GandCrab v4 Ransomware

Bir fidye yazılımı olan GandCrab ilk olarak 26 ocak 2018 de keşfedildi ve RIG EK ve GrandSoft EK exploit kitlerinde dağıtılmaya başlandı. DASH kripto para birimini ilk kullanan ransomware olan GandCrab’in yeni sürümleri de çıkmaya devam etti ve bitcoin ödeme desteği de eklendi. Bu yazıda v4 sürümünü inceleyeceğiz.

 

Lab Ortamı

Windows 7 64 bit sanal makinede NAT bağlantı kullanılarak incelenmiştir.

İnceleme sırasında güvenliğiniz için trafiği filtreleyen bir antivirus yada sanal makine için tamamen yeni bir ağ arayüzü oluşturarak host makineyle iletişimini kesebilirsiniz. Aynı zamanda zararlı yazılımın paylaşılan ağ ortamlarını da şifrelediği görülmüştür. Host makinenizden ağ ve dosya paylaşımını kapatmayı unutmayın.

GandCrab’ın önceki versiyonlarında sanal makinede çalışmaması için kodlar bulunmuş, daha sonraki versiyonlarda bazı hatalara sebep olabileceği düşünülerek kaldırılmış olduğu düşünülüyor.

 

.BIT Domain

GandCrab ilk versiyonlarında ICAAN tarafından tanınmayan .bit domainlerini kullandı. Domain sahibinin izini bulması ve domaini almasını zorlaştırdığından bu yolu tercih ediyorlar. Bu domainler açık kaynak bir teknoloji olan NameCoin tarafından sağlanıyor. NameCoin DNS sunucularının hükümetler ve büyük şirketler tarafından kontrol edildiğini ifade ederek .bit websitelerinin bu sorunlara karşı bağışıklı olduğunu söylüyor. ISP nin sağladığı veya bilinen DNS servisleri kullanılarak .bit sorgusu gerçekleştiremiyoruz. GandCrab ise bu domaini destekleyen a.dnspod.com servisini kullanıyor. Bu gelişmeler üzerine NameCoin bir bildiri yayınlayarak dnspod.com’un ICANN tarafından tanınan bir TLD(top-level domain) olmasa bile .bit alanlarının kullanımına izin verdiğini belirtti.

 

Versiyon 4

GandCrab’ın dördüncü versiyonu çalıştırıldığında ağ paylaşım dosyaları da dahil olmak üzere şifrelemeye başlar ve her şifrelediği dosyasın uzantısından sonra .KRAB ekler. Daha sonra KRAB-DECRYPT.txt açıklama dosyasını her dizine yerleştirir. Bu açıklama dosyasında önemli dosyaların şifrelendiğini, .KRAB uzantılı dosyaları kurtarmanın tek yolunun unique private key satın almak olduğunu söylüyor. Tor browserın nasıl yükleneceğini anlatıyor ve her bilgisayar için ayrı bir dizin oluşturarak bir link veriyor:

http://gandcrabmfe6mnef.onion/...

 

Tor browser ile bu linke eriştiğimizde bizden doğrulama için KRAB-DECRYPT.txt dosyasını yüklememizi istiyor.

Bu dosyadaki GANDCRAB KEY ve PC DATA verilerini okuyarak sizi ana sayfaya yönlendiriyor.

Free decrpt alanından bir dosyanızı çözmenize izin veriyorlar.

$1,200 USD değerinde DASH veya Bitcoin ödemesi yapmamızı istiyor.

 

Ben yarı fiyatına anlaştım 🙂

 

Hash Degerleri

MD5
700B129A345147B582BEAB39F24F0C8B
SHA1
944BE0AAFEB88CB5BE64FC54164DDA5A9AD946F3
SHA256
C9941B3FD655D04763721F266185454BEF94461359642EEC724D0CF3F198C988
SSDEEP 3072:4DXuJ3K7Ndox3opnEE+nl2blI4qhDARKEvQgROZ+h+3PBNq/S3BAx:4DXea7EYpJSO4DAVOZ+h+3PBDO
Timestamp değeri
Thu Aug 23 22:42:45 2018

 

ExeInfo

Packer, compressor, unpack bilgilerini öğrenebileceğimiz Exeinfo PE programıyla pack işleminin yapılmadığını görüyoruz.

 

Strings

Pestudio programı önem derecesine göre malware içerisindeki stringleri gruplayarak listeler. Örneğin GetUserObjectInformationW belirtilen masaüstü nesnesi hakkında bilgileri alır. Ayrıntılı bilgi için windows api sayfalarını inceleyin.

 

Ag Etkinligi

Wireshark ile trafiği analiz ettiğimizde 40 dakikada 22 bin dns sorgusunun gerçekleştiğini görüyoruz.

Sistem hakkında bilgiler içeren şifrelenmiş veriyi, uzun bir domain listesine rasgele oluşturduğu dizin adları ve dosya isimleriyle POST işlemiyle gönderir. Url örneği:

http://www.meditec.ma/static/images/defuimke.bmp

Bu işlem exe çalıştığı sürece tekrarlanıyor.

Bu işlemin gereksiz olduğu, sadece bir POST işleminin yeterli olacakken bu işlemin tekrarlanmasının şaşırtmaca yada deneysel olabileceği düşünülüyor.

 

Memory Dump

Zararlı yazılımı çalıştırdığımız sistemin bellek görüntüsünü sanallaştırma teknolojisinin snapshot özelliğiyle kaydedip sanal makinenin bulunduğu dizinde .vmem uzantılı dosyayı elde ettik.

Bu dosyayı memory forensics framework yazılımı olan volatility ile inceleyebilirsiniz.

 

Disassembler

Ida nın import sekmesinden kullandığı WinApi fonksiyonlarını incelediğimizde WinHttp.dll fonksiyonlarının kullanıldığını görüyoruz. WinHttp.dll HTTP sunucularıyla iletişim kuran sunucu uygulamaları tarafından kullanılmak üzere tasarlanmıştır. kernel32.dll fonksiyonlarına baktığımızda WriteFile, GetFileType gibi fonksiyonlarla dosya işlemleri yapıldığı ve file type değeri okunarak belli uzantılardaki dosyaların şifreleme dışında bırakılabileceğini söyleyebiliriz. TlsAlloc ile thread yönetiminin yapıldığını, WideCharToMultiByte ile karakter dönüşümü yapıldığını söyleyebiliriz.

Sistem bilgilerinin okunduğu yer:

WinHttpOpen:

File size control:

 

Kayıt Defteri Degisiklikleri

Üretilen public ve private keyler kayıt defterine ekleniyor. İnternet settings altında proxy ayarları sıfırlanıyor ve daha bir çok değişiklik yapılıyor.

 

Decryptor

Eğer dosyalarınız bu zararlı yazılımdan etkilendiyse v1, v4 ve v5 için decryptor aracı nomoreransom sitesinde yayınlandı. Bitdefender tarafından oluşturulan decryptor açılışta sizden internet bağlantısının olması gerektiğini ve herhangi bir hataya karşı aracı başlatmadan önce dosyalarınızın yedeğini almanızı söylüyor. Daha sonra tek yapmanız gereken .KRAB uzantılı bir dosyanın bulunduğu dizini seçmek. Dosyalarınızın hızlıca eski haline döndüğünü göreceksiniz. Ayrıca bu zararlı yazılımın sadece dosyalarınızı şifrelemediğini, daha bir çok tespit edilemeyen davranışının olabileceğini düşünerek dosyalarınızı başka bir diske aktarıp sisteminizi tekrar kurmalısınız.

 

İmza Çıkarma

İmza oluşturmada hash değeri kullanılabilir fakat tek bir bitin değiştirilmesiyle hash değeri de değişeceği için tercih edilmez. Binary dosya içerisinden benzersiz bir değer seçmek gerekir. Dosyanın ilk baytları kullanılabilir, ağ aktivitesinde hackerların almış veya ele geçirmiş olabileceği domain adları kullanılabilir. Bu örnekte exe ilk çalıştığında billerimpex.com adresine bağlanmaya çalıştığı için imzada kullanılabilir.

GandCrab için Yara imzası örneği: github.com/ctxis/CAPE/blob/master/data/yara/CAPE/Gandcrab.yar

 

Nasıl Korunurum?

  • Davranışsal, sezgisel ve imza tabanlı analiz yapabilen bilinen bir güvenlik  yazılımı kullanın ve imza veritabanının sürekli güncellendiğinden emin olun.
  • Websitelerinde bilginiz dahilinde olmadan indirilen exe dosyalarını açmayın ve güncelleme reklamlarına tıklamayın.
  • Bu saldırılardan ve türevlerinden neredeyse hiç etkilenmeyen güncel çekirdek sürümlü bir özgür linux dağıtımı kullanın.
  • Linuxta gerekmedikçe root olarak oturum açmayın.
  • Linux sunucunuzun ssh root erişimini kapatın.
  • Dosyalarınızı belli aralıklarla harici bir depolama ünitesinde yedeğini alın.
  • Mail yoluyla bilinmeyen kaynaklardan gelen dosya ekleri içeren mailleri açmayın.
  • Bir dosyayı uzak bir sunucudan edinmeniz gerekiyorsa, virustotal gibi online hizmet veren bir sitede yada sisteminizdeki bir güvenlik yazılımıyla tarayın.
  • Özellikle ağ servisi sağlayan yazılımlarınızı sürekli güncel tutun.
  • Sisteminize gelen güvenlik güncelleştirmelerini düzenli olarak denetleyin.

 

Online sandbox testi: app.any.run

 

Kaynaklar:
fortinet.com
app.any.run
bleepingcomputer.com
hybrid-analysis.com
virustotal.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir