Cómo fortiedr protege contra Spook Ransomware

Consulta técnica sobre FortiEDR

 

Introducción

 

Spook ransomware es la variante de ransomware Prometheus actualmente empleada por el grupo de ransomware Spook. El grupo comenzó a operar a fines de septiembre de 2021 y ha realizado una serie de compromisos a gran escala en todo el mundo. Al igual que otros grupos de ransomware, Spook realiza una ‘doble extorsión’ al ofrecer a la venta datos robados si la víctima no paga el ransomware, además de cifrar los archivos de la víctima.

 

La mayoría de las variantes de ransomware cifran sigilosamente los archivos del sistema infectado para evitar la detección temprana. En estos casos, la víctima solo notará que ya está infectada cuando un usuario identifique una nota de rescate o cuando intente acceder a un archivo, y es inaccesible debido al cifrado. Spook ransomware es un poco diferente. Muestra una ventana de consola mientras cifra los archivos de la víctima y advierte al usuario que no la cierre.

 

Spook ransomware cambia el nombre del archivo infectado agregando una cadena aleatoria, «PUUEQS8AEJ», al nombre del archivo. Durante el cifrado, el ransomware suelta dos versiones de la nota de rescate (hta y txt), donde la única diferencia es que la versión hta tiene un ícono gráfico y una cadena «Spook» con una fuente más grande.

 

Además, para que el proceso de encriptación funcione sin problemas, el ransomware fuerza la finalización de los procesos que pueden inhibir su funcionamiento. También deshabilita algunos servicios que pueden tener un identificador abierto para algunos archivos de datos.

 

En este artículo, profundizaremos en el comportamiento del ransomware y veremos cómo FortiEDR protege los endpoints del ransomware Spook.

 

Ejecución inicial

 

Spook ransomware es un ejecutable .NET. Para el análisis a continuación, numerosas muestras de Spook se analizaron dinámicamente en un entorno de laboratorio ejecutándose directamente a través de la GUI de Windows en el contexto del usuario.

 

Cuando se ejecuta, el ransomware Spook crea una ventana de consola con el título “Esta ventana de consola se cerrará sola. NO LO CIERRE MANUALMENTE O SE FINALIZARÁ TODO EL PROCESO”. A medida que se ejecuta la muestra de ransomware, la consola muestra el nombre de los archivos que se cifran, incluido el tiempo transcurrido durante el proceso de cifrado.

 

Figura 1 . Muestra de las ventanas de la consola Spook que se muestra durante el cifrado.

 

Según la versión, el ransomware Spook agrega la cadena aleatoria «PUUEQS8AEJ» o «NMU7PHR3V5» al nombre del archivo cifrado. Un ejemplo de un nuevo nombre de archivo es «RecordedTV.library-ms.PUUEQS8AEJ» o «RecordedTV.library-ms. NMU7PHR3V5”, mientras que a continuación se muestra una muestra del contenido de un archivo cifrado:

Figura 2 . contenido del archivo encriptado “RecordedTV.library-ms.PUUEQS8AEJ”

 

Modificación del Registro

 

El ransomware modifica dos claves de registro, «legalnoticecaption» y «legalnoticetext». Estas claves de registro hacen que el texto se muestre como notificaciones que aparecen después de reiniciar un sistema comprometido y notifican al usuario que el sistema está infectado por el ransomware Spook.

 

La clave de registro «legalnoticecaption» (ruta completa «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemlegalnoticecaption») se establece en «SU EMPRESA FUE HACKEADA Y COMPROMETIDA!!!». La clave de registro «legalnoticetext ” (ruta completa «HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemlegalnoticetext») se establece en «¡Todos sus archivos importantes han sido cifrados! ¡Tus archivos están seguros! Solo modificado.(AES) Ningún software disponible en Internet puede ayudarte. Somos los únicos capaces de descifrar sus archivos. Hemos DESCARGADO sus datos PRIVADOS SENSIBLES”.

Artículos relacionados  Cómo obtener registros del sistema de fortiedr

 

El «título de aviso legal» y el «texto de aviso legal» se utilizan para mostrar un mensaje durante el inicio de Windows. La Figura 4 muestra la notificación con el título definido bajo la tecla ‘legalnoticecaption’ que se muestra después de que se realiza la infección de todo el sistema, mientras que la Figura 5 muestra la pantalla que se muestra cuando el usuario reinicia una máquina infectada, antes de iniciar sesión.

 

Figura 3 . Spook sample modificó los valores de registro para las claves de registro «legalnoticecaption» y «legalnoticetext» para mostrar una nota de rescate al arrancar.

 

Figura 4 . La notificación se muestra una vez que se realiza la infección de todo el sistema.

 

Figura 5 . Mensaje que se muestra cuando se reinicia un sistema infectado.

 

Eliminación de instantáneas

 

Además de cifrar los archivos en el host comprometido, el ransomware Spook también intenta eliminar las instantáneas de volumen. La eliminación se realiza ejecutando los siguientes comandos de PowerShell “Get-WmiObject Win32_Shadowcopy | ParaCada-Objeto { $_Delete(); }”. El ransomware como Spook a menudo está diseñado para eliminar instantáneas de volumen para evitar que se usen para restaurar archivos cifrados.

 

Esta ejecución de script de PowerShell desencadena 2 eventos en FortiEDR como se muestra en las siguientes secciones:

 

Acceso al servicio

 

Se activa un evento de acceso al servicio en FortiEDR cuando el ransomware spook usa un comando de PowerShell «Get-WmiObject» para acceder al servicio WMI.

 

 

Figura 6 . La regla de acceso al servicio de WMI se activa cuando se usa un comando de PowerShell «Get-WmiObject», en este caso para recuperar objetos win32_ShadowCopy.

 

Intento de eliminación de archivos

 

El evento File Delete Attempt se activa en FortiEDR cuando spook ransomware elimina un archivo temporal, en este caso, el archivo temporal es «__PSScriptPolicyTest_hc1qmay3.tm2.ps1», que se genera cuando se usa PowerShell para intentar eliminar las instantáneas de volumen.

 

Figura 7 . Evento de intento de eliminación de archivos activado en FortiEDR

 

Nota de rescate

 

Spook ransomware lanza dos versiones de la nota de rescate. Uno como archivo hta y el otro como archivo txt, como se muestra a continuación en las Figuras 8 y 9. El contenido de ambos archivos de notas de rescate es similar, excepto que el archivo hta contiene el logotipo del ransomware Spook.

 

Figura 8 . versión hta de la nota de rescate, tenga en cuenta la inclusión del logotipo reconocible de Spook

 

Figura 9 . versión txt de la nota de rescate

 

Evento de creación de archivos

 

FortiEDR detecta la creación de la versión txt de la nota de rescate, RESTORE_FILES_INFO.txt, como se muestra a continuación. Debido a la naturaleza sospechosa del ejecutable ‘spook.exe’. Casi todas las acciones realizadas por el proceso asociado se marcarán como maliciosas. Esto se puede ver en la Figura 8 a continuación, donde podemos ver que FortiEDR ha marcado spook.exe como ‘Ejecutable no confirmado’ y ‘Archivo malicioso detectado’. El indicador ‘Ejecutable no confirmado’ indica que FortiEDR no ha podido confirmar que el archivo es legítimo y el archivo contiene datos en archivos que el sistema operativo no aplica. El indicador ‘Archivo malicioso detectado’ indica que este archivo tiene indicadores maliciosos. En combinación,

Artículos relacionados  Cómo actualizar fortiedr On-Prem

 

Figura 10 . Creación de la versión txt de la nota de rescate detectada por FortiEDR

 

Intento de lectura de archivo

 

Cuando el malware muestra la versión hta de la nota de rescate, desencadena un evento de intento de lectura de archivo en FortiEDR, como se muestra en la siguiente figura:

 

Contenido…

 

Figura 11 . Evento de intento de lectura de archivo al mostrar la versión hta de la nota de rescate.

 

Procesos de Terminación

 

La mayoría del malware prefiere finalizar procesos dentro de categorías específicas, como aplicaciones de seguridad, software antimalware, herramientas de análisis de malware o aplicaciones de monitoreo del sistema. Para spook ransomware, tiene una lista de procesos que intenta terminar que parece de naturaleza aleatoria. Intenta finalizar procesos relacionados con aplicaciones de bases de datos (mysqld.exe, sqlservr.exe, sqlbrowser.exe y sqlagent.exe), aplicaciones de MS Office (excel.exe, powerpnt.exe y winword.exe), aplicaciones de navegador (firefoxconfig .exe y tbirdconfig.exe) y otras aplicaciones. A continuación se incluye una lista completa de aplicaciones.

 

La razón más probable por la que el ransomware Spook intenta terminar estos procesos es poder cifrar los archivos de datos controlados por dichas aplicaciones. También es notable que Spook ransomware nunca verifica si alguno de dichos procesos se está ejecutando. Simplemente ejecuta el comando «taskkill.exe /IM <aplicación> /F» donde está cualquier <aplicación> de la lista, y el parámetro «/IM» es para especificar el nombre de la imagen del proceso a terminar, y «/ F” para forzar la terminación.

 

Figura 12 . Lista de procesos terminados pero que asustan al ransomware antes del cifrado

 

Figura 13 . Lista de procesos para la terminación (en el depurador) como se muestra en la muestra Spook analizada.

 

Al usar la función Threat Hunting en FortiEDR, podemos buscar eventos que muestren el intento del ransomware de finalizar estos procesos emitiendo la consulta a continuación.

Type: ("Process Creation") AND Target.Process.Name: ("taskkill.exe") AND Target.Process.CommandLine: ("/IM" , "/F") AND Source.Process.File.Type: (".NET Executable") AND Source.Process.File.Reputation: ("ReputationMalware")

 

Figura 14 . Los eventos de Threat Hunting muestran que la muestra de Spook intenta eliminar una serie de procesos antes del cifrado.

 

Servicios de inhabilitación

 

Spook ransomware también deshabilita algunos servicios que pueden evitar el cifrado de algunos archivos de datos relacionados. La mayoría de los servicios deshabilitados están relacionados con la base de datos SQL (SQLWriter, SstpSvc, SQLTELEMETRY$ECWDB2 y SQLTELEMETRY). También deshabilita SstpSvc (Servicio de protocolo de túnel de socket seguro) que brinda soporte a SSTP para conectarse a computadoras remotas mediante VPN.

 

Usando la consulta de Threat Hunting a continuación, podemos identificar la desactivación de los servicios mencionados:

Behavior: ("Persistence") AND Type: ("Process Creation") AND Target.Process.Name: ("sc.exe") AND Target.Process.CommandLine: ("config","start= disabled") AND Source.Process.File.Type: (".NET Executable")

 

Figura 15 . Eventos de Threat Hunting que muestran los servicios deshabilitados por Spook ransomware

 

Caza de amenazas

 

Para buscar las claves de registro “legalnoticecaption” y “legalnoticetext” modificadas:

Type: ("Value Set") AND Registry.Name: ("legalnoticecaption") AND Registry.Data: ("YOUR COMPANY WAS HACKED AND COMPROMISED!!!") AND Registry.Path: ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System")
Type: ("Value Set") AND Registry.Name: ("legalnoticetext") AND Registry.Data: ("All your important files have been encrypted! Your files are safe! Only modified.(AES) No software available on internet can help you. We are the only ones able to decrypt your files. We has DOWNLOADED of your PRIVATE SENSITIVE Data!!!") AND Registry.Path: ("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System")

 

Artículos relacionados  Problema de rendimiento con respecto al bloqueo del sistema para fortiedr

Para buscar archivos cifrados según las extensiones de archivo agregadas:

Type: ("File Create") AND Target.File.Ext: ("PUUEQS8AEJ" OR "NMU7PHR3V5")  AND Source.Process.File.Type: (".NET Executable") AND Source.Process.File.Reputation: ("ReputationMalware")

 

Para buscar la versión hta de la nota de rescate:

Type: ("File Create") AND Target.File.Name: ("RESTORE_FILES_INFO.hta") AND Source.Process.File.Type: (".NET Executable") AND Source.Process.File.Reputation: ("ReputationMalware")

 

Para buscar la versión txt de la nota de rescate:

Type: ("File Create") AND Target.File.Name: ("RESTORE_FILES_INFO.txt")  AND Source.Process.File.Type: (".NET Executable") AND Source.Process.File.Reputation: ("ReputationMalware")

 

Para buscar la versión hta de la nota de rescate abierta por mshta:

Type: ("File Read") AND Source.Process.Name: ("mshta.exe") AND Target.File.Name: ("RESTORE_FILES_INFO.hta")

 

Para buscar la ejecución de PowerShell que intenta eliminar las instantáneas:

Behavior: ("Log deletion") AND Type: ("File Delete") AND Source.Process.Name: ("powershell.exe") AND Target.File.Name: ("*.tm2.ps1") AND Source.Process.CommandLine: ("& Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }") 

 

Para buscar invocar el proceso de PowerShell para ejecutar un script malicioso:

Behavior: ("Scripting") AND Type: ("Process Creation") AND Target.Process.Name: ("powershell.exe") AND Target.Process.CommandLine: ("& Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_Delete(); }") 

 

Para buscar la lista de procesos que el ransomware intenta terminar:

Type: ("Process Creation") AND Target.Process.Name: ("taskkill.exe") AND Target.Process.CommandLine: ("/IM" , "/F") AND Source.Process.File.Type: (".NET Executable")

 

Para buscar servicios deshabilitados por Spook ransomware:

Behavior: ("Persistence") AND Type: ("Process Creation") AND Target.Process.Name: ("sc.exe") AND Target.Process.CommandLine: ("config","start= disabled") AND Source.Process.File.Type: (".NET Executable")

 

MITRE ATT&CK

 

TA0005 – Evasión de defensa

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1112Modificar registroSpook ransomware modifica los valores de registro bajo las claves de registro «legalnoticetext» y «legalnoticecaption» para mostrar notas de rescate después de reiniciar

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1562.001Debilitar defensas: deshabilitar o modificar herramientasEl ransomware Spook usa taskkill.exe para finalizar los procesos en los puntos finales afectados antes de iniciar el proceso de encriptación.

 

T1059 – Ejecución

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1059.001Intérprete de comandos y secuencias de comandos: PowerShellSpook ransomware utiliza comandos de PowerShell para eliminar las instantáneas de volumen.

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1047Instrumentación de Administración WindowsSpook ransomware usa el comando de PowerShell «Get-WmiObject» para acceder al servicio WMI para identificar y luego eliminar las instantáneas de volumen

 

TA0040 – Impacto

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1486Datos cifrados para impactoSpook ransomware cifra los archivos en el sistema infectado.

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1490Inhibir la recuperación del sistemaEl ransomware Spook intenta eliminar las instantáneas ejecutando el script de PowerShell “Get-WmiObject Win32_Shadowcopy | ParaCada-Objeto { $_Delete(); }”

 

Identificación de la técnicaDescripción de la técnicaActividad observada
T1489Parada de servicioEl ransomware Spook deshabilita los servicios para permitir que el proceso de cifrado cifre de manera más efectiva los archivos clave en los puntos finales afectados.

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *