный в зашифрованной конфигурации:

Для каждого выполнения генерируется пара закрытого и открытого ключей. Открытый ключ используется для шифрования симметричных ключей, которые впоследствии будут использоваться для шифрования каждого файла. Уникальный симметричный ключ генерируется для каждого файла, подлежащего шифрованию.

Схема генерации ключа Эгрегора следующая:

• 2048-битная пара ключей RSA создается с помощью CryptGenKey — это сеансовый ключ.
• Затем ключ экспортируется с помощью API CryptExportKey.
• Экспортированный закрытый ключ шифруется с помощью ChaCha с использованием случайно сгенерированного ключа и IV.
• Ключи ChaCha шифруются с помощью функции CryptEncrypt и встроенного в конфигурацию открытого ключа RSA.
• Зашифрованный ключ ChaCha и зашифрованный сеансовый ключ сохраняются на диск по жестко заданному пути, в нашем случае это %ProgramData%\dtb. dat.

Стоит отметить, что программа-вымогатель шифрует сеансовый ключ с помощью того же протокола, который используется для расшифровки полезной нагрузки программы-вымогателя (Rabbit Cipher).

Программа-вымогатель остановит определенные процессы и службы перед шифрованием машины. Список жестко заданных имен процессов хранится в зашифрованном файле конфигурации, и вредоносное ПО использует NtQuerySystemInformation для перечисления запущенных процессов и завершает их с помощью функции NtTerminateProcess.

Список процессов, которые будут завершены, в нашем образце (список также будет доступен в разделе IOC):

Что касается алгоритма остановки службы, конфигурация программы-вымогателя содержит список строк, которые будут использоваться для определения того, какую службу следует остановить.Имена сервисов будут перечислены с помощью API-функции EnumServicesStatus. Любое имя службы, содержащее строки из черного списка, будет остановлено с помощью Windows Service Control Manager API.

Список ключевых слов служб в конфигурации:

Эгрегор имеет возможность связываться с жестко запрограммированными URL-адресами HTTP. Если смещение 0x3a31e и 0x32fb в конфигурации не содержит 0, программа-вымогатель будет обращаться к IP-адресу/DNS-именам (которые также встроены в конфигурацию) и декодировать их содержимое, используя ту же комбинацию модифицированного ChaCha20/Base64, которая использовалась ранее.

Здесь можно найти сценарий деобфускации IDAPython.

Хэши:

b9b71eb04d255b21e3272eef5f4c15d1c208183748dfad3569efd455d87879c6 (загрузчик эгрегора)

8d5ad342ea9fde48920a

0be432236d074d34f791b5c96ec3a418a1bbbd5

(распакованный вымогатель из памяти)

Файлы:

%ProgramData%\dtb.dat

ВОССТАНОВЛЕНИЕ-ФАЙЛОВ.TXT

Завершенные процессы:

Лабиринт программ-вымогателей | Блог McAfee

КРАТКОЕ ОПИСАНИЕ

Программа-вымогатель The Maze, ранее известная в сообществе как программа-вымогатель ChaCha, была обнаружена 29 мая 2019 года Джеромом Сегурой[1].

Основная цель программы-вымогателя — зашифровать все файлы, которые она может найти в зараженной системе, а затем потребовать выкуп за восстановление файлов.Однако наиболее важной характеристикой Maze является угроза, которую авторы вредоносных программ дают жертвам, что, если они не заплатят , они выложат информацию в Интернет[2].

Эта угроза не была пустой, так как файлы одной компании действительно были опубликованы в Интернете. Несмотря на то, что компания подала в суд, ущерб уже был нанесен. Это поведение все чаще наблюдается в новых программах-вымогателях[3], таких как Sodinokibi, Nemty, Clop и других.

В прошлом году[4] было показано, как программы-вымогатели будут двигаться в этом направлении, чтобы получать деньги от жертв, которые могут не захотеть платить за расшифровку.

КАРТА ТЕЛЕМЕТРИИ

РИСУНОК 1. КАРТА ИНФЕКЦИЙ ЛАБИРИНТА

ВВЕДЕНИЕ

29 октября была обнаружена кампания по распространению вредоносного ПО Maze среди итальянских пользователей. Исторически вредоносное ПО использовало различные методы для проникновения, в основном с помощью наборов эксплойтов, подключений к удаленному рабочему столу со слабыми паролями или через электронную почту или, как в случае с Италией, через различные агентства или компании[5], например, Итальянское агентство по доходам. Эти электронные письма поставлялись с вложением Word, которое использовало макросы для запуска вредоносного ПО в системе.

Чаще всего использовались эксплойт-киты Fallout и Spelevo[6].

Вредоносное ПО жестко запрограммировано с некоторыми уловками, чтобы предотвратить его реверсирование и затруднить статический анализ. В этом отчете рассматриваются эти средства защиты и поведение вредоносных программ в зараженной системе.

Разработчики вставили сообщения, чтобы спровоцировать исследователей вредоносных программ, в том числе адрес электронной почты Лоуренса Абрамса, владельца «BleepingComputer», с которым они связались напрямую. Они очень активны в социальных сетях, таких как Twitter.

McAfee защищает своих клиентов от угроз, о которых мы говорим в этом отчете, во всех своих продуктах, включая персональные антивирусы, конечные точки и шлюзы.

ОБЗОР ЛАБИРИНА

Вредоносное ПО представляет собой бинарный файл длиной 32 бита, обычно упакованный в виде EXE- или DLL-файла. Этот отчет посвящен файлу EXE.

РИСУНОК 2. ИНФОРМАЦИЯ О ВРЕДОНОСНОМ ПО

Дополнительные сведения об образце, использованном в этом отчете, приведены в этой таблице:

ТЕХНИЧЕСКИЕ ДАННЫЕ

Maze — это сложное вредоносное ПО, которое с самого начала использует некоторые приемы, чтобы помешать анализу.

Вредоносная программа начинает подготавливать некоторые функции, которые, по-видимому, сохраняют адреса памяти в глобальных переменных для последующего использования в динамических вызовах, хотя на самом деле эти функции впоследствии не используются. Является ли это остаточным кодом, существующим в точке входа вредоносного ПО, или уловкой, направленной на то, чтобы ввести исследователей в заблуждение, остается предметом споров.

РИСУНОК 3. СОХРАНЕНИЕ АДРЕСА ФУНКЦИЙ ДЛЯ ПОЗДНЕГО ИСПОЛЬЗОВАНИЯ ДИНАМИЧНЫМ СПОСОБОМ

Позже вредоносная программа внедряется в большой блок мусорного кода, который также включает в себя некоторые элементы для расшифровки строк и важной информации для дальнейшего использования.На этом этапе вредоносное ПО использует некоторые приемы для обнаружения отладчиков.

Самые важные из них:

• Большое использование поля PEB « IsDebuggerPresent ». Это логическое поле, которое заполняется из Windows значением 1 (Истина), если приложение выполняется внутри отладчика, или 0 (Ложь), если это не так.

РИСУНОК 4. ЧАСТОТНОЕ ИСПОЛЬЗОВАНИЕ ПОЛЯ PEB «ISDEBUGGEPRESENT» ДЛЯ ОПРЕДЕЛЕНИЯ, РАБОТАЕТ ЛИ ПРИЛОЖЕНИЕ В ОТЛАДЧИКЕ

Если вредоносная программа обнаружит отладчик, она останется в бесконечном цикле, ничего не делая, тратя системные ресурсы.

РИСУНОК 5. MAZE ЗАХВАТЫВАЕТ ОТЛАДЧИК, И ОСТАЕТСЯ РАБОТАТЬ, ТРАТЯ РЕСУРСЫ

Вредоносная программа получает все процессы в системе, но игнорирует первый («неактивный процесс» в Windows, который является просто инструментом, позволяющим пользователю узнать, какой процент системных ресурсов используется). Используя имя каждого процесса, он создает собственное имя с пользовательским алгоритмом, а также хэш, который проверяется по жестко запрограммированному списку. Если хеш будет найден в этом списке, процесс будет завершен.

РИСУНОК 6. ПРОВЕРКА ХЕШЕЙ ОТ НАЗВАНИЯ ПРОЦЕССОВ СИСТЕМЫ

Например, процесс отладчика «x32dbg» пойман в этой точке:

РИСУНОК 7. ПРОЦЕСС X32DBG, ПОЛУЧЕННЫЙ ВРЕДОНОСНОЙ ПРОГРАММОЙ С ХЭШЕМ

Может завершить отладчик IDA, x32dbg, OllyDbg и другие процессы, чтобы избежать динамического анализа, закрыть базы данных, офисные программы и инструменты безопасности.

Ниже показан неполный список процессов, которые можно взломать с помощью списка словарей, завершенных вредоносной программой:

свалка.ехе -> 0x5fb805c5
excel.exe -> 0x48780528
fiddler.exe -> 0x5e0c05b1
msaccess.exe -> 0x6a9c05ff
туздЫ-nt.exe -> 0x79ec0661
outlook.exe -> 0x615605dc
pipanel.exe -> 0x5fb805c4
procexp64 .exe -> 0x78020640
procexp.exe -> 0x606805d4
procmon64.exe -> 0x776e0635
procmon.exe -> 0x600005c9
python.exe -> 0x555ee0597
taskkill.exe -> 0x6c2e0614
Visio.exe -> 0x49780539
Winword. exe -> 0x60d805d5
x32dbg.exe -> 0x5062053b
x64dbg.exe -> 0x50dc0542

Этот краткий список показывает имя процесса, который нужно убить, и пользовательский хеш из специального имени, сгенерированного из исходного имени процесса.

РИСУНОК 8. ФУНКЦИЯ TERMINATEPROCESS, ВЗЯТАЯ ИЗ ТАБЛИЦЫ ЭКСПОРТНЫХ АДРЕСОВ (EAT) KERNEL32 И ПРОХОДЯЩУЮ ПРОВЕРКУ ИМЯ ХЕША

Вредоносное ПО убивает процесс с помощью функции «TerminateProcess», которую он получает из EAT (Export Address Table) модуля «kernel32.dll», чтобы увеличить запутанность, сравнивая имя с пользовательским хэшем, взятым из имени в больших заглавных буквах.

РИСУНОК 9. ВЫЗОВ TO TERMINATEPROCESS ДИНАМИЧЕСКИМ СПОСОБОМ ОБФУСКАЦИИ ЭТОГО ВЫЗОВА

Вредоносная программа вызывает функции Windows уникальным способом, чтобы способствовать запутыванию, то есть заставить первый процесс в системе использовать функцию «Process32FirstW». Однако вместо того, чтобы вызывать его напрямую, он помещает параметры, необходимые для функции, в стек, за которым следует адрес памяти с кодом операции «push», а затем совершает прямой переход к функции Windows.Когда функция завершается, Windows создает код операции «ret», затем получает последний адрес памяти, который вредоносное ПО запихнуло внутрь стека, возвращается на этот адрес и продолжает поток. Пример этого можно увидеть на этом изображении:

РИСУНОК 10. СИЛЬНАЯ ОБФУСКАЦИЯ, ЧТОБЫ ПЫТАТЬСЯ ЗАМЕДЛИТЬ АНАЛИЗ И СДЕЛАТЬ ЕГО БОЛЕЕ СЛОЖНЫМ

Еще одна уловка, используемая вредоносным ПО (в зависимости от образца), заключается в получении функции «DbgUIRemoteBreakin» с помощью функции «GetProcAddress», прежде чем использовать трюк, чтобы избежать подключения к ней отладчика во время выполнения[7].

РИСУНОК 11. ПОЛУЧИТЕ DBGUIREMOTEBREAKIN, ИСПОЛЬЗУЯ GETPROCADDRESS, ЧТОБЫ ИЗБЕЖАТЬ АТАКИ ОТЛАДЧИКА

Используемый здесь трюк — «VirtualProtect», чтобы дать адресу памяти функции «DbgUIRemoteBreakin» разрешение на запись в него:

РИСУНОК 12. ПРЕДОСТАВЛЕНИЕ РАЗРЕШЕНИЙ НА ЗАПИСЬ В ПАМЯТЬ

После получения разрешения, которое дается только на 1 байт, вредоносная программа исправляет этот байт со значением 0xC3 (код операции «ret») и восстанавливает предыдущие разрешения с помощью «VirtualProtect», опять же в том же адресе и байте, удаляя разрешение на запись.

РИСУНОК 13. ИСПРАВЛЕНИЕ ФУНКЦИИ С ОПКОДОМ RET И ВОССТАНОВЛЕНИЕ РАЗРЕШЕНИЙ ПАМЯТИ

Это сделано для того, чтобы избежать присоединения к нему отладчика во время выполнения. Таким образом, когда отладчик подключается к процессу внутри, система вызывает эту функцию, но вместо создания потока для запуска отладки код операции «ret» заставляет функцию вернуться, не создавая ее. Короче говоря, это препятствует правильному подключению отладчика. Это делается до перечисления системного процесса.

Вредоносная программа проверяет язык машины с помощью функции «GetUserDefaultUILanguage» и сохраняет значение в стеке; она не проверяется автоматически после звонка, но важна позже.

Maze создает мьютекс с именем «Global\x», где x — это специальное значение, уникальное для каждой машины. Например, на следующем снимке экрана (некоторая информация была удалена для анонимизации машины, используемой для анализа) приведен пример такого поведения. Это делается для того, чтобы избежать двух и более казней одновременно.

РИСУНОК 14. СОЗДАНИЕ МЬЮТЕКСА ДЛЯ ИЗБЕЖАНИЯ ДВОЙНОГО ВЫПОЛНЕНИЯ. УНИКАЛЬНО НА МАШИНУ

Вредоносное ПО после создания мьютекса вызывает функцию «GetLastError» для проверки на наличие двух ошибок:

• 0x05 -> ERROR_ACCESS_DENIED. Если вредоносное ПО получает эту ошибку, это означает, что мьютекс уже существует в системе, но по какой-то причине вредоносное ПО не может получить к нему доступ (возможно, привилегии, политики и т. д.).
• 0xb7 -> ОШИБКА_УЖЕ СУЩЕСТВУЕТ.Если вредоносное ПО получает эту ошибку, это означает, что мьютекс уже существует в системе и к нему можно получить доступ.

Если происходит одно из вышеперечисленных событий, вредоносная программа продолжает выполняться, но не шифрует никакие файлы в системе и не использует какие-либо ресурсы машины. Это означает, что она появится в списке программ, используя 0% процессора.

Значение мьютекса изменяется либо для каждого образца, либо периодически, чтобы избежать возможности создания против него вакцин. Вредоносная программа также имеет команду избегать «проблемы» с вакцинами, которая будет объяснена позже.

После мьютекса вредоносная программа сверяет ранее сохраненный в стеке язык с, например, языком 0x419 (русский из РФ, ru-RU[8]).

Проверки выполняются запутанным образом в нагромождении кода вредоносной программы (в виртуальной машине, используемой здесь, использовался испанский язык Испании (es-ES); это код 0xC0A, который появляется в стеке в скриншот):

РИСУНОК 15. ПРОВЕРКА ЯЗЫКА С РУССКИМ ЯЗЫКОМ ИЗ РОССИЙСКОЙ ФЕДЕРАЦИИ

Если язык соответствует любому из перечисленных ниже, вредоносная программа очистит память и выйдет из основного потока, не тратя ресурсов и не создавая файлов.

• 0x419 -> ru-RU (русский из РФ)
• 0x422 -> uk-UA (украинский из Украины)
• 0x423 -> be-BY (белорусский из Беларуси)
• 0x428 -> tg-Cyrl-TJ (Таджикский (кириллица из Таджикистана)
• 0x42B -> hy-AM (армянский из Армении)
• 0x42C -> az-Latn-AZ (азербайджанский (латиница из Азербайджана))
• 0x437 -> ка-GE (грузинский из Грузии)
• 0x43F -> kk-KZ (казахский из Казахстана)
• 0x440 -> ky-KG (киргиз из Кыргызстана)
• 0x442 -> tk-TM (туркмен из Туркменистана)
• 0x443 -> uz-Latn-UZ (узбекский (латиница из Узбекистана))
• 0x444 -> tt-RU (татарский из Российской Федерации)
• 0x818 -> ro-MD (румынский из Молдовы, НЕ румынский из Румынии! )
• 0x819 -> ru-MD (русский из Молдовы)
• 0x82C -> az-Cyrl-AZ (азербайджанский (кириллица из Азербайджана))
• 0x843 -> uz-Cyrl-UZ (узбекский (кириллица из Узбекистана))
• 0x7C1A -> ср (сербский)
• 0x6C1A -> sr-Cyrl (сербский в кириллице)
• 0x1C1A -> sr-Cyrl-BA (сербский (кириллица из Боснии и Герцеговины))
• 0x281A -> sr-Cyrl-RS (сербский (кириллица из Сербии))
• 0x81A -> sr-Latn-CS (сербский (латиница)) (код этого языка начинается с Windows Vista)

Вредоносная программа пытается удалить теневые тома в системе с помощью файла «wmic.exe» с переключателями «shadowcopy» и «delete». До этого зловред получает функцию «WoW64DisableWow64FsRedirection» с «GetProcAddress» и использует ее, чтобы избежать перенаправления по умолчанию в 64-битных операционных системах и вызывает ее динамически.

Вредоносная программа дважды пытается удалить теневые копии: один раз перед шифрованием файлов в зараженной системе и второй раз после их шифрования.

Это выполнение выполняется с помощью функции «CreateProcessW», но для повышения уровня обфускации вредоносное ПО запускается с помощью этой команды:

РИСУНОК 16.УДАЛЕНИЕ ТЕНЕВЫХ КОПИЙ В ЗАРАЖЕННОЙ СИСТЕМЕ КОМАНДОЙ WMIC

Как видно на изображении выше, вредонос использует команду с названием папок, не существующих по умолчанию в Windows, кроме «Windows», «system32» и «wbem». Он входит в эти папки, но затем быстро выходит из них, используя команду «..», что означает, что он возвращается к предыдущей папке в пути.

Например, сначала заходит в папки «ydw» и «fdygg», а потом возвращается в корень установочного модуля Windows с двумя «.». команды, ведущие в данном случае к «C:\». Позже он объединяется с папкой «Windows» и продолжает вести себя так же, чтобы, наконец, войти в «system32», где он вызывает программу «wmic.exe» с переключателями для удаления теневых томов. Это делается для того, чтобы попытаться запутать этот вызов, хотя такое подозрительное поведение может привести к тому, что антивирусная программа в любом случае остановит его, но это доказательство того, что кодировщики вредоносных программ обладают навыками программирования и хорошо понимают поведение Windows.

Важно понимать, что этот «путь», используемый в команде с несуществующими папками, является случайным и не требует использования одинакового количества папок для обфускации.

После процесса удаления вредоносное ПО получает функцию «Wow64RevertWow64FsRedirection» с помощью функции «GetProcAddress» и вызывает ее динамически, чтобы оставить систему в том же состоянии, что и раньше.

РИСУНОК 17. ВОССТАНОВЛЕНИЕ ПЕРЕНАПРАВЛЕНИЯ FS В 64-РАЗРЯДНЫХ ОПЕРАЦИОННЫХ СИСТЕМАХ

Maze влияет и на сетевые ресурсы, используя функции «WNetOpenEnumW», «WNetEnumResourceW», «WNetCloseEnum» и «WNetAddConnection2W».

РИСУНОК 18.ПЕРЕЧИСЛЕНИЕ СЕТЕВЫХ РЕСУРСОВ ДИСКА ДЛЯ ЗАШИФРОВКИ ВНУТРИ НИХ ФАЙЛОВ

Вредоносное ПО использует два алгоритма для шифрования файлов: ChaCha, основанный на симметричном алгоритме Salsa20, и для защиты асимметричный алгоритм RSA

При каждом запуске вредоносная программа создает открытый BLOB из одного ключа RSA, который будет использоваться для шифрования части, содержащей информацию для расшифровки файлов, и один частный BLOB с ключом RSA, который позволяет расшифровывать информацию, зашифрованную с помощью общедоступного RSA. блоб, созданный ранее.

РИСУНОК 19. ЭКСПОРТ BLOB-объекта открытого ключа RSA, сгенерированного во время выполнения

РИСУНОК 20. ЭКСПОРТ BLOB-объекта закрытого ключа RSA, сгенерированного во время выполнения

Как и другие программы-вымогатели, это вредоносное ПО имеет встроенный публичный BLOB-объект RSA, который будет импортирован для защиты частного BLOB-объекта RSA жертвы. Только у разработчиков вредоносного ПО есть частный BLOB-объект RSA для расшифровки общедоступного BLOB-объекта RSA.

РИСУНОК 21. ИМПОРТ ПУБЛИЧНОГО BLOB-объекта RSA ДЛЯ РАЗРАБОТЧИКОВ ВРЕДОНОСНОГО ПО

Этот ключ защищен криптографией с использованием ключа из 32 бит и iv из 8 байт с использованием функции «CryptGenRandom», чтобы избежать дампов памяти, но позже перед использованием его необходимо будет расшифровать.

После этого вредоносная программа запускает процедуру шифрования файлов, поиск по блокам перед импортом открытого BLOB-ключа RSA, сгенерированного во время выполнения. После этого он создает записку о выкупе, подготовленную для этой зараженной машины, в корневой папке, а затем начинает искать папки и файлы для шифрования.

РИСУНОК 22. СОЗДАНИЕ ЗАПИСКИ О ВЫКУПЕ В КОРНЕВОЙ ПАПКЕ И ПОИСК ПАПКИ И ФАЙЛОВ

Пример записки о выкупе с некоторыми анонимными данными показан ниже:

РИСУНОК 23.ПРИМЕР ЗАПИСКИ О ВЫКУПЕ В ЛАБИРИНТЕ

Процедура шифрования файлов проста, вредоносная программа выполняет следующие действия:

• Проверить наличие файла функцией «SetFileAttributesW» с атрибутом «FILE_ATTRIBUTE_ARCHIVE».
• Зарезервировать память под файл с вызовом «Virtual Alloc» для ключа и iv.
• Открыть файл с правами на чтение и запись функцией «CreateFileW» с флагом «OPEN_EXISTING».
• Получить размер файла с помощью функции «GetFileSizeEx» (это важно для управления большими файлами, «GetFileSize» не годится для больших файлов).
• Создайте сопоставление файлов с помощью функций «CreateFileMappingW» и «MapViewOfFile»
• Сгенерировать случайный ключ размером 32 байта с помощью функции «CryptGenRandom».
• Сгенерировать случайный iv из 8 байт с помощью функции «CryptGenRandom».
• Зарезервируйте 264 байта памяти с помощью функции «VirtualAlloc».
• Создать новое случайное расширение для файла-жертвы. Каждый файл имеет другое расширение, но исходное расширение не теряется; новый добавляется к старому.Например, «1.zip» становится «1.zip.gthf».
• Зашифруйте файл с помощью алгоритма ChaCha и ключа и iv с помощью открытого ключа RSA, сгенерированного во время выполнения.
• Запишите этот новый блок с ключом и iv для расшифровки в конце файла.
• Переименуйте файл с помощью функции «MoveFileExW». Таким образом, невозможно использовать криминалистические инструменты для восстановления файлов, поскольку они используют один и тот же сектор на необработанном диске. Вредоносное ПО не удаляет файл с помощью функции «DeleteFileW», а затем создает новый с зашифрованными данными.Вместо этого все изменения применяются в отображении напрямую, в памяти, без использования файлового указателя на диске для чтения и записи, что значительно ускоряет процесс.
• Образ файла не сопоставлен, а дескрипторы закрыты.
• Процесс повторяется с новыми файлами.

Список папок, которые избегает вредоносное ПО:

• Главный каталог Windows.
• Игры
• Браузер Tor
• Данные программы
• кеш2\записи
• Низкий\Содержание.IE5
• Данные пользователя\По умолчанию\Кэш
• Все пользователи
• Локальные настройки
• AppData\локальный
• Файлы программы

Вредоносная программа игнорирует следующие расширения файлов:

Вредоносная программа также имеет список имен файлов, которые не будут шифроваться:

• инф
• ини
• ини
• от
• дб
• бак
• дат.лог
• дб
• бин
• РАСШИФРОВАТЬ ФАЙЛЫ.txt

Однако он шифрует файл «ntuser.ini», чтобы предотвратить его шифрование другими программами-вымогателями. Он создает записку о выкупе в каждой папке, которую может.

Когда вредоносная программа завершает шифрование всех файлов, она меняет обои рабочего стола на это изображение:

РИСУНОК 24. ВРЕДОНОСНАЯ ПРОГРАММА МЕНЯЕТ ОБОИ РАБОЧЕГО СТОЛА ПОСЛЕ ЗАШИФРОВАНИЯ ФАЙЛОВ

Вредоносная программа пытается подключиться к IP-адресам, которые были зашифрованы в двоичном коде, чтобы отправить информацию о зараженной машине, как показано ниже:

хххр://91.218.114.4/nwjknpeevx.action?pw=g1y652l&kyn=21y3vvhh&dvr=5e&us=g25e3582a

hxxp://91.218.114.11/forum/siaib.jspx?v=h&xyna=0vip863&eul=xsn3q0

hxxp://91.218.114.26/view/ticket/pigut.jspx?o=664quo0s&fp=ot52

hxxp://91.218.114.25/xrr.jspx?ygad=r35e2cx&e=6as6ta

хххр://91.218.114.4/j.php

hxxp://91.218.114.11/payout/view/fa.aspx?y=y&qbx=4&kws=n2&iuy=8k7

hxxp://91.218.114.25/lxh.asp?mtxm=l7&r=836wy5

хххр://91.218.114.26/signin/ticket/eq.action?x=yk6rr&e=50b&q=327dr5&ofk=065cdp

hxxp://91.218.114.31/signin/rnmnnekca.jsp?kdn=6snl5&e=7a50cx4hyp

hxxp://91.218.114.31/forum/a.aspx?byx=56&bc=62t0h&u=75w6n6&sot=2v0l761or6

hxxp://91.218.114.32/withdrawal/checkout/l.do?nuny=qj6&sdv=45g2boyf5q&dnr=rh8lk31ed

hxxp://91.218.114.77/task/bxfbpx.jspx?nq=cge63

hxxp://91.218.114.38/account/payout/ujwkjhoui.shtml

хххр://91.218.114.37/imrhhjitop.phtml?wto=344dsc84&sp=x&oml=c173s71u&iy=m3u2

hxxp://91.218.114.38/auth/логин

hxxp://91.218.114.79/logout/hfwdmugdi.php?upaj=mj7g

hxxp://91.218.114.38/sepa/juel.php?ars=51qse4p3y&xjaq=r5o4t4dp

hxxp://91.218.114.32/fwno.cgi?yd=410&o=y7x5kx371&p=m3361672

hxxp://91.218.114.37/sepa/signout/mjsnm.aspx?r=7o47wri&rtew=uu8764ssy&bri=51gxx6k5&opms=72gy0a

хххр://91.218.114.77/payout/analytics/lrkaaosp.do?y=62h&aq=3jq8k6&v=0svt

hxxp://91.218.114.79/create/dpcwk.php?u=28qy0dpmt&qwbh=k&f=g1ub5ei&ek=3ee

Важно принять во внимание, что вредоносное ПО подделывает строку POST, чтобы сделать соединение случайным выбором из списка возможных строк, таких как «форум», «php», «просмотр» и т. д., чтобы затруднить обнаружение с IPS или другими фильтрами в сети.

Определены IP-адреса из Российской Федерации, но это не доказывает, что вредоносное ПО пришло из этой страны; это могло быть преднамеренным введением в заблуждение, но с языковыми проверками стран СНГ это, безусловно, представляется возможным.

Использование IP-адресов вместо доменных имен позволяет избежать разрешений DNS, которые могут быть изменены или перенаправлены на петлю, например, с помощью файла «host» в Windows. Это усложняет отслеживание IP-адресов и позволяет избежать блокировки соединения.

Вредоносное ПО использует этот агент для установления соединения, но он может меняться между образцами:

РИСУНОК 25. АГЕНТ, ИСПОЛЬЗУЕМЫЙ ДЛЯ ПОДКЛЮЧЕНИЯ К IP-АДРЕСАМ C2C

Из дампа памяти мы можем извлечь IP-адреса, используемые этими подключениями, а также любопытную строку, которая говорит о Лоуренсе Абрамсе, администраторе веб-сайта «bleepingcomputer», с которым напрямую связались разработчики.Неизвестно, почему они указали этот адрес электронной почты, потому что он не имеет отношения к записке о выкупе и больше нигде не используется. Возможно, это способ издеваться над администратором сайта, который часто сообщает о программах-вымогателях?

РИСУНОК 26. IP-АДРЕСА C2C, ИЗВЛЕЧЕННЫЕ ИЗ ПАМЯТИ

Соединения с IP-адресами C2C в pcap с помощью Wireshark видны отлично:

РИСУНОК 27. СОЕДИНЕНИЕ В PCAP С IP-АДРЕСАМИ C2C

Лабиринт имеет в памяти несколько интересных строк, которые, возможно, заслуживают дальнейшего анализа в будущем:

РИСУНОК 28.ЛЮБОПЫТНАЯ СТРУНА ДЛЯ БУДУЩЕГО ИССЛЕДОВАНИЯ

Веб-страница для осуществления платежа, запрошенного в записке о выкупе, показывает цену и подтверждает, что все правильно.

РИСУНОК 29. ВЕБ-СТРАНИЦА ПЛАТЕЖА MAZE ПОСЛЕ РАСШИФРОВКИ ЗАПИСКИ О ВЫКУПЕ

Maze имеет функцию чата для связи с операторами и получения информации о том, как получить криптовалюту, необходимую для совершения платежа.

Конечно, как и в случае со многими типами программ-вымогателей, есть предложение расшифровать три изображения бесплатно, и эта услуга проверена как работающая:

РИСУНОК 30.БЕСПЛАТНОЕ РАСШИФРОВАНИЕ РАБОТАЕТ, ПОЭТОМУ ОБРАЗЕЦ ВРЕДОНОСНОГО ПО ПРАВИЛЬЕН

ВЫКЛЮЧАТЕЛИ

Вредоносная программа имеет некоторые переключатели, которые можно использовать в командной строке для запуска. Эти переключатели могут либо отключить некоторые элементы, либо включить ведение журнала.

Переключатели:

• —nomutex -> Этот переключатель предотвращает проверку мьютекса, чтобы он мог запускать более одного экземпляра на одном компьютере. Его также можно использовать, чтобы избежать вакцин, которые создаются до того, как вредоносное ПО создаст имя мьютекса на машине.
• —noshares -> С этим параметром вредоносное ПО не будет шифровать сетевые ресурсы, а только локальный компьютер.
• –path x -> Где x — полный путь. В этом случае вредоносная программа будет шифровать все файлы во всех папках, начиная с этого пути, если они не являются именами, расширениями или именами папок из черного списка. Это полезно для разработчиков вредоносных программ, чтобы атаковать специальный путь вместо того, чтобы тратить время на полную машину, и это делает атаку более целенаправленной.
• –logging -> Если этот переключатель включен, вредоносное ПО будет регистрировать все свои действия.Полезно для разработчиков вредоносного ПО в средах отладки или на этапе атаки знать, что все было в порядке, шаг за шагом. Вот небольшой пример этой информации:

РИСУНОК 31. ПРИМЕР ИНФОРМАЦИИ, КОТОРУЮ ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ МОЖЕТ ВЫДАВАТЬ С ПОМОЩЬЮ LOG SWITCH

ДРУГИЕ ОБРАЗЦЫ

В январе 2020 года появилась новая версия зловреда со специальным текстом, посвященным некоторым исследователям в области безопасности. Разработчики вредоносного ПО, похоже, выбрали этих людей, чтобы провоцировать и высмеивать их.

Образец был обнаружен malwrhunterteam[9] 28 января 2020 года. Образец имеет некоторые отличия по сравнению с предыдущим, который был проанализирован в этом отчете. Эти различия будут учтены позже с помощью другого образца, который был найден Лукой Надь[10] 30 января 2020 года.

Самое главное здесь то, что разработчики, похоже, тщательно отбирали исследователей и ждали их ответа в качестве психологического трюка, и это сработало, потому что все они ответили, тролля разработчиков вредоносного ПО по поводу версии их вредоносного ПО, обнаруженного на двадцать восьмое.

Вот один из ответов разработчика вредоносного ПО на этот троллинг, содержащий несколько интересных фактов:

РИСУНОК 32. ОТВЕТ ОТ РАЗРАБОТЧИКА ВРЕДОНОСНОГО ПО

• Неизвестно, стоит ли за вредоносным ПО один человек или нет. Любопытно, что они дважды сказали «я» вместо «мы» в своем ответе. Так что, возможно, это было написано одним человеком в целях троллинга, или, возможно, разработчиком вредоносного ПО действительно является только один человек (или они хотят, чтобы исследователи думали, что это так).
• Еще один важный факт в заметке — рассказ об инструментах, которые один из исследователей использует для регулярного анализа вредоносного ПО. Почему они упоминают регулярный анализ вредоносных программ? Это потому, что они сами реверсируют вредоносное ПО для развлечения, или это может быть их повседневная работа? Может быть, разработчик — исследователь (из-за того, как они разговаривают с другими и провоцируют их)? Во-вторых, не раз упоминается анализ вредоносного ПО, и, в-третьих, они сказали, что сделали скрипт IDAPython для удаления всего обфусцированного кода, который есть у вредоносного ПО (вымогатель, возможно, получил название «Лабиринт» из-за того, что его анализ похож на прогулку). через лабиринт).Так что, это может быть либо исследователь, хорошо знающий IDAPro, либо продвинутый разработчик (а обфусцированный код в Maze сделан очень хорошо), а может быть, это разработчик, у которого в обычной жизни есть другая работа, помимо создания вредоносных программ? Конечно, это всего лишь возможности, а не факты.
• Разработчик вредоносного ПО достиг своей цели с помощью этого взаимодействия, так как его целевая аудитория увидела ответ и рассказала о своем вредоносном ПО, как отмечено в последней строке их ответа: «… но вы должны знать, что мы любим вас, исследователи, без вас наша работа также была бы быть чертовски скучным».

Любопытно, что здесь по-прежнему говорили «мы» вместо «я», а может быть, речь шла о разработке всех вредоносных программ?

Отличия этих образцов:

• Обычно поставляется в виде DLL, а не EXE-файла. Он не работает в операционных системах Windows старше Vista, поскольку это усложняет анализ. Используя вредоносное ПО как DLL, они могут легче внедрить этот модуль в целевой процесс, чем если бы они использовали EXE-образец вредоносного ПО.
• Вместо удаления «теневых томов» разработчики используют WMIC со специальной уловкой пути, как упоминалось ранее, используя классы WMIC для управления теневыми томами. Пример такого использования можно увидеть на следующем изображении.

РИСУНОК 33. ИСПОЛЬЗОВАНИЕ КЛАССОВ WMIC, ЕСЛИ НЕОБХОДИМО ПОЛУЧИТЬ ТЕНЕВЫЕ ОБЪЕМЫ

Каждый образец вредоносного ПО использует разные строки в качестве PDB для отправки сообщений или для того, чтобы сделать образец уникальным, например:

• C:\somerandomsh**\sh**\obama.пдб
• C:\kill\yourself\<псевдоним>\chinese\idio*.pdb

(В этих примерах некоторые элементы были удалены или изменены для удаления конфиденциальной информации из отчета).

Новые образцы, обнаруженные в январе 2020 года, имеют следующие связи с C2 (или пытаются их установить):

РИСУНОК 34. ПОДКЛЮЧЕНИЯ К C2 IP НОВЫХ ОБРАЗЦОВ

Как видим, это те же IP-адреса, что и в предыдущих версиях зловреда.

Даты компиляции образцов с 24 января 2020 года (первая версия со строками, которые спровоцировали исследователей) по 28 января 2020 года (версия с ответами исследователям), то есть они были сделаны в один и тот же день ответы на предыдущую версию были опубликованы в Twitter.

Еще один интересный факт из более позднего образца заключается в том, что, помимо того, что он говорит о том, что код языка, используемый для его программирования, был корейским, IP-адреса, к которым он подключается, по-прежнему принадлежат Российской Федерации, как видно на следующих двух изображениях.

РИСУНОК 35. КОД ЯЗЫКА «ИСПОЛЬЗУЕТСЯ» В ОБРАЗЦЕ ПАКЕРА, А НЕ ВРЕДОНОСНОМ ПО

РИСУНОК 36. ВСЕ ДОМЕНЫ C2 ПРИНАДЛЕЖАТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Невозможно узнать правду, но это может быть уловкой, чтобы попытаться ввести исследователей в заблуждение, заставив думать, что вредоносное ПО происходит из какой-то страны, тогда как на самом деле оно происходит из другой.Известно, что разработчики вредоносного ПО часто проверяют язык на машинах потенциальных жертв, чтобы избежать стран СНГ, поэтому можно предположить, что проверка на «корейский» язык была уловкой, рассчитанной на введение в заблуждение, но точно знать это невозможно. Конечно, «корейский» язык можно поменять вручную, а может это и корейский упаковщик, но с уверенностью сказать нельзя.

ЗАКЛЮЧЕНИЕ

Maze — это программа-вымогатель, созданная опытными разработчиками. Он использует много трюков, чтобы сделать анализ очень сложным, отключая дизассемблеры и используя плагины псевдокода.

Это представляет большую проблему для частных лиц и предприятий, которые не платят, поскольку разработчики угрожают раскрыть информацию, если они не получат платеж, и они действительно держат свое слово в этом. Все больше и больше программ-вымогателей демонстрируют такое же поведение, и мы ожидаем увидеть больше таких программ в этом году и, возможно, в будущем.

Разработчики вредоносных программ активны в социальных сетях, таких как Twitter, и знакомы с работой исследователей вредоносных программ.Также они отлично умеют их провоцировать и любят играть с ними в кошки-мышки.

Мы рекомендуем делать периодические резервные копии файлов и держать их изолированными от сети, а также иметь постоянно обновляемый антивирус. Также следует применить последнее программное исправление. Следует избегать ненужных подключений к удаленному рабочему столу.

Избегайте подозрительных электронных писем и не открывайте вложения, полученные от неизвестных вам лиц. То же самое касается ссылок в электронных письмах, и даже если они исходят из известного источника, уточните у отправителя, если у вас есть какие-либо сомнения.Кроме того, отключите макросы в программах Office и никогда не включайте их, если в этом нет необходимости.

ПОКРЫТИЕ

McAfee обеспечивает защиту от этой угрозы во всех своих продуктах, включая персональный антивирус, конечные точки и шлюзы.

Возможные имена:

ПРАВИЛО YARA

правило maze_unpacked {

   мета:

      description = «Правило обнаружения неупакованных образцов Maze»

      author = “Marc Rivero | Команда McAfee ATR»

   строки:

      $opcode_sequence = { 5589e583ec208b450c8b4d08c745fc00 }

                 $opcode_sequence_2 = { 5589e553575683e4f883ec28c7042400 }

                 $opcode_sequence_3 = { 5589e55dc3662e0f1f84000000000090 }

                 $opcode_sequence_4 = { 5589e553575683e4f081ec600200008b }

                 $opcode_sequence_5 = { 5589e553575683e4f081ecc00000000f }

                 $opcode_sequence_6 = { 5589e583ec208b45108b4d0c8b550883 }

                 $opcode_sequence_7 = { 5589e5575683ec388b45108b4d0c8b55 }

                 $opcode_sequence_8 = { 5589e5575683e4f883ec088b45088b48 }

                 $opcode_sequence_9 = { 558b6c241468997a41000f84bdc50000 }

                 $opcode_sequence_10 = { 5589e553575683e4f883ec588b5d088b }

                 $opcode_sequence_11 = { 5589e553575683e4f083ec408a42048b }

                 $opcode_sequence_12 = { 5589e583ec188b4508837d08008945fc }

                 $opcode_sequence_13 = { 5589e553575683e4f8b8d05b0000687f }

                 $opcode_sequence_14 = { 5589e5508b450831c98945fc89c883c4 }

                 $opcode_sequence_15 = { 5589e553575683e4f883ec708b5d0889 }

                 $opcode_sequence_16 = { 5589e583ec308b45088b4d08894df883 }

                 $opcode_sequence_17 = { 5589e553575683e4f881ec18030000f2 }

                 $opcode_sequence_18 = { 5589e583ec188b45088b4d08894df48b }

                 $opcode_sequence_19 = { 5589e583ec2056be74c14400566a0068 }

                 $opcode_sequence_20 = { 5589e553575683e4f081ec

0008b }

                 $opcode_sequence_21 = { 5589e583e4f083ec208b4d108b450c0f }

                 $opcode_sequence_22 = { 5589e55383e4f883ec108b4d0c8b4508 }

                 $opcode_sequence_23 = { 558b8e150409133f03fd08f81b0c4f22 }

                 $opcode_sequence_24 = { 5589e553575683e4f883ec7031f68379 }

                 $opcode_sequence_25 = { 5589e553575683e4f881ec3001000089 }

                 $opcode_sequence_26 = { 5589e553575683e4f881ece00000000f }

                 $opcode_sequence_27 = { 558b589608361d1943a57d0ba6492beb }

                 $opcode_sequence_28 = { 5589e553575683e4f883ec1089ce6a00 }

                 $opcode_sequence_29 = { 5589e5575683e4f883ec688b75088b7d }

                 $opcode_sequence_30 = { 5589e553575683e4f883ec386a006a00 }

                 $opcode_sequence_31 = { 558b7c240868dca8440057683d484300 }

                 $opcode_sequence_32 = { 5589e55683e4f881ec2801000089ce8d }

                 $opcode_sequence_33 = { 5589e583ec188b450831c98b5508c704 }

                 $opcode_sequence_34 = { 5589e583ec308b450c8b4d088b55088b }

                 $opcode_sequence_35 = { 5589e583ec348b450831c983c1188b55 }

                 $opcode_sequence_36 = { 5589e553575683e4f881ec78040000f2 }

                 $opcode_sequence_37 = { 5589e583ec108b4508837d08008945f8 }

                 $opcode_sequence_38 = { 5589e583ec348b4508837d08008945dc }

                 $opcode_sequence_39 = { 5589e55683ec548b45088b4d08894df0 }

                 $opcode_sequence_40 = { 558bec5de9a48efeffe9ef8efeffcccc }

                 $opcode_sequence_41 = { 5589e553575683ec108b45108b4d0c8b }

                 $opcode_sequence_42 = { 5589e5575683ec348b4508c745f40100 }

                 $opcode_sequence_43 = { 558bec8325a0c345000083ec1c5333db }

                 $opcode_sequence_44 = { 5589e553575683e4f083ec208b750c0f }

                 $opcode_sequence_45 = { 5589e583ec348b450c8b4d088b55088b }

                 $opcode_sequence_46 = { 558b6fd8d843ef516154e2526781aecd }

   условие:

      ( uint16(0) == 0x5a4d) и 38 из них

}

МОК

Сеть

Домен          mazedecrypt.топ

IP                     91.218.114.11

IP                     91.218.114.25

IP                     91.218.114.26

IP                     91.218.114.31

IP                     91.218.114.32

IP                     91.218.114.37

IP                     91.218.114.38

IP                     91.218.114.4

IP                     91.218.114.77

IP                     91.218.114.79

ПОКРЫТИЕ MITRE ATT&CK

• Общеиспользуемый порт
• StandardApplicationLayerProtocol
• SecuritySoftwareDiscovery
• SystemTimeDiscovery
• Интерфейс командной строки
• Данные зашифрованы
• Датаэнкриптедфоримпакт
• Реестр запросов
• Зацеп

[1] https://twitter.com/jeromesegura/status/1133767240686288896

[2] https://www.bleepingcomputer.com/news/security/maze-ransomware-demands-6-million-ransom-from-southwire/

[3] https://www.bleepingcomputer.com/news/security/nemty-ransomware-to-start-leaking-non-paying-victims-data/

[4] https://twitter.com/McAfee_Labs/status/1206651980086685696

[5] https://www.bleepingcomputer.com/news/security/new-threat-actor-impersonates-govt-agencies-to-deliver-malware/

[6] https://securityintelligence.com/news/spelevo-ek-exploits-flash-player-vulnerability-to-deliver-maze-ransomware/

[7] https://github.com/revsic/AntiDebugging

[8] https://ss64.com/locale.html

[9] https://twitter.com/malwrhunterteam/status/1222253947332841472

[10] https://twitter.com/luca_nagy_/status/122281

UNC2447 Программы-вымогатели SOMBRAT и FIVEHANDS: изощренная финансовая угроза

Компания Mandiant обнаружила агрессивную финансово мотивированную группу UNC2447, которая использовала одну уязвимость нулевого дня SonicWall VPN до выпуска исправления и развертывала сложное вредоносное ПО, о котором ранее сообщалось другими поставщиками как SOMBRAT.Mandiant связывает использование SOMBRAT с развертыванием программ-вымогателей, о которых ранее не сообщалось публично.

UNC2447 монетизирует вторжения, сначала вымогая деньги у своих жертв с помощью программы-вымогателя FIVEHANDS, а затем агрессивно оказывая давление через угрозы внимания средств массовой информации и предлагая данные жертв для продажи на хакерских форумах. UNC2447 был замечен в атаках на организации в Европе и Северной Америке и постоянно демонстрировал расширенные возможности для уклонения от обнаружения и минимизации криминалистической экспертизы после вторжения.

Компания Mandiant обнаружила доказательства того, что аффилированные лица UNC2447 ранее использовали программу-вымогатель RAGNARLOCKER. Основываясь на технических и временных наблюдениях за развертыванием HELLOKITTY и FIVEHANDS, Mandiant подозревает, что HELLOKITTY могла использоваться общей партнерской программой с мая по декабрь 2020 года, а FIVEHANDS примерно с января 2021 года.

Фон

В ноябре 2020 года компания Mandiant создала UNC2447, неклассифицированную группу, которая использовала новый дроппер PowerShell WARPRISM для установки BEACON на двух клиентах Mandiant Managed Defense.Mandiant Managed Defense быстро нейтрализовала эти вторжения и не зафиксировала попыток развертывания программ-вымогателей.

В январе и феврале 2021 года компания Mandiant Consulting наблюдала за переписыванием романа DEATHRANSOM, получившего название FIVEHANDS, вместе с SOMBRAT у нескольких жертв, подвергшихся вымогательству. Во время одного из вторжений программы-вымогателя были обнаружены те же самые образцы WARPRISM и BEACON, которые ранее были сгруппированы под UNC2447. Mandiant удалось с помощью судебной экспертизы связать использование WARPRISM, BEACON, SOMBRAT и FIVEHANDS с одним и тем же актером.

Mandiant подозревает, что активность HELLOKITTY в конце 2020 года может быть связана с общей партнерской программой и что с января 2021 года использование программ-вымогателей FIVEHANDS переместилось на FIVEHANDS.

• В апреле 2021 года Mandiant наблюдал за частным чатом FIVEHANDS TOR с фавиконкой HELLOKITTY (рис. 1).

Когда Mandiant обнаруживает партнерскую программу-вымогатель, кластеры без категорий назначаются на основе используемой инфраструктуры, а в случае UNC2447 они основывались на инфраструктуре SOMBRAT и Cobalt Strike BEACON, использовавшейся в ходе 5 вторжений между ноябрь 2020 и февраль 2021.Как правило, Mandiant проявляет осторожность даже в отношении новых вредоносных программ, таких как SOMBRAT и WARPRISM, и каждый из кластеров использует строго в соответствии со всей наблюдаемой активностью. Для получения дополнительной информации об угрозах без категорий см. нашу публикацию «Атрибуция DebUNCing: как Mandiant отслеживает субъектов угроз без категорий».

Уязвимость устройства SonicWall SMA серии 100

CVE-2021-20016 — это критическая уязвимость SQL-инъекций, которая использует неисправленные продукты удаленного доступа SonicWall Secure Mobile Access серии 100.Удаленный злоумышленник, не прошедший проверку подлинности, может отправить специально созданный запрос, чтобы воспользоваться уязвимостью. Успешная эксплуатация предоставит злоумышленнику возможность доступа к учетным данным для входа (имя пользователя, пароль), а также к информации о сеансе, которую затем можно использовать для входа в уязвимое неисправленное устройство серии SMA 100. Эта уязвимость затронула только серию SMA 100 и была исправлена ​​SonicWall в феврале 2021 года. Дополнительные сведения об этой уязвимости см. в бюллетене SonicWall PSIRT SNWLID-2021-0001.

ВОЕННЫЙ ПРИЗМ

WARPRISM — это дроппер PowerShell, который, по наблюдениям Mandiant, доставляет SUNCRYPT, BEACON и MIMIKATZ. WARPRISM используется для уклонения от обнаружения конечной точки и загружает полезную нагрузку непосредственно в память. WARPRISM может использоваться несколькими группами.

FOXGRABBER

FOXGRABBER — это утилита командной строки, используемая для сбора файлов учетных данных FireFox из удаленных систем. Он содержит путь PDB: C:\Users\kolobko\Source\Repos\grabff\obj\Debug\grabff.пдб. FOXGRABBER также был замечен во вторжении программ-вымогателей DARKSIDE.

Мягкие профили BEACON

На начальных этапах вторжения UNC2447 использует имплантат Cobalt Strike BEACON HTTPSSTAGER для обеспечения постоянной связи с командно-контрольными (C2) серверами по HTTPS и наблюдался с использованием гибких профилей «chches_APT10» и «Havex».

UNC2447 Ящик для инструментов

На этапе разведки и эксфильтрации вторжений UNC2447 наблюдался с использованием следующих инструментов: ADFIND, BLOODHOUND, MIMIKATZ, PCHUNTER, RCLONE, ROUTERSCAN, S3BROWSER, ZAP и 7ZIP.UNC2447 может изменить настройки безопасности Windows, правила брандмауэра и антивирусную защиту.

СОМБРАТ Обзор

SOMBRAT в ноябре 2020 года как «Кампания CostaRicto: кибершпионаж на аутсорсинге» как о потенциальной преступной группе, занимающейся шпионажем по найму. В настоящее время Mandiant наблюдает за SOMBRAT наряду с вторжениями программ-вымогателей FIVEHANDS.

Бэкдор SOMBRAT упакован в виде 64-битного исполняемого файла Windows. Он взаимодействует с настраиваемым сервером управления и контроля (C2) по нескольким протоколам, включая DNS, TCP с шифрованием TLS и, возможно, WebSockets.Хотя бэкдор поддерживает десятки команд, большинство из них позволяют оператору манипулировать зашифрованным файлом хранилища и переконфигурировать имплант. Основная цель бэкдора — загрузка и выполнение плагинов, предоставляемых через сервер C2. В отличие от версии SOMBRAT, опубликованной в ноябре 2020 года, в Mandiant наблюдались дополнительные запутывания и защита, чтобы избежать обнаружения, этот вариант SOMBRAT был усилен, чтобы препятствовать анализу. Метаданные программы, обычно включаемые компилятором, были удалены, а строки встроены и закодированы с помощью подпрограмм на основе XOR.

Пусковая установка СОМБРАТ

Этот вариант бэкдора SOMBRAT должен быть развернут вместе с четырьмя дополнительными ресурсами, которые служат пусковыми установками. Обычно они устанавливаются в жестко заданный путь к каталогу `C:\ProgramData\Microsoft`.

• путь: `C:\programdata\Microsoft\WwanSvc.bat` — средство запуска для `WwanSvc.txt`
• путь: `C:\programdata\Microsoft\WwanSvc.txt` — декодер и программа запуска для `WwanSvc.c`
• путь: `C:\programdata\Microsoft\WwanSvc.c` — декодер и программа запуска для `WwanSvc.б`
• путь: `C:\programdata\Microsoft\WwanSvc.a` — ключ XOR
• путь: `C:\programdata\Microsoft\WwanSvc.b` — закодированный бэкдор SOMBRAT
• путь: `%TEMP%\<возможно уникальное случайное имя>` — файл зашифрованного хранилища
• путь: `%TEMP%\<возможно уникальное случайное имя _<целое число>` — файл зашифрованного хранилища
• путь: `C:\ProgramData\<возможно уникальное случайное имя ` - зашифрованный файл конфигурации

Были обнаружены другие варианты имен файлов, такие как ntuser и wapsvc.

СОМБРАТ Технические детали

Бэкдор SOMBRAT написан на современном C++ и реализован в виде набора «плагинов», которые взаимодействуют друг с другом. С этим вариантом распространяется пять подключаемых модулей: `core`, `network`, `storage`, `taskman` и `debug` (плагин `config`, описанный Blackberry, отсутствует). Основные плагины взаимодействуют с сервером C2 через сообщения, отправляемые через общий сетевой уровень; каждый плагин поддерживает свой собственный набор сообщений, а протокол бэкдора может быть расширен за счет динамически загружаемых плагинов.

Плагин `core` координирует отслеживание состояния, например подключение к сети, а также динамическую загрузку и выгрузку плагинов. Плагин `network` настраивает сетевой уровень, используемый для связи с сервером C2, например, позволяя оператору переключаться между протоколами DNS и TCP. Плагин `storage` предоставляет логические операции, такие как чтение и запись, для зашифрованного файла, используемого для хранения плагинов, ресурсов и произвольных данных. Плагин Taskman позволяет оператору просматривать и убивать процессы в скомпрометированной системе.Наконец, плагин `debuglog` поддерживает единственную команду для записи отладочных сообщений.

Учитывая, что основные плагины не позволяют оператору напрямую выполнять произвольные команды или перенастраивать систему, основной функцией бэкдора SOMBRAT является загрузка плагинов, предоставляемых через сервер C2. Эти плагины могут быть динамически загружаемыми модулями шеллкода или DLL. Сервер C2 может указать бэкдору загрузить плагины напрямую или сохранить их в зашифрованном файле хранилища, откуда они впоследствии могут быть перезагружены, например, после обновления бэкдора.

SOMBRAT избегает криминалистического анализа, исправляя память процесса, используемую для записи аргументов командной строки. Он заменяет исходную командную строку базовым именем исполняемого файла программы, удаляя все аргументы. Это означает, что следователи, которые изучают список процессов с помощью криминалистики памяти, увидят безобидную на вид командную строку «powershell.exe», а не ссылки на необычное имя файла, такое как «WwanSvc.c».

Сетевые коммуникации СОМБРАТ

Бэкдор SOMBRAT может обмениваться данными со своим C2-сервером, используя как DNS, так и прокси-сервер с зашифрованным потоковым протоколом TLS.По умолчанию бэкдор использует протокол DNS; однако это может быть перенастроено сервером C2. Компания Mandiant наблюдала за доменами feticost[.]com и celomito[.]com, используемыми для связи DNS C2.

Когда бэкдор обменивается данными через свой протокол DNS, он создает и разрешает полные доменные имена, интерпретируя результаты DNS для извлечения сообщений C2. Полномочный DNS-сервер встраивает данные в поле IP-адреса результатов записи DNS A и в поле администратора имени результатов записи DNS TEXT.Делая множество запросов к уникальным субдоменам домена C2, бэкдор может медленно передавать информацию по несколько байтов за раз.

Сходства программ-вымогателей

Начиная с октября 2020 года, Mandiant наблюдал образцы модифицированной версии DEATHRANSOM. В этой новой модифицированной версии удалена функция проверки языка (на рис. 3 показана проверка языка в DEATHRANSOM).

• Программа-вымогатель HELLOKITTY, используемая для атаки на польского разработчика видеоигр CD Projekt Red, как сообщается, создана на основе DEATHRANSOM.
  • HELLOKITTY назван в честь мьютекса HELLOKITTYMutex, используемого при запуске исполняемого файла вредоносного ПО (см. рис. 4).

В январе 2021 года компания Mandiant обнаружила новую программу-вымогатель, развернутую против жертвы, и присвоила ей имя FIVEHANDS.

• Анализ FIVEHANDS выявил большое сходство со DEATHRANSOM, разделяя некоторые черты, функции и кодирование. В FIVEHANDS отсутствует языковая проверка, аналогичная HELLOKITTY
.
• И DEATHRANSOM, и FIVEHANDS оставляют записку о выкупе во всех неисключенных каталогах

Техническое сравнение FIVEHANDS, HELLOKITTY и DEATHRANSOM

DEATHRANSOM написан на C, а два других семейства — на C++.DEATHRANSOM использует отдельные серии циклов do/while для перебора сетевых ресурсов, логических дисков и каталогов. Он также использует QueueUserWorkItem для реализации объединения потоков для своих потоков шифрования файлов.

HELLOKITTY написан на C++, но переопределяет значительную часть функциональности DEATHRANSOM, используя аналогичные циклические операции и объединение потоков через QueueUserWorkItem. Структура кода для перечисления сетевых ресурсов, логических дисков и выполнения шифрования файлов очень похожа.Кроме того, HELLOKITTY и DEATHRANSOM используют очень похожие функции для проверки статуса завершения своих потоков шифрования перед выходом.

FIVEHANDS написан на C++, и хотя высокоуровневая функциональность аналогична, вызовы функций и структура кода для реализации большинства функций написаны по-разному. Кроме того, вместо выполнения потоков с помощью QueueUserWorkItem FIVEHANDS использует IoCompletionPorts для более эффективного управления своими потоками шифрования. FIVEHANDS также использует больше функций стандартной библиотеки шаблонов C++ (STL), чем HELLOKITTY.

Удаление теневых копий тома

DEATHRANSOM, HELLOKITTY и FIVEHANDS используют один и тот же код для удаления теневых копий тома через WMI, выполняя запрос select * из Win32_ShadowCopy, а затем удаляя каждый экземпляр, возвращаемый его идентификатором.

Операции шифрования

Каждое из этих трех семейств вредоносных программ использует одинаковую схему шифрования. Асимметричный открытый ключ либо жестко запрограммирован, либо сгенерирован. Для каждого зашифрованного файла создается уникальный симметричный ключ.

• После шифрования каждого файла асимметричный ключ зашифрует симметричный ключ и добавит его к зашифрованному файлу. Кроме того, к концу зашифрованного файла добавляется уникальное четырехбайтовое магическое значение. Вредоносная программа проверяет эти волшебные байты, чтобы убедиться, что ранее зашифрованный файл снова не зашифрован.
• DEATHRANSOM и HELLOKITTY реализуют операции шифрования файлов, используя очень похожую структуру кода и поток.
• FIVEHANDS реализует шифрование файлов с другой структурой кода и использует другие встроенные библиотеки шифрования.
• В дополнение к симметричному ключу HELLOKITTY и FIVEHANDS также шифруют метаданные файла с помощью открытого ключа и добавляют его к зашифрованному файлу.
• DEATHRANSOM генерирует пару ключей RSA, а HELLOKITTY и FIVEHANDS используют встроенный открытый ключ RSA или NTRU.

СМЕРТЬ Шифрование

• DEATHRANSOM создает пару открытого и закрытого ключей RSA-2048. Используя процедуру Диффи-Хеллмана на эллиптической кривой (ECDH), реализованную с помощью Curve25519, он вычисляет общий секрет, используя два входных значения: 1) 32 случайных байта из вызова RtlGenRandom и 2) жестко закодированное 32-байтовое значение (открытый ключ злоумышленника).Он также создает открытый ключ Curve25519. Общий секрет хэшируется SHA256 и используется в качестве ключа для шифрования Salsa20 открытого и закрытого ключей RSA.
• Открытый ключ RSA используется для шифрования отдельных симметричных ключей, используемых для шифрования каждого файла. Версия зашифрованных ключей RSA в кодировке Base64 и открытый ключ Curve25519 жертвы включены в примечание о выкупе, предоставляя злоумышленникам информацию, необходимую для расшифровки файлов жертвы.
• Для симметричного ключа DEATHRANSOM вызывает RtlGenRandom для генерации 32 случайных байтов.Это 32-байтовый ключ, используемый для шифрования AES каждого файла. После шифрования файла ключ AES шифруется открытым ключом RSA и добавляется к файлу.
• DEATHRANSOM, наконец, добавляет четыре магических байта AB CD EF AB в конец зашифрованного файла и использует это в качестве проверки, чтобы гарантировать, что он не зашифрует уже зашифрованный файл.
• Проанализированный образец DEATHRANSOM, используемый для сравнения, не меняет расширение файла.

HELLOKITTY Шифрование

• HELLOKITTY содержит встроенный открытый ключ RSA-2048.Этот открытый ключ хэшируется SHA256 и используется в качестве идентификатора жертвы в записке о выкупе. Этот открытый ключ RSA также используется для шифрования симметричного ключа каждого файла.
• Для симметричного ключа HelloKitty создает 32-байтовое начальное значение на основе временной метки ЦП. Генерируется ключ Salsa20, который шифрует второе 32-байтовое начальное значение. Зашифрованный результат подвергается операции XOR с первым начальным числом, в результате чего для AES-шифрования каждого файла используется 32-байтовый ключ.
• После шифрования каждого файла исходный размер файла, магическое значение DE C0 AD BA и ключ AES шифруются с помощью открытого ключа RSA и добавляются к файлу.HELLOKITTY и FIVEHANDS добавляют эти дополнительные метаданные к зашифрованному файлу, а DEATHRANSOM — нет.
• Наконец, он добавляет четыре магических байта DA DC CC AB в конец зашифрованного файла.
• В зависимости от версии HELLOKITTY может изменить или не изменить расширение файла.
• Другие образцы HELLOKITTY использовали встроенный открытый ключ NTRU вместо RSA.

Шифрование FIVEHANDS

• FIVEHANDS использует встроенный открытый ключ NTRU.Этот ключ NTRU хэшируется SHA512, и первые 32 байта используются в качестве идентификатора жертвы в примечании о выкупе. Этот открытый ключ NTRU также используется для шифрования симметричного ключа каждого файла.
• Для симметричного ключа FIVEHANDS использует встроенную процедуру генерации для создания 16 случайных байтов, используемых для ключа AES для шифрования каждого файла.
• После шифрования каждого файла исходный размер файла, магическое значение DE C0 AD BA и ключ AES шифруются с помощью открытого ключа NTRU и добавляются к файлу.
• Четыре магических байта DB DC CC AB добавляются в конец зашифрованного файла.
• FIVEHANDS включает дополнительный код, отсутствующий в DEATHRANSOM и HELLOKITTY, для использования диспетчера перезагрузки Windows для закрытия используемого в данный момент файла, чтобы его можно было разблокировать и успешно зашифровать.
• Расширение зашифрованного файла изменено на расширение .crypt
. Поток и последовательность шифрования
• FIVEHANDS сильно отличается от двух других, отчасти потому, что он включает асинхронные запросы ввода-вывода и использует другие встроенные библиотеки шифрования.

Зашифрованная дроппер FIVEHANDS

Одним из существенных изменений между DEATHRANSOM и FIVEHANDS является использование дроппера только для памяти, который при выполнении ожидает ключ командной строки -key, за которым следует значение ключа, необходимое для выполнения расшифровки полезной нагрузки. Полезная нагрузка хранится и шифруется с помощью AES-128 с использованием IV «85471kaecaxaubv». Расшифрованная полезная нагрузка FIVEHANDS выполняется сразу после расшифровки. На сегодняшний день Mandiant наблюдала только зашифрованные дропперы с общим imhash 8517cf209c905e8012416

f36a97.

Аргументы командной строки

FIVEHANDS может получить аргумент CLI для пути, это ограничивает действия программы-вымогателя по шифрованию файлов указанным каталогом. DEATHRANSOM и HELLOKITTY не принимают аргументы CLI.

Проверка локали и мьютекса

DEATHRANSOM выполняет проверку идентификатора языка и раскладки клавиатуры. Если любой из них соответствует русскому, казахскому, белорусскому, украинскому или татарскому языку, он выходит. Ни HELLOKITTY, ни FIVEHANDS не выполняют проверку идентификатора языка или клавиатуры.

HELLOKITTY выполняет проверку мьютекса, в то время как два других не выполняют проверку мьютекса.

Исключения файлов

DEATHRANSOM и HELLOKITTY исключают одни и те же каталоги и файлы:

programdata, $recycle.bin, файлы программ, окна, все пользователи, appdata, read_me.txt, autoexec.bat, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log или thumbs.db.

Исключения для FIVEHANDS более обширны и содержат дополнительные файлы и каталоги, которые следует игнорировать.

Дополнительные отличия

• DEATHRANSOM устанавливает внешнее HTTPS-соединение для загрузки файла. Ни HELLOKITTY, ни FIVEHANDS не инициируют сетевые подключения.
• HELLOKITTY содержит код для установки обоев жертвы на изображение, связанное с выкупом. В других образцах такой функции нет
• Известно, что разные версии DEATHRANSOM и HELLOKITTY изменяют расширение файла
.
• Известно, что различные версии HELLOKITTY проверяют завершение определенных процессов.

Таблица 1: Сравнение функций программ-вымогателей

Заключение

Компания Mandiant наблюдала за программами-вымогателями SOMBRAT и FIVEHANDS одной и той же группой с января 2021 года.Хотя сходство между HELLOKITTY и FIVEHANDS заметно, программы-вымогатели могут использоваться разными группами через подпольные партнерские программы. Mandiant назначит кластер без категорий на основе множества факторов, включая инфраструктуру, используемую во время вторжений, и поэтому не все вторжения программ-вымогателей SOMBRAT или FIVEHANDS могли быть осуществлены UNC2447. WARPRISM и FOXGRABBER использовались в программах-вымогателях SUNCRYPT и DARKSIDE, демонстрируя дополнительную сложность и совместное использование между различными партнерскими программами программ-вымогателей.

Индикаторы

СОМБРАТ UNC2447

• 87c78d62fd35bb25e34abb8f4caace4a
• 6382d48fae675084d30ccb69b4664cbb (31dcd09eb9fa2050aadc0e6ca05957bf неразобранный)

Пусковая установка СОМБРАТ

• cf1b9284d239928cce1839ea8919a7af (ключ XOR wwansvc.a)
• 4aa3eab3f657498f52757dc46b8d1f11 (wwansvc.c)
• 1f6495ea7606a15daa79be159a8 (wwansvc.bat)
• 31dcd09eb9fa2050aadc0e6ca05957bf (wwansvc.b)
• edf567bd19d09b0bab4a8d068af15572 (wwansvc.б)
• a5b26931a1519e9ceda04b4c997bb01f (wwansvc.txt)
• f0751bef4804fadfe2b993bf25791c49 (4aa3eab3f657498f52757dc46b8d1f11 неразобранный)
• 87c78d62fd35bb25e34abb8f4caace4a (edf567bd19d09b0bab4a8d068af15572 не разобранный)

домены СОМБРАТ

• Целомито[.]com (unc2447)
• Feticost[.]com (unc2447)
• Косарм[.]com
• Порталкос[.]com

ПЯТЬРУКИ

• 39ea2394a6e6c39c5d7722dc996daf05
• f568229e696c0e82abb35ec73d162d5e

Зашифрованная дроппер FIVEHANDS

• 6c849
  5f48d4b4aafce0fc49eb5b
• 22d35005e926fe29379cb07b810a6075
• 57824214710bc0cdb22463571a72afd0
• 87c0b190e3b4ab9214e10a2d1c182153
• 1b0b9e4cddcbcb02affe9c8124855e58
• 46ecc24ef6d20f3eaf71ff37610d57d1
• 1a79b6d169aac719c9323bc3ee4a8361
• а64д79еба40229ае9ааеббд73938б985

ПРИВЕТ КИТТИ

• 136bd70f7aa98f52861879d7dca03cf2
• 06ce6cd8bde756265f95fcf4eecadbe9
• аф568е8а6060812ф040ф0кб0фд6ф5а7б
• d96adf82f061b1a6c80699364a1e3208

СМЕРТЬ РАСПРОДАЖА

• c50ab1df254c185506ab892dc5c8e24b

ВОРПРИЗА

• c
2c6d5175c30ba96388b07e9e16 (унк2447)
• c171bcd34151cbcd48edbce13796e0ed
• d87fcd8d2bf450b0056a151e9a116f72
• f739977004981fbe4a54bc68be18ea79
• e18b27f75c95b4d50bfcbcd00a5bd6c5
• df6e6b3e53cc713276a03cce8361ae0f
• 1cd03c0d00f7bfa7ca73f7d73677d8f8
• 8071f66d64395911a7aa0d2057b9b00d
• c12a96e9c50db5f8b0b3b5f9f3f134f0
• e39184eacba2b05aaa529547abf41d2b
• 09a05a2212bd2c0fe0e2881401fbff17
• 8226d7615532f32eca8c04ac0d41a9fd
• а01а2ба3ае9ф50а5аа8а5е34928
• 29e53b32d5b4aae6d9a3b3c81648653c
• а809068b052bc209d0ab13f6c5c8b4e7

МАЯК UNC2447

• 64.227.24[.]12 Профиль Havex Январь 2021
• 157.230.184[.]142  chches_ Профиль APT10, ноябрь 2020 г. – январь 2021 г.
• 74c688a22822b2ab8f18eafad2271cac
• 7d6e57cbc112ebd3d3c95d3c73451a38

FOXGRABBER

• 4d3d3919dda002511e03310c49b7b47f

Обнаружения FireEye

MITRE ATT&CK

Благодарности

Спасибо Нику Ричарду за технический обзор, Женевьеве Старк и Кимберли Гуди за аналитические материалы, а также Джону Эриксону, Джонатану Лепору и Стивену Экелсу за анализ, включенный в эту запись в блоге.

Ветерок из Страны Чудес | Форум рассказчиков, фольклора и детской литературы Марии Татар

Рецензия Энтони Лейна на «Спасение мистера»Бэнкс показывает, как именно фильму удается увлечь наше внимание:

«Солнце вышло поздороваться с вами!» Говорит водитель Трэверс (Пол Джаматти), когда она прибывает в Лос-Анджелес. «Не будь нелепым», — отвечает она, и фильм оживляется этой вспыльчивостью и остроумием — теми же качествами, которые звучали в фантастической живости романов Поппинса. Точно так же, как Мэри спасла увядающую семью Бэнксов, Томпсон спасает фильм. Ложка ее лекарства снижает уровень сахара

 http://www.newyorker.com/arts/critics/ci…

Помимо столкновения язвительного остроумия с жизнерадостным нравом, в фильме есть мощные конкурирующие аргументы о том, что «для вашего же блага», когда речь идет о развлечениях для детей. «Где гравитация?» — спрашивает Трэверс озадаченного Уолта Диснея, который стремится к духовному подъему с помощью веселых диалогов и оптимистичных мелодий. Ведь Мэри Поппинс , как представляют себе книгу сценаристы, родилась из потребности взрослого человека проработать детскую травму.Уолт и Памела оба страдали в детстве: Уолт подчинился воле эксплуататорского отца, который настаивает на том, чтобы его сыновья помогали в семейном бизнесе, доставляя газеты, независимо от того, насколько холодно или сколько времени это занимает, а Памела становится свидетелем алкоголика. болезненное погружение отца в дисфункцию, болезнь и смерть.

Став взрослыми, эти двое по-разному подходят к созданию развлечений для детей, и их взгляды отражают раздвоение мнений в области детской литературы: с одной стороны протекционисты, а с другой — сторонники «все идет».Реальная жизнь довольно убогая, поучал родителей Руссо, и вы могли бы потакать молодежи. «Любите детство, — писал он в своем воспитательном трактате Эмиль , — поощряйте его игры, его удовольствия, его ласковый инстинкт». Это именно то, что сказал бы Уолт Дисней. Трэверс, напротив, придерживается мнения, что мы не должны приукрашивать, что мы не должны играть в «давай притворимся», а вместо этого учить детей суровым реалиям жизни. Мэри Поппинс точно не принадлежит к школе детской литературы «неопровержимых фактов», а развлечения Диснея, как мы знаем из всех этих лукавых злых фигур, одетых в пурпурное и черное (с оттенком золота), дают нам больше, чем полные ложки. сахара.Но Спасение мистера Бэнкса предлагает отличный небольшой урок о высоких ставках в писательской игре для детей, и он напоминает нам своим названием, как и везде в фильме, что искупление взрослых может быть настоящим Святым Граалем. искали авторы детских книг.

А вот и Зои Хеллер в New York Times , 4 января 2013 г.:

Новый фильм «Спасти мистера Бэнкса» рекламируется как история о том, как Уолт Дисней «творил свое волшебство», чтобы «оживить Мэри Поппинс».Этот слоган не просто оскорбляет автора, П. Л. Трэверса, который уже очень красиво воплотил Мэри Поппинс в жизнь без помощи Голливуда; это также оказывает медвежью услугу смелости Уолта Диснея как адаптера. Если есть что-то, чего Дисней явно не пытался сделать в фильме, так это «схватить» или изобразить раздражительную, непостоянную няню из низшего среднего класса из книг. Его несравненно более смелое решение состояло в том, чтобы убить эту Мэри Поппинс и заменить ее совершенно другим персонажем, сладкоголосым, несложно добродушным персонажем, которого сыграла Джули Эндрюс.

Нам может казаться, что Поппинс Трэверса — более интересный и привлекательный персонаж, чем тот, которого изобрел Дисней, — так же, как мы можем судить о «Гэтсби» Ф. Скотта Фицджеральда как о лучшем произведении искусства, чем клубный ремикс Лурмана. Но это лишь говорит о том, что гений Лурмана и Диснея не был сравним с гением авторов, у которых они заимствовали. Из этого не следует, что Лурманн и Дисней могли бы сделать фильмы лучше, если бы относились к оригиналам с большим уважением.

Большинство адаптаций не достигают величия (большинство фильмов не достигают, большинство произведений искусства не достигают), но те, которые достигают — «А теперь не смотри» Николаса Роуга, «Сад Финци-Контини» Витторио Де Сика, «Добрые сердца и короны» Роберта Хамера, «Леопард» Лукино Висконти, большая часть творчества Хичкока — не отличаются какой-то необычной степенью верности своим оригинальным текстам.И наоборот, некоторые из самых скучных адаптаций являются наиболее рабски «верными». (См. версию «Хоббита» Питера Джексона, фильм, увязший в компьютерной графике, и отчаянную решимость его режиссера не оскорблять поклонников Толкина.) Учитывая выбор между благоговением Джексона и наглостью Диснея, я думаю, что предпочел бы последнее. По крайней мере, «Мэри Поппинс» фильм дает нам несколько хороших песен .

Дебютов DarkSide; Script-Kiddies Tap Dharma

Управление непрерывностью бизнеса/аварийное восстановление , Киберпреступность , Борьба с мошенничеством и киберпреступность