KillMBR.Corn_A

Felfedezés dátuma

2020.04.07.

Súlyosság

Közepes

Összefoglaló

Az új koronavírus járványhoz kapcsolódóan újabb kiberfenyegetést azonosított a SonicWall biztonsági csapata. Az új támadás célja ezúttal kifejezetten a károkozás, mivel az újonnan felfedezett malware a számítógép Master Boot Record-ját (MBR) támadja. Az MBR egy speciális partíciós szektor a merevlemezen, amely jellemzően az első lemezfelület első sávjának első szektorán található. Rendeltetése, hogy tartalmazza a betöltő- vagy rendszerindító kódot, illetve a partíciós táblát, amely a merevlemez-partíciók elhelyezkedési adatait tárolja. Az MBR hiánya esetén a még sértetlen operációs rendszer sem indítható el, így sem maga az operációs rendszer, sem a telepített programok nem használhatóak, azonban a merevlemezen tárolt adatok biztonságban vannak.

Leírás

A most felfedezett kártevő az ismert, és gyakran alkalmazott módszerek segítségével (pl.: e-mail csatolmányban, fájl letöltéssel) terjed. A fertőzés első lépéseként a malware több fájlt is letölt egy ideiglenes könyvtárba.

 A következő lépések a “coronavirus.bat” fájlban található parancsok szerint alakulnak, amelyek során létrehozásra kerül egy rejtett “COVID-19” elnevezésű mappa, ahova a program átmozgatja az összes letöltött segédfájlt.

 

Ezután a féreg letiltja a Windows feladatkezelőt, a felhasználói hozzáférés vezénylést (User Access Control – UAC), megváltoztatja a beállított háttérképet, majd ezt a funkciót is letiltja. Végül módosítja a Registry-t, hogy a saját működését biztosítani tudja.

Ekkor egy felugró ablakban tájékoztatja a felhasználót a fertőzés tényéről, majd újraindítja a számítógépet.

 

Újraindítást követően a run.exe fájl létrehoz egy run.bat fájlt, hogy a korábbi Registry módosítások megőrzését elősegítse, miközben lefut a mainWindow.exe fájl. A mainWindow.exe lefutása után egy, a koronavírust ábrázoló ablak ugrik fel, amelyen két gomb található, azonban ebből csak a “Help” funkcionál.

Az Update.VBS file egyetlen funkciója, hogy az alábbi üzenetet megjelenítse a felhasználó számára (updateVBS.png):

Az újraindítást követően lefutó másik file, az end.exe, amely az MBR felülírásáért felelős. Az eredeti MBR-ről egy biztonsági másolatot készít, illetve a második szektorban elhelyez egy szöveget („Created by Angel Castillo. Your Computer Has Been Trashed”), amely minden újraindítást követően megjelenik, miközben az operációs rendszer már nem indítható.

Az MBR helyreállítása ugyan technikailag lehetséges, de ennek végrehajtása meghaladja az átlagos felhasználók ismeretszintjét. Jó hír azonban, hogy az MBR helyreállítása nélkül is hozzáférhetőek maradnak az adatok, ehhez csupán egy másik számítógép segítségével kell felcsatolni az érintett merevlemezt.

Megoldás

Eltávolítás:

A malware eltávolításához a legegyszerűbb módszer egy batch file készítése és admin-ként való futtatása. Az alábbi megoldás segítségével valamennyi módosítás, illetve letöltött file eltávolítható.

Feladatkezelő engedélyezése:

REG ADD HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v disabletaskmgr /t REG_DWORD /d 0 /f

Értesítések engedélyezése, ha egy program változtatásokat hajt végre a számítógépen.

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 1 /f

A malware által beállított háttérkép törlése registryből:

REG DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v wallpaper /f

Háttérkép változtatás engedélyezése:

REG ADD HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesActiveDesktop /v NoChangingWallPaper /t REG_DWORD /d 0 /f

Kurzor alaphelyzetbe állítása:

REM REG ADD “HKCUControl PanelCursors” /v Arrow /t REG_SZ /d %SystemRoot%cursorsaero_arrow.cur /f REM REG ADD “HKCUControl PanelCursors” /v AppStarting /t REG_SZ /d %SystemRoot%cursorsaero_working.ani /f REM REG ADD “HKCUControl PanelCursors” /v Hand /t REG_SZ /d %SystemRoot%cursorsaero_link.cur /f

Káros összetevők eltávolítása (32-bit):

REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v CheckForUpdates /f REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v explorer.exe /f REG DELETE HKLMsoftwareMicrosoftWindowsCurrentVersionRun /v GoodbyePC! /f

Káros összetevők eltávolítása (64-bit):

REG DELETE HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v CheckForUpdates /f REG DELETE HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v explorer.exe /f REG DELETE HKLMsoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v GoodbyePC! /f

Run.exe és a kapcsolódó folyamatok futásának megakadályozása:

TASKKILL /f /im run.exe /t

A létrehozott install könyvtár és tartalmának eltávolítása:

RMDIR /S /Q %homedrive%COVID-19

A teljes batch file:

@echo off

REM Allow users to run Task Manager

REG ADD HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v disabletaskmgr /t

REG_DWORD /d 0 /f

REM Allow notitifications when programs try to make changes to the computer

REG ADD HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t

REG_DWORD /d 1 /f

REM Deletes the reg key pointing to the wallpaper set by the malware

reg.exe DELETE HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v wallpaper /f

REM Enables options on the Background tab

REG ADD HKCUSOFTWAREMicrosoftWindowsCurrentVersionPoliciesActiveDesktop /v

NoChangingWallPaper /t REG_DWORD /d 0 /f

REM Just in case the mouse cursor was modified even with the missing quotes

REM REG ADD “HKCUControl PanelCursors” /v Arrow /t REG_SZ /d

%SystemRoot%cursorsaero_arrow.cur /f

REM REG ADD “HKCUControl PanelCursors” /v AppStarting /t REG_SZ /d

%SystemRoot%cursorsaero_working.ani /f

REM REG ADD “HKCUControl PanelCursors” /v Hand /t REG_SZ /d

%SystemRoot%cursorsaero_link.cur /f

REM Delete entires ensuring persistence

REM First check system arch

REG QUERY “HKLMHardwareDescriptionSystemCentralProcessor” | FIND /i “x86” > NUL && SET

OS=32BIT || SET OS=64BIT

IF %OS%==32BIT (

REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v CheckForUpdates /f

REG DELETE HKLMSoftwareMicrosoftWindowsCurrentVersionRun /v explorer.exe /f

REG DELETE HKLMsoftwareMicrosoftWindowsCurrentVersionRun /v GoodbyePC! /f

) ELSE IF %OS%==64BIT (

REG DELETE HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v

CheckForUpdates /f

REG DELETE HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v

explorer.exe /f

REG DELETE HKLMsoftwareWow6432NodeMicrosoftWindowsCurrentVersionRun /v

GoodbyePC! /f

) ELSE (

ECHO “UNKNOWN ARCH – PERSISTENCE COULD NOT BE DELETED!”

)

REM Kill run.exe process and its children

TASKKILL /f /im run.exe /t

REM Remove the install dir and its content

RMDIR /S /Q %homedrive%COVID-19

MBR helyreállítása:

A fenti eltávolító lépések végrehajtása után, a számítógép újraindítását követően az eredeti MBR visszaállítására két módszer javasolt.

1. A CTRL+ALT+ESC billentyűkombináció néhány másodpercig való lenyomásával az MBR visszaáll az eredeti állapotba.

2. Az MBR manuális helyreállítása valamilyen segédprogram (pl.: HDHacker) segítségével.

Hivatkozások

Egyéb referencia: securityaffairs.co
Egyéb referencia: securitynews.sonicwall.com
Egyéb referencia: malwaretips.com
Egyéb referencia: threatpost.com

Indikátorok

IoC(SHA-256):

 
  • dfbcce38214fdde0b8c80771cfdec499fc086735c8e7e25293e7292fc7993b4c – COVID-19.exe
  • 4fd9b85eec0b49548c462acb9ec831a0728c0ef9e3de70e772755834e38aa3b3 – coronavirus.bat
  • c3f11936fe43d62982160a876cc000f906cb34bb589f4e76e54d0a5589b2fdb9 – end.exe
  • b780e24e14885c6ab836aae84747aa0d975017f5fc5b7f031d51c7469793eabe – mainWindow.exe
  • c46c3d2bea1e42b628d6988063d247918f3f8b69b5a1c376028a2a0cadd53986 – run.exe
  • a1a8d79508173cf16353e31a236d4a211bdcedef53791acce3cfba600b51aaec – Update.vbs
  • df1f9777fe6bede9871e331c76286bab82da361b59e44d07c6d977319522ba91 – run.bat