CLOP ransomware káros kód

Felfedezés dátuma

Súlyosság

Összefoglaló

Első megjelenése 2019. február elejére tehető, akkor még a 2017. óta ismert CryptoMix ransomware család tagjaként tartották számon. 2019. márciusában jelentős változás állt be a működésében, ekkortól kezdte el tiltani különféle vállalati szoftverek működését pl.: MS Exchange, MySQL, MSSQL Server.

Leírás

Első megjelenése 2019. február elejére tehető, akkor még a 2017. óta ismert CryptoMix ransomware család tagjaként tartották számon. 2019. márciusában jelentős változás állt be a működésében, ekkortól kezdte el tiltani különféle vállalati szoftverek működését pl.: MS Exchange, MySQL, MSSQL Server. Ez vélhetően annak köszönhető, hogy a TA505 csoport a CLOP ransomware-t kezdte el használni a kompromittált rendszerek megfertőzésére. Ezzel egyidőben a cél is megváltozott, az egyes számítógépek helyett komplett vállalati rendszereket igyekeztek támadni. A 2019. novemberében megjelent változat a Windows Defender szolgáltatás kikapcsolására tett kísérletet, egy hónappal későbbi variánsa már Win10 alkalmazások folyamatait is le tudta állítani.

Működés

Terjesztése e-mailben küldött MS Word csatolmányok segítségével történik. Érdekesség a ransomnote-ban megjelenő „The final price depends on how fast you write to us.” mondat, azaz a fizetendő váltságdíj mértékét az áldozat kapcsolatfelvételi reakcióidejéhez kötik. Végső határidőként 2 hét van megjelölve, ezután a file-ok és a dekriptáláshoz szükséges kulcsok törlésre kerülnek. A ransomware telepítő file digitális aláírással rendelkezik, ezzel megtévesztheti a felhasználókat, illetve a vírusvédelmi eszközöket is.

A malware bizonyos környezeti változók megléte esetén felfüggeszti a lefutást. Első lépésben meghívja a GetKeyboardLayout funkciót és összehasonlítja néhány előre beállított értékkel. Ha az eredmény nagyobb, mint 0x0437 (grúz), lefut néhány újabb művelet a 0x0419 (orosz) és a 0x082C (azeri) értékekkel. A végső érték ’1’ vagy ’0’ lehet, ’1’-et akkor ad eredményként, ha az Oroszországhoz vagy egyéb ex-FÁK tagállamhoz tartozik. Ezután következik a GetTextCharset érték lekérése, ha az eredmény értéke 0xCC (orosz karakterkészlet) akkor a program TerminateProcess paranccsal megállítja a lefutást és törli önmagát. Ezzel kikerüli az ún. multiszisztémás felhasználókat, akiknél telepítve van ugyan az orosz nyelv, de azt nem aktívan használják. Ez a törlő funkció nem minden esetben működik tökéletesen, előfordulhat, hogy a fenti feltételek teljesülése esetén is aktív marad a malware.

Ezután létrehoz egy új szálat, amely elindítja az összes rendszerfolyamatot. Első lépésként a malware telepítési helyén létrehoz egy Favorite elnevezésű file-t, majd a GetLastError funkcióval lekérdezi az utolsó hibát, ha az érték ’0’, akkor 5 másodpercig vár. Később lefuttatja a EraseTape és a DefineDosDeviceA funkciókat, azonban mindkét hívás esetében hibás paraméterezés miatt hibajelzés lesz az eredmény. A teljes ciklus 666000 alkalommal fut le.

Ezután kísérletet tesz a következő – antimalware termékekhez köthető – folyamatok megkeresésére: SBAMTray.exe; SBPIMSvc.exe; SBAMSvc.exe; VipreAAPSvc.exe; WRSA.exe.

Amennyiben ezek bármelyikét megtalálja, úgy a „Sleep” funkción keresztül kétszer 5 mp-ig várakozik, majd folytatódik a káros kód lefutása. Ha nem észleli a fenti folyamatokat, akkor elindítja a további – XOR metódussal titkosított – összetevők kicsomagolását OFFNESTOP1 néven. A kicsomagolt batch file (clearsystems-11-11.bat) szintén a malware által használt könyvtárba kerül, funkcióját tekintve bizonyos biztonsági folyamatok kikapcsolásáért felel.

Ekkor létrehozásra kerül egy mutex (kizárólagos erőforrás hozzáférést biztosító jelző) Fany—Fany—6-6-6 névvel, majd meghívja a WaitForSingleObject funkciót, ezzel ellenőrzi, hogy a létrehozott mutex a malware példányához illeszkedik-e.

Ezután kezdődhet el a tényleges titkosítási folyamat. A malware két szálat hoz létre. Az első felsorolja az összes rendszerfolyamatot, az egyes folyamatokhoz különböző hash értékeket rendel, majd ezt összehasonlítja egy előre meghatározott adatbázissal, amelyben többek között különböző Office programokhoz, adatbázis kezelőkhöz köthető folyamatok vannak listázva. A megtalált egyezésekhez tartozó folyamatokat a TerminateProcess funkcióval leállítja. A legújabb CLOP variáns már 663 különböző Windows folyamatot képes lezárni.

Ez a szál végtelen hurokban újra és újra lefut, 30 perces várakozási időt tartva ciklusonként.

Ezzel egyidőben a második szál feltérképezi az összes elérhető hálózati megosztást és titkosítja az ott található file-okat is. A folyamathoz a MPR.DLL-hez kapcsolódó API funkciókat használja (WNetOpenEnumW, WNetEnumResourceW, WNetCloseEnum), az információ elérhetőségének biztosítása érdekében a memória egy részét folyamatosan fenntartja (GlobalAlloc) a fenti funkciók számára. A felfedett mappák neveit a – a futó folyamatok feltérképezésére és leállítására használt módszerrel azonos módon – hash formába alakítja és összeveti egy előre meghatározott adatbázissal.

A megtalált file-ok esetében is hasonló módon jár el, azonban ebben az esetben az előre meghatározott lista (ClopReadMe.txt, ntldr, NTDLR, boot.ini, BOOT.INI, ntuser.ini, NTUSER.INI, AUTOEXEC.BAT, autoexec.bat, .Clop, NTDETECT.COM, ntdetect.com, .dll, .DLL, .exe, .EXE, .sys, .SYS, .ocx, .OCX, .LNK, .lnk, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, ntuser.dat.log, thumbs.db, DESKTOP.INI, AUTORUN.INF, NTUSER.DAT, ICONCACHE.DB, BOOTSECT.BAK, NTUSER.DATA.LOG, THUMBS.DB) nem hash formátumban, hanem egyszerű szövegként van tárolva.

Ezt követően egy előre meghatározott kulcs segítségével egy újabb szálat hoz létre a file nevével és elérési útvonalával, hogy elkerülhesse a hiba párbeszédpanel felhasználó számra történő megjelenését, majd a file-hoz tartozó attribútumokat archive-ra változtatja (SetFileAttributesW). Az egyes file-okat véletlenszerűen generált AES kulccsal titkosítja, majd ezt a kulcsot egy előre beépített RSA kulccsal ismételten titkosítja. Ezután fűzi hozzá a titkosított állomány nevéhez a ’Clop’ kiterjesztést, a titkosított állományt tartalmazó könyvtárba elhelyezi a ’ransom note’ file-t.

Az újabb verziókban jellemzően a clearsystems-11-11.bat file tartalma, a XOR titkosítókulcs, a mutex az előre beállított publikus kulcs, a ransomnote, illetve a hozzáadott kiterjesztés (.CIop vagy .Clop helyett Cl0p) került megváltoztatásra.

A WINDOWS XP operációs rendszerben a malware nem tud megfelelő módon lefutni. Fontos különbség más ransomware-ekhez képest, hogy a CLOP csak fizikailag csatlakoztatott meghajtókon fertőz, a ’remote’ típusú meghajtókat figyelmen kívül hagyja.

Titkosított filetípusok:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .qbw, .qbb, .qbm, .qbi, .qbr , .cnt, .des, .v30, .qbo, .ini, .lgb, .qwc, .qbp, .aif, .qba, .tlg, .qbx, .qby , .1pa, .qpd, .txt, .set, .iif, .nd, .rtp, .tlg, .wav, .qsm, .qss, .qst, .fx0, .fx1, .mx0, .fpx, .fxr, .fim, .ptb, .ai, .pfb, .cgn, .vsd, .cdr, .cmx, .cpt, .csl, .cur, .des, .dsf, .ds4, , .drw, .eps, .ps, .prn, .gif, .pcd, .pct, .pcx, .plt, .rif, .svg, .swf, .tga, .tiff, .psp, .ttf, .wpd, .wpg, .wi, .raw, .wmf, .txt, .cal, .cpx, .shw, .clk, .cdx, .cdt, .fpx, .fmv, .img, .gem, .xcf, .pic, .mac, .met, .pp4, .pp5, .ppf, .nap, .pat, .ps, .prn, .sct, .vsd, .wk3, .wk4, .xpm, .zip, .rar.

Megoldás

A zsarolóvírus támadás kockázatának csökkentése érdekében az NBSZ NKI az alábbi intézkedéseket javasolja:

• Nyitott portok felülvizsgálata, a szükségtelen portok bezárása, a szükséges portok fokozott felügyelete, naplózása.
• A gyakori portok internet irányából történő elérésének korlátozása (megadott IP címekről, bizonyos felhasználók számára).
• Üzemeltetéshez használt portok (SSH, RDP, Telnet, LDAP, NTP, SMB, stb.) külső hálózatból történő elérésének tiltása, üzemeltetési feladatok ellátásához javasolt a rendszerek VPN kapcsolaton keresztül történő elérése.
• Az összes URL- és IP-alapú IoC blokkolása a tűzfalon, az IDS-en, a web-átjáróknál, az útválasztóknál.
• Határvédelmi rendszerek szoftvereinek naprakészen tartása.
• Határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát.
• Az operációs rendszerek és a telepített alkalmazások legújabb frissítéseinek telepítése.
• Az alkalmazott vírusvédelmi eszköz legújabb frissítéseinek telepítése.
• Az ismeretlen file-ok és gyanús e-mail csatolmányok ellenőrzése (pl. a Virustotal oldal segítségével).
• A szükségtelen felhasználók felfüggesztése, a távoli eléréssel rendelkező felhasználók szükséges mértékre történő csökkentése, felhasználók jogosultságainak időszakos felülvizsgálata.
• Jelszavak kötelező periodikus cseréje, a hálózatok jelszóházirendjének szigorítása.
• Rendszeres online és offline (szalagos egység, külső merevlemez) biztonsági mentés, archiválás készítése (javasolt a 3-2-1 elven megvalósított biztonsági adatmentés: 3 mentés – 2 különböző tárolón – 1 offline mentés használatával).

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

• Az érintett eszköz hálózatról történő leválasztását.
• Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
• Incidens bejelentését az NBSZ NKI részére.

Támadás típusa

Hatás

Hivatkozások

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/
https://www.enigmasoftware.com/clopransomware-removal/
https://www.bleepingcomputer.com/news/security/clop-ransomware-now-kills-windows-10-apps-and-3rd-party-tools/
https://www.bleepingcomputer.com/news/security/cryptomix-clop-ransomware-says-its-targeting-networks-not-computers/
https://success.trendmicro.com/solution/000151740-CLOP-Ransomware-Information

Indikátorok

A CLOP ransomware-hez köthető IoC lista itt érhető el.