Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Badacze bezpieczeństwa z Microsoft Threat Intelligence przeprowadzili analizę zaawansowanej kampanii, w której cyberprzestępcy wykorzystali rodzinę złośliwego oprogramowania o nazwie GigaWiper. Jak sama nazwa wskazuje, malware należy do kategorii wiperów, których głównym zadaniem jest bezpowrotne niszczenie danych na zainfekowanej maszynie. Działania te są realizowane poprzez usuwanie metadanych partycji dysków, szyfrowanie danych z losowym kluczem (nigdzie nie zapisywanym) oraz nadpisywanie sektorów na dysku losowymi bajtami.
TLDR:
Z drugiej strony, złośliwe oprogramowanie nosi znamiona backdoora, czyli narzędzia umożliwiającego atakującym stały, zdalny dostęp do zainfekowanego systemu. Dzięki niemu cyberprzestępcy mają możliwość monitorowania aktywności użytkownika oraz zdalnego zarządzania malware, poprzez wysyłanie odpowiednich komend sterujących.
GigaWiper skupił uwagę analityków, głównie z uwagi na swoją strukturę. Analiza pokazała, że nie jest to pojedyncze, celowo zaprojektowane narzędzie, tylko zlepek różnych wariantów złośliwego oprogramowania (znanych z poprzednich kampanii). W jego architekturze można odnaleźć elementy:
Biorąc pod uwagę unikanie technik wykrycia, zastosowane mechanizmy są ściśle powiązane z tymi, które widzieliśmy przy okazji analizy HermeticWiper, CaddyWiper oraz ransomware BlackCat (ALPHV). Co ciekawe, badacze zidentyfikowali w kodzie artefakty (ścieżki PDB) odwołujące się bezpośrednio do nazwy GRAT. Może to świadczyć, że narzędzia te zostały zaimplementowane przez ten sam zespół deweloperski lub powstały wewnątrz jednego frameworka.
Badacze nie wskazali w jaki sposób malware dostaje się do środowiska użytkownika. Skupili się przede wszystkim na tym, co się dzieje w systemie po uruchomieniu złośliwego oprogramowania.
W pierwszej fazie następuje skanowanie dysków za pomocą WMI (Windows Management Instrumentation).

W ten sposób zostaną zwrócone identyfikatory urządzeń oraz metadane dysków. Dane te są wykorzystywane m.in. do ustalenia miejsca instalacji systemu operacyjnego (najczęściej jest to \\.\PHYSICALDRIVE0). Kolejnym krokiem jest usunięcie struktur partycji z pozostałych dysków (funkcja main.unallocateDrive) oraz rozpoczęcie procedury wymazywania ich zawartości (main.writeRandToDrive). Warto dodać, że malware losuje za pomocą funkcji crypto/rand.Read pierwszy bajt każdego bufora, a pozostałą część wypełnia bajtami 0x00. Działanie to ma na celu unikanie wykrycia przez mechanizmy obronne, które w czasie rzeczywistym monitorują operacje na dysku i w przypadku wykrycia standardowego zerowania nośnika (bajt po bajcie) mogą zaalarmować o anomalii.
Po wyczyszczeniu dysków niezawierających systemu następuje ponowne uruchomienie komputera. Z racji tego, że metadane pozostałych dysków zostały usunięte, a system został zamknięty brutalnie, komputer nie wystartuje prawidłowo. Może pojawić się komunikat o braku systemu operacyjnego lub o uszkodzeniu sektora rozruchowego. Niemniej jednak, dane zapisane na dysku systemowym w tej konkretnej sytuacji nie zostały nadpisane ani usunięte. Poprzez odtworzenie partycji rozruchowej lub podpięcie dysku do innego komputera istnieje możliwość przywrócenia dostępu do danych.

Dalsza analiza kodu wykazała, że złośliwe oprogramowanie posiada szereg funkcji przypominających backdoora. Podszywa się pod legalną aplikację OneDrive, tworząc w Harmonogramie zadań nowe zadanie o nazwie OneDrive Update. W efekcie złośliwy kod uruchamia się co minutę oraz przy każdym starcie systemu, zgłaszając gotowość do działania i oczekując na komendy z serwera C2 (Command & Control). Komunikacja z infrastrukturą atakującego odbywa się za pośrednictwem protokołów RabbitMQ oraz Redis.
Ponadto, malware wykorzystuje klucz rejestru HKCU\SOFTWARE\OneDrive\Environment do monitorowania liczby swoich uruchomień. Jeśli klucz nie zostanie wykryty w systemie, GigaWiper uznaje, że został uruchomiony po raz pierwszy, a następnie tworzy go i inicjuje wartością 0. Przy każdym kolejnym uruchomieniu zadania wartość klucza zostaje inkrementowana o jeden. Zabieg ten ma na celu zamaskowanie obecności złośliwego oprogramowania w systemie.

Badacze dosyć szczegółowo przeanalizowali komendy przesyłane za pośrednictwem serwera C2. Ustalili, że każda z nich złożona jest z trzech parametrów: task_id, command_code oraz args. W efekcie udało im się zidentyfikować 20 unikalnych poleceń, wśród których najbardziej destrukcyjne z nich umożliwiają całkowite uszkodzenie systemu, zaszyfrowanie danych oraz umieszczenie notatki z żądaniem okupu. Na szczególną uwagę zasługują następujące komendy:

Pozostałe polecenia noszą znamiona oprogramowania typu stealer/RAT. Umożliwiają m.in. rejestrowanie uderzeń klawiatury, wykonywanie zrzutów ekranu oraz nagrań w czasie rzeczywistym, zdalne sterowanie systemem, czyszczenie dzienników zdarzeń (Event Logs) w celu zatarcia śladów, a także wykonywanie dowolnych poleceń, zleconych przez atakującego.
Obrona przed tego typu zagrożeniem polega przede wszystkim na wdrożenie wielowarstwowej strategii. Microsoft rekomenduje włączenie funkcji Tamper Protection, która chroni kluczowe ustawienia systemu oraz oprogramowanie antywirusowe przed próbami ich wyłączenia lub zmodyfikowania. Ponadto, zalecane jest wdrożenie systemów EDR oraz monitorowanie Harmonogramu zadań i rejestru.
| Wskaźnik | Typ | Opis |
| 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 | SHA-256 | GigaWiper backdoor |
| ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 | SHA-256 | GigaWiper backdoor |
| f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd | SHA-256 | GigaWiper backdoor |
| 9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683 | SHA-256 | GigaWiper backdoor |
| 3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cd | SHA-256 | GigaWiper Wiper |
| 440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3 | SHA-256 | Crucio |
| 12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721 | SHA-256 | FlockWiper |
| db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674 | SHA-256 | FlockWiper |
| 185.182.193[.]21 | IP address | GigaWiper C2 |
| 212.8.248[.]104 | IP address | GigaWiper C2 |
IoC. Źródło: microsoft.com
Źródło: microsoft.com
~_secmike