Сказки Ransomwhere: примеры новых способов «доставки» шифровальщиков
На прошлой неделе антивирусная лаборатория PandaLabs получила вопрос про семейство шифровальщиков, использующих PowerShell – решение Microsoft, которое включено в Windows 10 и которое уже некоторое время используется кибер-преступниками для своих целей.
Подобные вопросы интересны, т.к. PandaLabs целенаправленно занимается предотвращением подобных атак со стороны шифровальщиков. Но должны признать, что мы не делимся всеми нашими «находками» с сообществом. Сейчас мы решили делать это на постоянной основе в рамках серии статей «Сказки Ransomwhere».
Шифровальщик поступает в фишинговом письме, в которое вложен документ Word
Тот шифровальщик, о котором нас спрашивали, звучит для нас как старые новости: действительно, наши коллеги из Carbon Black писали об этом еще в марте. Атака проста и понятна: шифровальщик поступает в фишинговом письме, в которое вложен документ Word. При его открытии специальный макрос в документе запускает cmd.exe, чтобы запустить PowerShell, скачать скрипт из Интернета, а затем снова запустить PowerShell, используя скаченный скрипт в качестве «входных данных» для выполнения задач шифровальщика.
Этот Powerware, как он был назван специалистами Carbon Black, - это еще один шифровальщик среди тысяч других, о которых мы знаем. Мы блокировали его еще до того, как сами узнали об этом семействе шифровальщиков, хотя для некоторых компаний в сфере безопасности данное конкретное семейство стало большей проблемой, чем другие. Почему?
Некоторые из антивирусов в большинстве своем основаны на сигнатурах и одновременно с этим их присутствие сильнее на периметре, а не на конечной точке. Поэтому блокировка документов Word на периметре – не очень удачный выход. После того, как заражены некоторые пользователи, они могут добавить сигнатуры и защитить остальных (например, блокируя IP-адреса, откуда скачивается скрипт), хотя отсутствие загруженной из Интернета исполняемой вредоносной программы – это кошмар для них.
В конце концов, шифровальщики – это масштабный бизнес для кибер-преступников, и они тратят много ресурсов на поиски новых способов, позволяющих им оставаться незамеченными со стороны всех видов решений безопасности. Powerware – это всего лишь один из примеров. Общее поведение не меняется, но всегда, почти каждую неделю внедряются трудноуловимые изменения. Эти изменения могут быть применены как к самому шифровальщику (как он выполняет свои действия), так и к способу доставки (используя новые эксплойты, изменяя существующие эксплойты, меняя способы загрузки экплойтов и пр.).
Еще хороший пример новых способов «доставки» шифровальщиков, который мы видели недавно. После применения эксплойта в Internet Explorer, запускается CMD, используя функцию «echo» для создания скрипта. Затем запускается ряд файлов Windows для выполнения всех действий, чтобы избежать обнаружения подозрительного поведения со стороны решений безопасности. Скрипт запускается со стороны wscript, и он скачивает dll, затем используется CMD для запуска regsvr32, который выполнит dll (используя rundll32). В большинстве случаев тот DLL является шифровальщиком. Были заблокированы свыше 500 попыток заражения, использующих этот новый трюк.
Публикуем ниже все контрольные суммы MD5 этих DLL, которые были перехвачены в рамках 500 попыток заражений:
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.