Ужас страховых компаний шифровальщик HardBit 3.0: при чем здесь Игорь Войтенко и психологический подход к делу — история, анализ. Часть 1
Классический день, ты возвращаешься после тяжелого дня на заводе с галлоном пива в руках. Уставший, грязный, но счастливый. Чем не мечта, спросишь ты? А я отвечу - мечта, но для меня несбыточная. Включаешь свой любимый компьютер, на который копил 40 лет, открываешь баночку пенного, твой прекрасный вечер только начинается.
Как всегда тупые тиммейты матерят тебя за твои экстраординарные умения в игре, ты материшь их, тебя это совсем не заботит. Ведь так проходит каждый твой день, из года в год, из столетия в столетие. И вот, глубокая ночь, весь пивной запас опустошен, твоё состояние трудно описать словами, не придумаю я таких изречений. Человек ли это? Но вдруг твой телефон издает протяжный визг, он так противен и раздражающ, особенно глубокой ночью. На твою электронную почту пришло письмо с каким-то видеофайлом. Естественно, ты его скачал, а там это:
Ссылка скрыта от гостей
Но после просмотра, вдруг, вместо привычного рабочего стола, ты видишь это:
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
HardBit 3.0 — что же мы о тебе знаем
Да, я решил сделать вступление в старом стиле, вроде вышло неплохо. Это весьма нетипичный вирус, поэтому я решил уделить ему внимание. Нетипичный он не из технической точки зрения, как тот же Магнибер, а скорее отношением создателей к своему делу и принципу вымогательства. Все дело в том, что пусть это и шифровальщик, который атакует все подряд, создатели лично выходят на контакт практически с каждой жертвой и определяют сумму выкупа в индивидуальном порядке. Ведь их целью являются страховые компании, зачастую сумма выкупа будет равнозначна сумме страховки.
Конечно, я не смею утверждать, что они делают с незастрахованными жертвами, но это упустим.
Вредонос существует уже больше двух лет и ранее никогда не проявлял особой активности на территориях стран СНГ, но не так давно, а именно в конце 2023 года. К
Ссылка скрыта от гостей
зафиксировала несколько обращений российских заказчиков, пострадавших от HardBit. Точной информации до сих пор нет, но Солар сообщает, что сумма выкупа составляла более 25.000$.В целом, начнем в хронологическом порядке. Первая версия шифровальщика вовсе была куском мусора, она была сродни каким-то Винлокерам, если такое кто-то помнит ещё. Особого внимания она не стояла, не стоит и сейчас.
Но уже в ноябре 2022 выходит вторая версия, которая стала прорывом. Да, она была не то, что на несколько голов выше предыдущей версии, это полноценное сравнение гиганта и лилипута. С технической точки зрения это был шедевр, среди однотипных шифровальщиков, который удостоился простого названия - Hardbit 2.0. Гениальность в простоте. Продвинутый метод шифрования, современные методы антианализа, бэкап зашифрованный данных на командный сервер. Вкуснота.
Но восприняли его как-то холодно. Не было вот этого переполоха, как с появлением WannaCry. Хотя оно и неудивительно, Хардбит распространяется исключительно методом фишинговых рассылок, ККД, естественно, ниже.
В середине 2023 года в свет выходит версия 3.0, которая также отличается нехилым прогрессом в структуре и методах, но почему-то вниманием его снова обделили и Хардбит не оказался у всех на слуху. Из-за недостатка что публичного внимания, что внимания от групп экстренного реагирования, этому шифровальщику и удалось наворотить нехилых дел.
Ведь был определенный период, когда все зарубежные IT новости состояли исключительно из публикаций о Хардбит.
Как уже говорилось, авторы шифровальщика явно имеют патологическую тягу к страховым компаниям. Теории заговора в стиле «обиженный страховщик стал Робин Гудом и решил грабить ради народа» оставим в стороне, хотя исключать такой вариант тоже не будем. В результате, иностранные страховые компании были в полном шоке от происходящего и даже начали отказывать в выплате выкупа, оставляя жертв на произвол судьбы.
Забавно, что эта ситуация напротив помогла злоумышленникам, ведь они быстро смекнули, как можно использовать этот факт в свою пользу, к примеру, вот выдержка из записки о выкупе:
«Так как хитрый страховой агент умышленно тянет время, чтобы не платить выкуп, выигрывают только страховые компании, а вы остаетесь без данных. Чтобы избежать этого, обязательно анонимно сообщите нам о наличии и условиях вашей страховой защиты».
Да! «Мы не хотим твоих денег, давай лучше ограбим страховую» и все останутся довольны. У этих ребят явно мозги работают в очень правильном направлении, я восхищен. И теперь жертва чувствует не злость, направленную на того, кто похитил и зашифровал её данные, а на страховую. На страховую, Карл!
ХардБит 3.0 — краткий статистический анализ
Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:
- DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
- PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
- Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
- IDA PRO — инструмент для реверс-инжиниринга.
- Reko — декомпилятор, который в 90% случаев бесполезный.
- HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
- Hidra — прекрасный и многофункциональный инструмент для реверс-инжиниринга.
Собственно, перед нашими глазами находится тот самый файлик, визуально ничего особо примечательного, вес чуть более 300 КБ и примитивная маскировка под svchost. Примечательно, что имеется цифровая подпись и занимательная иконка. Для получения дополнительных сведений, естественно, задействуем DIE.
Сразу же в глаза бросается, что это исполняемый PE32 файл, но удручает наличие защиты. ЗДЕСЬ ЦЕЛЫХ ТРИ ПРОТЕКТОРА. Чувствую, что это будет порядком сложная задача. Помимо этого дата компиляции намеренно изменена, здесь мы имеем 2053 год, что явно не может быть правдой.
Таймстомпинг (или временная маркировка) — это метод, применяемый злоумышленниками для манипулирования временными метками файлов с целью скрытия информации или обмана системы. С помощью этой техники можно изменять даты создания, изменения или доступа к файлам, что позволяет исказить их вид и метаданные.
Уже в качестве традиции, выгружаю вредонос на Вирустотал и получаю очень удовлетворительные результаты. Никто из современных антивирусов не считает этот шифровальщик безопасным.
Далее переходим в DNspy и будем что-то пытаться понять и разобраться. Нас встречает поистине ужасная картина, все в непонятных символах, какой Раян здесь был ещё в 2017 году, везде мерещится Игорь Войтенко, непонятные ссылки на Фейсбук. DNGuard HVM, я проклинаю тебя.
DNGuard HVM — что же ты за чудовище такое
- Виртуализация на уровне процессора: DNGuard HVM использует функции виртуализации аппаратного уровня, предоставляемые современными процессорами (например, Intel VT-x или AMD-V). Это позволяет создавать защищенные виртуальные среды для выполнения кода, которые изолированы от основной операционной системы и инструментов отладки.
- Эмитация и обфускация: DNGuard HVM эмитирует виртуальную машину, в которой выполняется защищенный код. Эта виртуальная машина может интерпретировать или выполнять инструкции, которые не распознаются обычными процессами или инструментами реверс-инжиниринга. Код в виртуальной машине может быть сильно обфусцирован, что затрудняет его анализ и понимание.
- Защита от отладки: DNGuard HVM активно защищает исполняемый код от отладчиков. Это может включать в себя различные методы обнаружения отладочных сессий, скрытие кода и данных, а также использование техник, которые делают отладку и реверс-инжиниринг крайне сложными.
- Анализ поведения и детектирование: Программа может также использовать поведенческий анализ для обнаружения подозрительных действий и предотвращения попыток извлечения или модификации кода. Это помогает предотвратить попытки взлома и обойти защиту.
- Шифрование и декриптирование: DNGuard HVM может шифровать исполняемые файлы или участки кода, которые расшифровываются только во время выполнения. Это предотвращает статический анализ и извлечение информации о внутренней структуре программы.
Не прощаюсь, выводов тоже не делаю. И да, Игорь Войтенко здесь не при чем.
Последнее редактирование:
