HermeticWiper leírás

Felfedezés dátuma

2022.02.25.

Súlyosság

Magas

Összefoglaló

02.03.-án Symantec és az ESET biztonsági cégek kutatói jelentették be, hogy ukrán kormányzati szerverek elleni kibertámadás során új kártevőt azonosítottak. A malware Windows alapú eszközök ellen készült, célja az MBR (Master Boot Record) szektor tönkretételével megakadályozza az adott eszköz elindulását.

Leírás

Az új kártevőt HermeticWiper-nek nevezték el, mivel a minta digitális tanúsítvánnyal rendelkezik (1. ábra). A digitális tanúsítvány a Hermetica Digital Lt’ nevében készült és 2021. áprilistól él. Ilyen aláírással rendelkező, legitim fájlok ezidéig nem kerültek beazonosításra. Vélhetően a digitális tanúsítvány kiadásához egy már megszűnt, vagy fedőcéget használtak fel.

HermeticWiper
1. ábra A kértevő által használt digitális tanúsítvány

A HermeticWiper egy egyedileg írt alkalmazásnak tűnik, amely kevés szabványos funkcióval bír. A rosszindulatú program mindössze 114 KB méretű. A fejlesztők egy korábban bevált technikát használnak fel. A kártevő egy alapvetően használt partíciókezelő meghajtó segítségével (empntdrv.sys) hajtják végre a támadást. A módszer előnye, hogy WindowsAPi nélkül közvetlen felhasználói hozzáférést szerezhetnek.

Korábban a Lazarus Group és az APT33 csoportok használtak hasonló támadási módszert.

A HermeticWiper különböző meghajtókhoz tartozó driver-eket tartalmaz. A malware az operációs rendszer függvényében telepíti a szükséges összetevőt. A folyamat során az EaseUS illesztőprogramot felhasználva érik el a fizikai meghajtókat, valamint szerzik meg az egyes partíciókhoz tartozó információkat.

A HermeticWiper többször egymás után megszámolja az elérhető fizikai meghajtókat. A rosszindulatú program ezután az első 512 bájt, azaz a Master Boot Record (MBR) megrongálására összpontosít minden fizikai meghajtónál. Noha ennek elegendőnek kell lennie ahhoz, hogy az eszköz ne induljon újra, a HermeticWiper folytatja az összes lehetséges meghajtó partícióinak ismételt felsorolását.
Ezután különbséget tesz a FAT és NTFS partíciók között. NTFS partíció esetén elemzi az MFT-t (Master File Table) mielőtt újra meghívná a függvényt, amely segítségével megrongálja azt.

A végrehajtás során több registry bejegyzést is módosít.

Az elemzés szerint a HermeticWiper több, általánosan alkalmazott mappát is feltérképez(My Documents, Desktop, AppData), hivatkozik a rendszerleíró adatbázisra (ntuser) és a Windows eseménynaplóira (C:\Windows” \System32\winevt\Logs). Ennek a funkciónak a pontos mibenléte jelenleg nem ismert, mivel rendszer eddigre már működésképtelenné vált.

Végül a rosszindulatú program megvárja az alvó szálak végrehajtását, mielőtt elindítja a rendszer leállítását, véglegesítve a hatást.

Megoldás

  • Az operációs rendszeren és a telepített alkalmazásokon és vírusvédelmi eszközökön mindig telepítse a legújabb frissítéseket!
  • Legyen elővigyázatos a gyanús csatolmányt tartalmazó e-mailekkel szemben, azokat lehetőség szerint ne nyissa meg. Az ismeretlen fájlokat és gyanús e-mail csatolmányokat ellenőrizheti a Virustotal oldalra feltöltve!
  • Határvédelmi rendszerek szoftvereinek naprakészen tartása, határvédelmi eszközök feketelistájának frissítése (több gyártó rendelkezik nyilvánosan elérhető listákkal pl.: Cisco), ezáltal csökkentve a támadás kockázatát!

Hivatkozások

Egyéb referencia: www.sentinelone.com
Egyéb referencia: blog.cyble.com

Indikátorok

  • Win32 EXE
    • sha1: 912342f1c840a42f6b74132f8a7c4ffe7d40fb77
  • Win32 EXE
    • sha1: 61b25d11392172e587d8da3045812a66c3385451
  • RCDATA_DRV_X64
    • sha1: a952e288a1ead66490b3275a807f52e5
  • RCDATA_DRV_X86
    • sha1: 231b3385ac17e41c5bb1b1fcb59599c4
  • RCDATA_DRV_XP_X64
    • sha1: 095a1678021b034903c85dd5acb447ad
  • RCDATA_DRV_XP_X86
    • sha1: eb845b7a16ed82bd248e395d9852f467