Anydesk-software misbruikt om Babuk Ransomware te verspreiden


Over het algemeen zien we dat ransomware-aanvallen worden ingezet via exploits, ongevraagde kwaadaardige e-mails (malspam) of kwaadaardige Microsoft Office-documenten. Aanvallers misleiden de nietsvermoedende gebruikers om macro’s enz. in te schakelen. Afgezien van deze gebruikelijke aanvalstechnieken, kwamen we een nieuwe manier tegen om valse websites van Anydesk-software te gebruiken om de Babuk-ransomware te verspreiden. Anydesk is een hulpprogramma voor afstandsbediening waarmee gebruikers toegang hebben tot externe computers en andere apparaten waarop de hosttoepassingen worden uitgevoerd.
Babuk Ransomware is de laatste tijd erg actief. De tactieken voor versleuteling verschillen niet veel van die van andere ransomware-families. Na verloop van tijd brengt ransomware nieuwe varianten uit en verbetert het zijn aanvalsmechanismen om nieuwe slachtoffers aan te vallen.

Fig 1. Initiële vector van infectie

Wanneer de gebruiker de Anydesk-software probeert te downloaden vanaf een onbekende verdachte link, verschijnt er een nepwebsite waarmee u Anydesk-software kunt downloaden. Deze nepwebsite lijkt op de originele Anydesk-website. Wanneer de gebruiker klikt om Anydesk-software te downloaden, wordt ransomware ook gedownload omdat het is gebundeld met Anydesk-software in de vorm van een zelfuitpakkend archief (in dit geval geen installatiebestanden). Het doet dit voor ontwijkingsdoeleinden.

Voor, bijvoorbeeld, Als Anydesk wordt gezocht in Microsoft of Bing, krijgen we het volgende resultaat. De eerste website is niet gerelateerd aan de officiële Anydesk-applicatie, en na het klikken op de setelog-website verwijst ads.htm door naar een kwaadaardige website die ransomware downloadt.

Fig 2. Zoeken in Anydesk-toepassing

Evenzo hebben we nog een verdachte link gevonden voor de Anydesk-toepassing, die hieronder wordt vermeld.
URL:
https[:]// Anydesk1[.]websiteseguro[.]com/downloads/windows/?_ga=2.165501695.1936674747.1628634255-780551265.1627305233
Gedownloade bestandsnaam: Setup_Anydesk.exe

Fig 3. Nadat u op het gedownloade bestand heeft geklikt, verschijnt een installatievenster

We analyseerden het gedownloade archief en ontdekten dat het een schone Anydesk-configuratie heeft, samen met een Babuk-downloader, een RAT-bestand en een REG-bestand.

Fig 4. Bestanden aanwezig in een archief

Het infectieproces begrijpen
Wanneer een gebruiker op het gedownloade archief klikt, dat zich voordoet als een Anydesk-softwaretoepassing, worden andere bestanden in de bundel geruisloos verwijderd. De bovenstaande afbeelding toont een Allakore Rat-client met de naam bthudtaskt.exe, een Babuk-downloader met de naam mdnsFULLHD.exe en een registerbestand met de naam Anydesk. Reg is gevallen in de map Opstarten zonder tussenkomst van de gebruiker. De Clean Anydesk-applicatie wordt op het bureaublad neergezet en wordt geïnstalleerd. Alle gedropte bestanden in de opstartmap worden uitgevoerd via PowerShell en hun activiteit op de achtergrond.

Anydesk.Reg:

Elk bureau. reg-bestand schakelt gebruikersaccountbeheer uit door de waarde van EnableLUA in te stellen op 0. Het schakelt ook Windows Defender uit door de waarde van DisableAntiSpyware op 1 in te stellen. Malware schakelt ook real-time bescherming uit door waarden in te stellen op 1.

Allakore RAT-client:
AllaKore Rat is een open-source eenvoudige Remote Access Tool geschreven in Delphi en heeft een zeer hoge gelijkenis met code die op GitHub te vinden is.

Babuk Downloader start de Allakore Rat en doet TCP-verzoeken, zoals hieronder wordt getoond.

Babuk-downloader:
Het ‘mdnsFULLHD.exe’-bestand is PE32-uitvoerbaar voor MS Windows en is door Delphi gecompileerd. Het is immens (~ 12 MB) omdat het de meeste code heeft om de verdediging te schaden. Het start de Allakore Rat sing PowerShell cmdlet Set-voorkeur, waarbij TCP-verzoeken worden gedaan zoals in de bovenstaande afbeelding wordt getoond.
Het voegt de onderstaande paden toe als uitsluiting voor de Windows Defender-modules via de PowerShell-cmdlet Set-MpPreference om alle malwarecomponenten voor Windows Defender te verbergen.

Voor bijv:
cmd.exe /c PowerShell -Command Add-MpPreference -ExclusionPath “C:UsersXXXContacts”
cmd.exe /c PowerShell -Command Add-MpPreference -ExclusionPath “C:UsersXXXLinks” enz.
Bovenstaande worden uitgesloten door cmd.exe uit te voeren. De malware sluit ook de onderstaande schijven uit.


Het heeft een lijst met AV’s, zoals hieronder weergegeven, en het controleert of een van de antivirusproducten op het systeem is geïnstalleerd.

Als er antivirusprocessen op het systeem worden uitgevoerd, verschijnt de onderstaande prompt, waarin de gebruiker wordt gevraagd tussen te komen en het product te verwijderen. Als de gebruiker op de knop Volgende klikt, wordt het configuratiescherm geopend om de software te verwijderen en op de achtergrond controleert de malware of deze is verwijderd.

De malware schakelt Taakbeheer uit en ondermijnt alle modules van Windows Defender.
Nader onderzoek in het bestand onthulde dat malware een HTTP-verzoek stuurde om het bat-bestand en het .exe-bestand te downloaden. De gebruikte domeinen zijn:
“hxxp://suporte01928492.redirectme.net/Update7/Update.bat.rar”
“hxxp://suporte01928492.redirectme.net/Update7/Update.exe.rar”
Deze gedownloade bestanden worden opgeslagen in:
“C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup” map. Malware maakt deze bestanden en namen aan op basis van de gebruikersnaam en voert vervolgens beide bestanden stil uit met PowerShell.
Bestanden aangemaakt: .exe en .bat
Als de gebruikersnaam bijvoorbeeld ABC is, is de bestandsnaam ABC.exe en ABC.bat in de bovengenoemde map.

Update.bat

  • Het bevat de volgende instelling, die wordt uitgevoerd via PowerShell, die helpt bij het ontwijken van de malware:
  • Schakelmeldingen per gebruiker verbergen
  • Verberg de melding van Windows Defender in het systray-pictogram
  • Dialoogvenster uitschakelen.
  • Cascade hoogte.

Update.exe: BABUK PAYLOAD
Het gedownloade Update.exe-bestand is een Babuk ransomware-payload. Het is een UPX-bestand en de grootte is klein, ongeveer 25 KB. Malware is gecompileerd in C/C++.
Na uitvoering start het het vssadmin.exe-proces om alle Shadow Copy te verwijderen met behulp van de opdracht “vssadmin.exe delete shadows /all /quiet”. Het creëert ook “mutex” met de naam “DoYouWantToHaveSexWithChuongDong” in het systeem.
Malware sluit alle processen die worden vermeld, waardoor bestandsversleuteling wordt voorkomen. Het leegt ook de Prullenbak door de functie SHEmptyRecycleBinA() aan te roepen, en het somt systeemmappen en stations op en maakt losgeldnota’s in elke map.

Afb. Losgeld brief

Het versleutelt alle bestanden met de extensie “.doydo”. Een extensie kan variëren afhankelijk van de gedownloade payload-variant.

Afb. Versleutelde bestanden

Malware voegt de string toe “choung dong ziet eruit als een hotdog !!” aan het einde van de versleutelde inhoud van alle versleutelde bestanden.

Als het slachtoffer na een succesvolle aanval het gevraagde losgeld niet betaalt, publiceert de auteur van de malware de versleutelde gegevens of verkoopt deze op ondergrondse forums.

Conclusie:

Deze use case is niet beperkt tot een specifieke dreigingsactor. We zijn echter van mening dat dit type infectie een groot aantal Anydesk-gebruikers treft. Met behulp van tools zoals Anydesk of andere administratieve instanties kunnen de malware-auteurs gemakkelijk beheerdersrechten van de computer van het slachtoffer nemen en de kwaadaardige activiteit in het systeem uitvoeren.
Uiteindelijk benadrukken we dat de klant heel voorzichtig moet zijn bij het klikken op links die worden gebruikt voor het downloaden van software of een link die wordt ontvangen via e-mail, berichten of WhatsApp. Controleer altijd of de website officieel en veilig is of niet.
Hier zijn een paar aanvullende richtlijnen die het aanvalsoppervlak en mogelijke schade aan de IT-infrastructuur helpen minimaliseren.

  • Vermijd het downloaden van software van niet-vertrouwde P2P- of torrent-sites. In de meeste gevallen herbergen ze schadelijke software. Gebruik in dit geval https://Anydesk.com/en/downloads om Anydesk-software te downloaden.
  • Houd uw beveiligingssoftware (antivirus, firewall, enz.) altijd up-to-date om uw computer te beschermen tegen nieuwe varianten van malware.
  • Download geen gekraakte/gepirateerde software, aangezien deze het risico lopen achterdeur binnen te dringen voor malware op uw computer.
  • Audit ‘Lokale /Domeingebruikers’ en verwijder/deactiveer ongewenste gebruikers.
  • Wijs geen beheerdersrechten toe aan gebruikers.
  • Schakel waar mogelijk multi-factor authenticatie in om ervoor te zorgen dat alle aanmeldingen legitiem zijn.
  • Blijf niet ingelogd als beheerder tenzij het strikt noodzakelijk is.
  • Vermijd browsen, documenten openen of andere reguliere werkzaamheden terwijl u bent aangemeld als beheerder.
  • Hoewel op handtekeningen gebaseerde beveiligingen alleen onvoldoende zijn om geavanceerde ransomware-aanvallen te detecteren en te voorkomen die zijn ontworpen om traditionele beveiligingen te omzeilen, vormen ze een essentieel onderdeel van een uitgebreide beveiligingshouding.
  • Reageer zorgvuldig en verstandig op de waarschuwingen die worden gegenereerd door op gedrag gebaseerde detectiesystemen en anti-ransomwarebeveiligingssystemen. We geven er de voorkeur aan om onbekende applicaties die door deze systemen worden gedetecteerd, te blokkeren/weigeren.
  • Audit RDP-toegang en schakel deze uit indien niet vereist. Stel anders de juiste regels in om toegang toe te staan ​​van alleen specifieke en beoogde hosts.
  • In bijna alle gevallen gebruiken aanvallers PowerShell-scripts om het beveiligingslek te misbruiken, dus schakel de PowerShell in het netwerk uit. Als u PowerShell nodig hebt voor intern gebruik, probeer dan de PowerShell.exe-verbinding met openbare toegang te blokkeren.
  • Gebruik altijd een combinatie van online en offline back-up van al je bestanden.

Hoe Quick Heal zijn gebruikers beschermt:

Quick Heal-producten zijn uitgerust met meerlaagse detectietechnologieën zoals IDS/IPS, EDR, DNA-scan, e-mailscan, NGAV, webbescherming en gepatenteerde anti-ransomware-detectie. Deze meerlaagse beveiligingsaanpak helpt ons onze klanten te beschermen tegen Babuk Ransomware en andere bekende, onbekende bedreigingen.

Indicatoren van compromis

Anydesk Innosetup-bestanden:

  • a64beabdb0c9ae6b5dca97b64bbd0358
  • d7751f57dca53de35be58c45e623ba54
  • b70fb92fadc90efca375850ed503af4d
  • 225fcb613c1796a3f27a2b71aba77dc4
  • 23c9916a932d3c3b03d9ebee5c2bd6eb
  • d443a25c6a4f9c553724da404676dee4
  • a0b78a347b3e8b1b17a3db6dda4079e3
  • d0af75fc8c88a51b044dad9bfa2cbd17
  • 33dd883776eda150f4bdfebe97f00790
  • ea34fea96cbbc22091aab8c6a4225326
  • 5763a24e3927c6053bb216b09d281c13

Domeinen:

  • mijnftp.biz
  • sytes.net
  • redirectme.net
  • sytes.net
  • serveirc.com
  • websiteseguro.com/downloads/windows/?_ga=2.165501695.1936674747.1628634255-780551265.1627305233

Babuk-downloader:

  • 4935463e3f1f0e498f5928d579405725
  • 4e376b65f35727c956782874d2777549
  • 64c97cda282fdf8f5906f98d8b5e83d0
  • 85deb376e4c3559ce010c8e9a4a6595c
  • a5d17bf427f8630e207564b3888af127
  • ad4461b7b14faa0dc2b77dbd95ab4330
  • aeef6cefcf78c8990a09eee89d831c7f
  • db4572ff504436ffb079ef5858176deb
  • Ead98682c4b5da91fa6380f1858cf8c4

Allakore Rat-klant:

  • 1486cbb9b4ff1c5aceb67949eefa8cda
  • 1bcbc44772aba8c5dd27b964e555a490
  • 207ffd69134a589bbb5e24949664234a
  • 2719bd7ab3de7b683041cd7c30f1041d
  • 2f860f69a4090e9f6bf0833dc322ff77
  • 304275544920ab64fc3d17e2c1a30fd7
  • 3e45570f7b33f0f4c24bcc7b24b31d85
  • 44c696374426167febbc290b8cd1b300
  • 45d7c902614f094a846dea70b31bb846
  • 4fc57386bfc22265a507adb818ef163e
  • 65f7a1e438a33ec75adbc599d2362706
  • 83020fda9cd8bc429a4141284ba41b21
  • c4a047327be1a3a481083cecbcc1c54d
  • d387a74efbb033c1d327a5e1c4a9e6ce
  • e5313dd64ce118e49e1dfd461af26835
  • F555a28a88f91ec639e5d86bc4c1c3c9

Babuk-lading:

  • 0099963e7285aeafc09e4214a45a6a210253d514cbd0d4b0c3997647a0afe879
  • 028facff67136de55fe200177a190da625c8e1713b4e7d95bf5fc5412a5afffc
  • 0294114d5f411b6c47eb255d4ed6865df99d1c5252f4f585aabf44e6cbacaa59
  • 02e9883501635da9b501e715bb827a0b9d0c265991f1263f073eb6c5d9b335c3
  • 03110baa5aad9d01610293f2b8cd21b44cc7efa0a465e677d6b3f92510a4b1d7
  • 0b93a024b5d6874d7bb69abd7f0e2d54a67c602584575a9b6d1212baae81442f
  • 12c561ac827c3f79afff026b0b1d3ddec7c4b591946e2b794a4d00c423b1c8f8
  • 15656e1825383c4749fadcc46f9825df6262ca2f1f98d895d64c840febe3d9d3
  • 18e282e6806903ff00a78b91f6d0ad1bc3aae4b4846d6a5705c036a88138605f
  • 1ab45a508da655ef755ad4394f869c664f664b3ac111875704a583e9485f2238
  • 1d40f42fa328a9a6192d4fa8c6e5ce6f813ea9132774784521713b202d772994
  • 1deb1efad2c469198aabbb618285e2229052273cf654ee5925c2540ded224402
  • 1e24560100d010c27cc19c59f9fe1531e4286ecb21fe53763165f30c5f58dc90
  • 63b6a51be736d253e26011f19bd16006d7093839b345363ef238eafcfe5e7e85

Preksha Saxena



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: