A Trend Micro kutatói egy új, fejlett zsarolóvírust azonosítottak Charon néven, amely célzott kampányban vetette be kifinomult támadási technikáit a közszféra és a légiközlekedési ágazat ellen a Közel-Keleten. A kampány egyértelműen az APT (Advanced Persistent Threat) módszertant követi, beleértve a DLL-sideloadingot, rétegezett titkosítást, és célzott folyamatinjektálást a Windows-rendszerfolyamatokban.
Fertőzési lánc és technikai megvalósítás
A Charon támadási láncának kiindulópontja egy legitim Windows bináris – az Edge[.]exe (eredetileg cookie_exporter[.]exe) – amelyen keresztül egy SWORDLDR nevű rosszindulatú DLL-t (msedge[.]dll) tölt be. Ez a komponens továbbfejlesztett betöltőként szolgál, amely dekódolja a DumpStack[.]log fájlba rejtett titkosított shellcode-ot.
A shellcode többrétegű titkosításon megy keresztül:
- Első réteg: Konfigurációs adatok, ezek alapján történik a folyamatinjektálás az svchost[.]exe folyamatba, hogy a malware legitim Windows szolgáltatásként álcázza magát.
- Második réteg: A tényleges Charon ransomware PE fájl, amely megkezdi a fájlok titkosítását, a [.]Charon kiterjesztés hozzáadásával.
A támadás kifejezetten célzott, amit az is alátámaszt, hogy a zsaroló üzenet személyre szabott, a megtámadott szervezet nevének feltüntetésével. Bár a kampány technikai jellemzői hasonlóságot mutatnak az Earth Baxia korábbi műveleteivel, biztos attribúció jelenleg nem áll rendelkezésre.
Rejtőzködés és elhárítási technikák
A Charon ransomware számos kifinomult technikát alkalmaz a felfedezés elkerülése és a titkosítás hatékonyságának növelése érdekében:
- Parancssoros argumentumok támogatása, például:
- –debug: hiba naplózása
- –shares: hálózati megosztások titkosítása (ADMIN$ kivételével)
- –paths: specifikus könyvtárak vagy meghajtók titkosítása
- –sf: hálózati megosztások elsőbbsége a helyi fájlokkal szemben
- Mutex létrehozása OopsCharonHere néven a többszörös futtatás megakadályozására
- Biztonsági szolgáltatások és folyamatok leállítása, árnyékmásolatok törlése COM interfészen keresztül
- Gyors titkosítás többszálúsítással, a következők kombinációjával:
- Curve25519 elliptikus görbére épülő Diffie-Hellman kulcscsere
- ChaCha20 adatáram titkosítás
A fájltitkosítás részleges és méretalapú, így gyors és hatékony:
- <64KB: teljes titkosítás
- 64KB–5MB: három rész
- 5MB–20MB: öt rész
- 20MB: hét célzott rész
Minden titkosított fájl 72 bájtos láblécet kap a nyilvános kulccsal és metaadatokkal. A Charon nem titkosít bizonyos fájlokat (pl. [.]exe, [.]dll, [.]Charon, valamint a saját zsaroló üzenete: “How To Restore Your Files[.]txt”).
Ezenkívül hálózati megosztásokat is szkennel és titkosít NetShareEnum és WNetEnumResource API-kon keresztül, támogatva az oldalirányú mozgást.
Anti-EDR képességek és fejlesztés alatt álló komponensek
A kártevő binárisában megtalálható egy Dark-Kill nevű, nyílt forráskódú anti-EDR driver (WWC[.]sys) is, amely célja a végpontvédelmi megoldások kikapcsolása. Bár jelen változatban ez nem aktiválódik, jelenléte arra utal, hogy a malware fejlesztése folyamatban van, és várhatóan további funkciókkal fog bővülni.
Veszélyek és következmények
A Charon támadásai súlyos következményekkel járhatnak:
- Adatvesztés
- Rendszerleállás
- Anyagi zsarolás célzott váltságdíj követelésekkel
- Mentések törlése, visszaállítás ellehetetlenítése
- Lehetséges adatexfiltráció
A ransomware által használt APT-taktikák (DLL-sideloading, process injection, EDR-kikerülés) kiemelkedő példái annak, hogyan konvergálnak a korábban elkülönülten kezelt fenyegetéstípusok.
Védekezési javaslatok
A Trend Micro szakértői a következő megelőző intézkedéseket ajánlják:
- DLL-betöltés korlátozása nem megbízható könyvtárakban
- Folyamatláncok figyelése, különösen aláírt binárisok (pl. Edge[.]exe) és rendszerfolyamatok (pl. svchost[.]exe) kapcsolatánál
- EDR-megoldások megerősítése, hogy ellenálljanak a manipulációnak
- Hálózati megosztások védelme, felesleges adminisztratív megosztások letiltása
- Offline, változtathatatlan biztonsági mentések fenntartása
- Felhasználók képzése adathalászat elkerülésére és minimális jogosultságokra való áttérés
- Fenntartott fenyegetésvadászat, IOC-k (indikátorok) alapján
A Charon ransomware újabb példája annak, hogy a zsarolóvírusok fejlődnek és egyre inkább átveszik az APT csoportok módszertanát. A célzott, személyre szabott támadások és a technikai összetettség új szintre emelik a kiberfenyegetettséget. A szervezeteknek proaktív, rétegzett védelmi stratégiákra van szükségük, amelyeket kiegészít az intelligens monitoring és a gyors reagálás, ha valóban csökkenteni szeretnék az ilyen támadások sikerének esélyét.