Magnibar — сложнейший азиатский шифровальщик уже в твоем доме: история, анализ. Часть 1
Время идёт. Только мгновение назад, ты считал что-то новым, а теперь это уже устарело. И просто без малого несколько лет, но ты и не заметил этого. Когда-то компьютерные вирусы распространялись исключительно через физические носители. Вспомните только дискетный вирус-шифровальщик AIDS. И я отнюдь не просто так упомянул об этом. Но обо всем по порядку. Шифровальщики — это боль, согласитель, что не очень приятно видеть вместо своих файлов на устройстве непонятное расширение, так ещё и деньги требуют. Вы кто такие? Я вас не звал…
Кто-то страдает, а кто-то с этого имеет неплохие деньги. Но почему рядовой Вася должен страдать, чтобы кто-то купил себе ещё одну виллу? У тебя могут быть свои мысли на этот счёт, но моё видение ограничено одним словом - несовершенство.
Как человека, так и продукта, которому он доверяет своё самое сокровенное. Ведь задумайся, вот эта болванка, с которой ты читаешь это, будь то Android, IOS или Windows. Сколько до этого периода было обнаружено критических уязвимостей, которые не получали своевременного исправления? Огромное количество.
К слову, проблематика шифровальщиков не только в уязвимых умах и системах, но и в психологии. Пока мы платим за расшифровку - это будет существовать, потому что это выгодно. Но всегда найдутся люди или компании, готовые заплатить. Почему? Потому что часто люди теряют действительно важные материалы таким образом и хотят поскорее их вернуть, а ждать бесплатного дешифратора способны не все.
Пока мы, как пользователи продукта, должны ожидать очередной патч и молиться, чтобы никакой хацер228 из седьмого Б не открыл в себе неожиданный талант и не попытался своровать твоё.
Чего только стоит нашумевшая EternalBlue, которая вызвала целый так называемый Бум шифровальщиков: Petya, WannaCry и другие.
Что же, а теперь ближе к делу. Сегодня мы поговорим об очередном азиатском творении, которое распространяется исключительно посредством уязвимостей в ваших системах. Шифровальщик Magnibar. По моему мнению, достойный кандидат на обзор, один из сложнейших вымогателей на моей памяти. История будет длинной, так что заваривай кофеек, чаек, бери печеньки, а мы начинаем. Кто мы? Я один пишу эту статью.
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Magnibar - что же мы о тебе знаем
Magniber — это тип вредоносного программного обеспечения (вымогатель или шифровальщик), который нацелен на шифрование файлов на зараженных системах и требует выкуп за их расшифровку.
Основные характеристики Magniber:
- Шифрование файлов: Magniber шифрует файлы на компьютере жертвы, преобразуя их в недоступные для пользователя данные. Это может затронуть разнообразные типы файлов, такие как документы, изображения, видео и архивы.
- Требование выкупа: После завершения шифрования Magniber требует от жертвы уплаты выкупа для получения ключа расшифровки. Информация о требуемом выкупе обычно предоставляется в виде сообщения на экране или текстового файла на зараженной системе.
- Механизм распространения: Magniber может распространяться через фишинг-атаки, зараженные вложения электронной почты, уязвимости в программном обеспечении или через вредоносные ссылки. Учтите, что только может.
- Целевые системы: Обычно Magniber нацелен на операционные системы Windows, такие как Windows 10 и Windows 11, но может также работать и на других версиях Windows, что мы обязательно проверим.
Также он представляет наибольшую опасность тем, что способен шифровать до 250 различных типов файлов, таких как изображения, архивы и документы, превращая их в непригодные для использования данные.
Переходим к его коротенькой истории. Впервые был обнаружен в конце 2017 года и распространялся через, уже упомянутою уявимость, EternalBlue, но исключительно на территории Южной Кореи. Да, в то время, когда в СНГ буйствовали WannaCry, Пети и Васи у корейцев была своя головная боль.
Однако в конце 2018 года были зафиксированы первые случаи заражения в Тайване и других странах Азии, где использовалась другая критическая уязвимость удаленного выполнения кода (RCE) с идентификатором CVE-2018-8174.
CVE-2018-8174 связана с ошибкой в обработке объектов в памяти в VBScript Engine Windows. Эта уязвимость позволяет злоумышленнику удаленно выполнять произвольный код на устройстве жертвы. Уязвимыми к этой проблеме оказались следующие операционные системы: Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008 и Windows 10. Подробностей о ней не будет, почитайте вот здесь и так статья огромная будет.
С расширением ареала атак произошло и ещё одно новшество. А именно у разработчиков сие чуда изменились приоритеты, если раньше атаки были направлены преимущественно на обычных пользователей, эдаких печенек, то теперь Магнибар начал атаковать малый и средний бизнес. Что вполне верное и логичное решение. Некоторые компании не могут существовать без цифровой логистики или и вовсе завязаны на работе с устройствами. Атака Магнибара вызывает простой, а время - деньги. Зачастую компаниям действительно проще и дешевле уплатить выкуп, чем ждать помощи специалистов.
Затем следует двухгодичное затишье.
Однако в 2021 году он вновь дал о себе знать, на этот раз используя новые критические уязвимости в Windows: CVE-2021-26411, CVE-2021-40444 и, прежде всего, уязвимость удаленного выполнения кода PrintNightmare, CVE-2021-34527. Обозревать не будем, на все есть ссылочка.
CVE-2021-34527 — дыра в службе диспетчера очереди печати Windows, которая позволяет злоумышленнику загрузить и запустить на устройстве жертвы свой .dll файл.
Методологию атаки и опасности данной уязвимости хорошо описали
Ссылка скрыта от гостей
Но после этого он снова исчез.
Новое появление Magniber произошло совсем недавно, летом прошлого года. Теперь этот вымогатель стал значительно более опасным. Специалисты из группы TXOne сообщают, что вымогатель получил полностью обновленный код и продолжает использовать новые уязвимости нулевого дня. Кроме того, злоумышленники начали применять новые методы распространения. Если раньше Magniber распространялся только в виде установочных файлов Windows (.msi), то теперь он также использует более сложные формы, такие как вредоносные JavaScript-файлы, ISO-образы, ZIP-архивы и даже ярлыки INK.
Согласно новому отчету от группы анализа угроз Google (специалисты по кибербезопасности в компании Google), начиная с августа 2022 года, киберпреступники активно использовали уязвимость нулевого дня в компоненте SmartScreen (CVE-2023-24880) и распространяли вымогатель необычным для этой кампании способом — через фишинг-атаки и рассылки
Магнибар - краткий статистический анализ
Для анализа была выбрана классическая версия, то есть .msi.
Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:
- DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
- PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
- Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
- IDA PRO — инструмент для реверс-инжиниринга.
- Reko — декомпилятор, который в 90% случаев бесполезный.
- HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
- Hidra — прекрасный и многофункциональный инструмент для реверс-инжиниринга.
Также спешу заметить, что последний сэмпл датирован далеким концом 2023, на данный момент вредонос снова в режиме спячки. Но это не отменяет факта, что он опасен. Начнем с коротенького визуального обзора. Вес непримечательный - 134 КБ. Естественно, это у нас .msi всё, как и надо. Какая-то неудачная маскировка под установку какой-то базы данных - «Installation DataBase». Примитивный фишинг, что с него взять. Предварительно, создан он 16.12.2023. Естественно, выгрузка на VirusTotal дает неплохие показатели, а именно 50 из 62.
Переходим в DIE для получения более подробных сведений.
Продолжение следует..
Краткие выводы к первой части
На данный момент, все смотрится, как типичный и особо ничем не примечательный вымогатель. Ну разве что настораживает его исчезновения, но это объясняется тем, что создатели адаптируют свой продукт к новым условиям и новым уязвимостям. А вот в следующей части вы поймете, почему же я считаю его сложнейшим шифровальщиком в мире. Свидимся, не прощаюсь.
