Перейти к содержимому


Фото
- - - - -

Новый метод/способ шифрования?


  • Please log in to reply
9 ответов в этой теме

#1 Lvenok

Lvenok

    Massive Poster

  • Beta Testers
  • 2 082 Сообщений:

Отправлено 26 Май 2020 - 16:57

Собственно прочитал тут [url="https://xakep.ru/2020/05/25/ragnarlocker-vm/?amp
Специалисты компании Sophos обнаружили, что операторы малвари Ragnar Locker используют Oracle VirtualBox и виртуальные машины с Windows XP, чтобы скрыть свое присутствие в зараженной системе и запустить вымогателя в «безопасной» среде, недоступной для локального антивирусного ПО.
...
Вымогатель Ragnar Locker использует виртуальные машины для сокрытия своих действий.

Вместо того, чтобы запускать малварь непосредственно на самом компьютере, который нужно зашифровать, хакеры загружают и устанавливают Oracle VirtualBox. Затем злоумышленники настраивают виртуальную машину таким образом, чтобы предоставить ей полный доступ ко всем локальным и общим дискам, а также позволяя взаимодействовать с файлами, расположенными вне ее собственного хранилища.

В итоге на зараженной машине осуществляется загрузка виртуальной машины с урезанной версией Windows XP SP3, которая называется MicroXP v0.82. Затем внутри ВМ загружается и запускается и сам Ragnar Locker. Исследователи отмечают, что в итоге полезная нагрузка атаки — это установщик объемом 122 Мб и виртуальный образ, размером 282 Мб. И все это для сокрытия исполняемого файла малвари размером 49 Кб. ­

Так как вымогатель и его процесс vrun.exe работают внутри виртуальной машины, антивирусное ПО оказывается не в силах его обнаружить. С точки зрения антивируса, файлы в локальной системе и на общих дисках внезапно заменяются зашифрованными версиями, но все модификации исходят от легитимного процесса VboxHeadless.exe, то есть за все это ответственно приложение VirtualBox.

­Эксперты Sophos отмечают, что впервые видят шифровальщика, который использует виртуальные машины.
«В последние несколько месяцев мы наблюдали развитие вымогателей по нескольким направлениям. Но операторы Ragnar Locker выводят вымогатели на новый уровень и мыслят крайне нестандартно», — пишут специалисты.

Сообщение было изменено Lvenok: 26 Май 2020 - 17:01


#2 VVS

VVS

    The Master

  • Moderators
  • 17 793 Сообщений:

Отправлено 26 Май 2020 - 17:21

Во первых, я хренею... O_o :o 

А, во вторых, превентивка оценивает не только легитимность процесса, но и легитимность действий.


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#3 Kirill Polubelov

Kirill Polubelov

    Forth Thinker

  • Dr.Web Staff
  • 3 617 Сообщений:

Отправлено 26 Май 2020 - 19:25

Вот это поворот! ©


(exit 0)


#4 IlyaS

IlyaS

    Massive Poster

  • Posters
  • 2 890 Сообщений:

Отправлено 26 Май 2020 - 23:02

WSL/docker locker as next big thing?

#5 SergSG

SergSG

    The Master

  • Posters
  • 12 941 Сообщений:

Отправлено 27 Май 2020 - 09:44

А, во вторых, превентивка оценивает не только легитимность процесса, но и легитимность действий.

А вот хз какие действия тут АВ смогут увидеть.

Необходимость скачать и установить 400 МБ впечатляет, но вряд ли это будет большой проблемой.



#6 riaman

riaman

    Member

  • Posters
  • 206 Сообщений:

Отправлено 30 Май 2020 - 19:42

...хакеры загружают и устанавливают Oracle VirtualBox.

 

 

А вот тут работают "старые" методы: чтобы загрузить и установить программу, надо уже иметь доступ к компьютеру.



#7 B.Chugunov

B.Chugunov

    Member

  • Dr.Web Staff
  • 381 Сообщений:

Отправлено 31 Май 2020 - 19:43

Если у хакера уже есть доступ на загрузку, исполнение и установку сопутствующего ПО в систему, то это какой-то велосипед получается. 

С тем же успехом ставится архиватор и файлы загоняются в архив с паролем. Зачем здесь такая сложная схема, вообще не понятно. 

На самом деле если хакер уже получил доступ к системе, в 99% случаев антивирус не спасет.

Встречаются случаи, когда ломают RDP и дальше начинаются танцы с бубнами. Первым делом грузят целый зоопарк куда-нибудь на рабочий стол и начинают запускать все подряд, авось что-то сработает. Может быть и 10 и 20 и 30 разных экзешников. Часть из которых без сигнатурных детектов. Далее, если Гвард+Превентивка отрабатывают как надо, начинаются тыкаться на отключение агента. Если настройки под паролем\их изменение запрещено админом или включен запрет эмуляции действий пользователя, тыкаются в удаление. Если удалить тоже нет прав, начинают искать другие способы. Создают виртуальные диски и пытаются стартануть оттуда, пытаются создать нового пользователя и стартовать из под него и т.д. 

В конце концов встречаются случаи, когда просто берут все файлы с определенными расширениями или конкретный очевидно важный файл( обычно базу данных 1С) и пакуют в архив с паролем. Никакие вирусы не нужны.

Так же бывают случаи, когда файлы заливают к себе на сервер, а с атакуемой машины файлы либо полностью трут, либо оставляют файлы пустышки. Имя есть, но вся структура забита нулевыми байтами. Оставляют только файл с требованиями и делай что хочешь. Никакая превентивка тут уже не поможет. Не защитил RDP - считай, что система обречена. 

 

В этой плоскости использование виртуалки конечно интересно, но не понятна практическая необходимость в таком решении. Есть огромное кол-во других, более простых способов зашифровать, либо так или иначе лишить вас ваших файлов. 


-----------------
best regards,
Technical support department, Doctor Web, Ltd.

#8 SergSG

SergSG

    The Master

  • Posters
  • 12 941 Сообщений:

Отправлено 01 Июнь 2020 - 20:55

Если у хакера уже есть доступ на загрузку, исполнение и установку сопутствующего ПО в систему, то это какой-то велосипед получается. 

А если доступа нет? Почему бы не впарить юзеру "свою" виртуалку под видом чего нибудь легального?


Сообщение было изменено SergSG: 01 Июнь 2020 - 20:58


#9 Victor_koly

Victor_koly

    Member

  • Posters
  • 308 Сообщений:

Отправлено 14 Июнь 2020 - 20:33

чтобы предоставить ей полный доступ ко всем локальным и общим дискам

 

И наличие в системе такой запущенной виртуалки конечно пользователь не увидит?



#10 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 4 406 Сообщений:

Отправлено 15 Июнь 2020 - 10:01

чтобы предоставить ей полный доступ ко всем локальным и общим дискам

И наличие в системе такой запущенной виртуалки конечно пользователь не увидит?

Большинство, скорее всего, не заметит. По крайней мере вовремя.


Семь раз отрежь – один раз проверь


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых