HermeticWiper มัลแวร์ทำลายล้างแบบใหม่ที่ใช้ในการโจมตีทางไซเบอร์ในยูเครน

เมื่อวันที่ 23 กุมภาพันธ์ เพื่อนของเราที่ Symantec และการวิจัยของ ESET ได้ทวีตแฮชที่เกี่ยวข้องกับการโจมตีแบบ Wiper ในยูเครน รวมถึงแฮชที่ไม่เปิดเผยต่อสาธารณะในขณะที่เขียนบทความนี้

เราเริ่มวิเคราะห์มัลแวร์ Wiper ตัวใหม่นี้ โดยเรียกมันว่า ‘HermeticWiper’ โดยอ้างอิงถึงใบรับรองดิจิทัลที่ใช้ในการลงนามในตัวอย่าง ใบรับรองดิจิทัลออกภายใต้ชื่อบริษัท ‘Hermetica Digital Ltd’ และมีผลเมื่อเดือนเมษายน 2021 ในขณะนี้ เราไม่พบไฟล์ที่ถูกต้องตามกฎหมายใดๆ ที่ลงนามด้วยใบรับรองนี้ เป็นไปได้ว่าผู้โจมตีใช้บริษัทเชลล์หรือจัดสรรบริษัทที่เลิกใช้แล้วเพื่อออกใบรับรองดิจิทัลนี้

ลายเซ็นดิจิตอล HermeticWiper

นี่เป็นความพยายามขั้นต้นในการวิเคราะห์ตัวอย่างแรกที่มีให้ของ HermeticWiper เราตระหนักดีว่าสถานการณ์ในยูเครนกำลังพัฒนาอย่างรวดเร็ว และหวังว่าเราจะสามารถมีส่วนเล็กๆ ของเราในการวิเคราะห์ร่วมกันได้

บทวิเคราะห์ทางเทคนิค

เมื่อมองแวบแรก HermeticWiper ดูเหมือนจะเป็นแอปพลิเคชันที่เขียนขึ้นเองโดยมีฟังก์ชันมาตรฐานน้อยมาก 

ตัวอย่างมัลแวร์มีขนาด 114KBs และประมาณ 70% ของมัลแวร์นั้นประกอบด้วยทรัพยากร นักพัฒนาซอฟต์แวร์กำลังใช้เทคนิคที่ทดลองและทดสอบแล้วของมัลแวร์ที่ปัดน้ำฝน โดยใช้ไดรเวอร์การจัดการพาร์ติชั่นที่ไม่เป็นพิษเป็นภัย เพื่อดำเนินการส่วนประกอบที่สร้างความเสียหายมากขึ้นของการโจมตี ทั้ง Lazarus Group ( Destover ) และ APT33 ( Shamoon ) ใช้ประโยชน์จาก Eldos Rawdisk เพื่อให้ผู้ใช้เข้าถึงระบบไฟล์ได้โดยตรงโดยไม่ต้องเรียกใช้ Windows API HermeticWiper ใช้เทคนิคที่คล้ายกันโดยใช้ไดรเวอร์อื่นในทางที่ empntdrv.sys.

ทรัพยากร HermeticWiper ที่มีไดรเวอร์ EaseUS Partition Manager

สำเนาของไดรเวอร์เป็นทรัพยากรที่บีบอัดด้วย ms มัลแวร์ปรับใช้หนึ่งในสิ่งเหล่านี้ขึ้นอยู่กับเวอร์ชันของระบบปฏิบัติการ bitness และการเปลี่ยนเส้นทาง SysWow64

การเลือกทรัพยากรไดรเวอร์ EaseUS

ไดรเวอร์ EaseUS ที่ไม่เป็นพิษเป็นภัยถูกนำไปใช้ในทางที่ผิดเพื่อแบ่งเบาภาระงานหนักเมื่อต้องเข้าถึง Physical Drives โดยตรง เช่นเดียวกับการรับข้อมูลพาร์ติชั่น สิ่งนี้เพิ่มความยากในการวิเคราะห์ HermeticWiper เนื่องจากฟังก์ชันการทำงานจำนวนมากถูกเลื่อนออกไปสำหรับการDeviceIoControlโทรด้วย IOCTL เฉพาะ

MBR และพาร์ทิชันเสียหาย

HermeticWiper ระบุช่วงของ Physical Drives หลายครั้งตั้งแต่ 0-100 สำหรับ Physical Drive แต่ละ \\.\EPMNTDRV\ เครื่อง จะเรียกอุปกรณ์สำหรับหมายเลขอุปกรณ์

จากนั้นมัลแวร์จะเน้นที่การทำลาย 512 ไบต์แรก ซึ่งก็คือ Master Boot Record (MBR) สำหรับทุกไดรฟ์ที่มีอยู่จริง แม้ว่านั่นจะเพียงพอแล้วที่อุปกรณ์จะไม่บู๊ตอีก แต่ HermeticWiper จะดำเนินการระบุพาร์ติชั่นสำหรับไดรฟ์ที่เป็นไปได้ทั้งหมด

จากนั้นจะแยกความแตกต่างระหว่างพาร์ติชัน FAT และ NTFS ในกรณีของพาร์ติชั่น FAT มัลแวร์จะเรียก ‘bit fiddler’ ตัวเดียวกันเพื่อทำให้พาร์ติชั่นเสียหาย สำหรับ NTFS HermeticWiper จะแยกวิเคราะห์ตารางไฟล์หลักก่อนที่จะเรียกใช้ฟังก์ชัน bit fiddling เดียวกันนี้อีกครั้ง

MFT parsing and bit fiddling calls

เราอ้างอิงถึงฟังก์ชัน bit fiddling โดยคำนึงถึงความกระชับ เมื่อพิจารณาดูแล้ว เราเห็นการเรียกใช้ Windows API เพื่อรับผู้ให้บริการบริบทการเข้ารหัสและสร้างไบต์แบบสุ่ม มีแนวโน้มว่าสิ่งนี้จะถูกใช้สำหรับการใช้งาน crypto แบบอินไลน์และการเขียนทับไบต์ แต่กลไกนี้ยังไม่ชัดเจนทั้งหมดในขณะนี้

ฟังก์ชันเพิ่มเติมหมายถึงฟิลด์ MFT ที่น่าสนใจ ( $bitmap$logfile) และสตรีม NTFS ( $DATA$I30$INDEX_ALLOCATION) มัลแวร์ยังระบุโฟลเดอร์ทั่วไป (‘My Documents’, ‘Desktop’, ‘AppData’) อ้างอิงถึงรีจิสทรี (‘ntuser’) และบันทึกเหตุการณ์ของ Windows ( "\\\\?\\C:\\Windows\\System32\\winevt\\Logs") การวิเคราะห์ของเรากำลังดำเนินการอย่างต่อเนื่องเพื่อพิจารณาว่ามีการใช้ฟังก์ชันนี้อย่างไร แต่เป็นที่แน่ชัดว่า MBR และพาร์ติชั่นสำหรับไดรฟ์ทั้งหมดเสียหายแล้ว ระบบเหยื่อจะไม่สามารถใช้งานได้จากจุดนี้ของการดำเนินการ

ระหว่างทาง การดำเนินการทางโลกที่มากขึ้นของ HermeticWiper ทำให้เรามี IOCs เพิ่มเติมในการติดตามตรวจสอบ ซึ่งรวมถึงการสร้างโปรแกรมควบคุมที่ถูกละเมิดชั่วคราวและบริการระบบ นอกจากนี้ยังแก้ไขรีจิสตรีคีย์หลายรายการ รวมถึงการตั้งค่าSYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabledคีย์เป็น0ปิดใช้งานการดัมพ์ข้อขัดข้องอย่างมีประสิทธิภาพก่อนเริ่มการทำงานของโปรแกรมควบคุมที่ใช้งานในทางที่ผิด

Disabling CrashDumps via the registry

สุดท้าย มัลแวร์จะรอเธรดที่หลับอยู่ก่อนที่จะเริ่มการปิดระบบ ซึ่งเป็นการสรุปผลการทำลายล้างของมัลแวร์

บทสรุป

หลังจากผ่านไปหนึ่งสัปดาห์ของการทำลายล้างและการโจมตี DDoS ที่เพิ่มขึ้น การแพร่กระจายของการดำเนินการก่อวินาศกรรมผ่านมัลแวร์ Wiper ถือเป็นการยกระดับที่คาดหวังและน่าเสียใจ ในเวลานี้ เรามีช่องว่างเล็ก ๆ น้อย ๆ ในการโจมตีในยูเครนและกระจายไปยังประเทศเพื่อนบ้านและพันธมิตร หากยังมีอุปสรรคต่อสถานการณ์ที่ยากลำบากเช่นนี้ ก็จะเห็นการทำงานร่วมกันแบบเปิดระหว่างทีมวิจัยภัยคุกคามของ Intel นักวิจัยอิสระ และนักข่าวที่ต้องการถ่ายทอดเรื่องราวให้ตรงประเด็น เราขอขอบคุณนักวิจัยที่ Symantec, ESET, Stairwell และ RedCanary รวมถึงคนอื่นๆ ที่มอบตัวอย่าง เวลา และความเชี่ยวชาญ

ที่มา : SentinelLAB

Surakitt Wongsuwan