Pada artikel ini membahas dari sisi teknis ransomware ALPHV. Sebelumnya sudah dijelaskan dari sisi pengetahuan umum, jika kalian belum sempat membaca, kami akan taruh linknya dibawah.
Pada analisis teknis ini menggunakan sample yang diambil pada tanggal 20 Maret 2022. Dengan kode hash SHA-256 (12138a12e35563461860d8c39d80e7cbf80aced9a3f197bf7e6a452a70e07048).
File tersebut memiliki versi 32-bit Windows executable yang berisi Blackcat Ransomware. Sekilas tentang sampel yang di analisis juga dikenal sebagai Noberus atau ALPHV keluarga ransomware yang diprogram dengan bahasa pemrograman Rust dan digunakan sebagai bagian dari Ransomware-as-a-Service (Raas).
Ransomware dapat dikonfigurasi untuk mengenkripsi (mengunci) file menggunakan algoritma AES atau ChaCha20, Selain itu, juga dapat menghapus salinan Volume Shadow yang dimana salinan itu berfungsi sebagai cadangan dari file atau volume disk. Fitur ini memungkinan kita untuk mengembalikan file atau volume ke keadaan sebelumnya jika terjadi perubahaan yang tidak diinginkan atau kehilangan data. Pada proses enkripsi ransomware biasanya salinan Volumes Shadow menjadi target utama karna dengan menghapus salinan itu ransomware memperkecil peluang user/korban untuk memulihkan data yang terenkripsi tanpa harus membayar.
Selanjutnya ransomware ini dapat menghentikan proses dan layanan juga menghentikan Virtual Machine di server ESXi. ALPHV juga memiliki kemampuan untuk memperbanyak diri (self-propagation capabilities), memungkinkan untuk untuk mengeksekusi dirinya sendiri dari jarak jauh di host lain dalam jaringan lokal menggunakan PsExec.
Untuk mengeksekusi ransomware memerlukan akses token untuk mendekripsi konfigurasinya. Hal ini menunjukan bahwa ransomware disebarkan dan diaktifkan menggunakan file lain. analisis dinamis sekilas dilakukan pada artikel sebelumnya.
ANALISIS DAN TEMUAN
Pada hasil laporan virustotal sample ransomware berhasil teridentifikasi oleh 57 dari 71 Security vendors.
Pada entropy RDATA dan RELOC sections ter packed artinya butuh ekstra effort untuk melakukan analisis pada seksi yang terpacked.
Ransomware ini menggunakan 3 Thread Local Storage (TLS) untuk menyembunyikan fungsi utamanya dan menghindari (evade) deteksi, memperumit kodenya untuk di analisis atau debugging. TLS disini bukan merujuk pada Transport Layer Security yang sering digunakan dalam konteks enkripsi komunikasi jaringan.
Gambar di bawah ini menguraikan semua opsi yang didukung ransomware. Setiap opsi/pilihan membutuhkan token akses untuk digunakan, tanpa token akses, program tidak dapat dioperasikan.
Ransomware memodifikasi registri untuk meningkatkan permintaan yang diizinkan, meningkatkan kemampuan pergerakan lateralnya di lebih banyak perangkat, hal ini berjalan dengan menyesuaikan pengaturan 'MaxMpxCt' yang terletak di:
'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', set ke 65535, dengan menggunakan flag force (/f).
Setelah meningkatkan jumlah permintaan yang diizinkan, ransomware menyebar (lateral movement) ke seluruh jaringan menggunakan PsExec.
Selain itu ransomware menggunakan API 'NetServerEnum' dengan 'servertype' disetel ke '0xFFFFFFFF', yang dimana tujuannya untuk operasi pemindaian (scanning) jaringan untuk mengambil semua server, kemudian mencoba terhubung ke berbagi jaringan untuk menyebarkan dirinya sendiri.
Ransomware ini juga memanipulasi eksekusi 'wevtutil.exe' untuk menghapus semua event log, sehingga menyulitkan tugas tim insiden response.
Disisi lain pada fase eskalasi ransomware ini memanggil fungsi 'NtOpenProcessToken', fungsi ini digunakan untuk membuka token akses untuk proses tertentu pada mesin korban, sebuah token akses berisi informasi tentang hak akses keamanan yang terkait dengan prosess. Token akses sering kali dimanipulasi oleh malware, termasuk ransomware biasanya untuk mendapatkan hak akses yang lebih tinggi. dengan membuka serta memanipulasi token proses, ransomware dapat mencoba untuk meningkatkan hak istimewa atau menonaktifkan mekanisme keamanan yang bisa menghalangi proses/operasi eksekusinya.
Berikut informasi token yang di enumerasi oleh ALPHV.
Catatan ransomware berisi karakter acak, yang didekripsi pada saat runtime setelah token akses diberikan, dan ditulis ke dalam sebuah file RECOVER-${EXTENSION}-FILES.txt.
Dalam fase enkripsi, ransomware mengulang semua volume kemudian mengulang semua file dengan ekstensi tertentu kemudian mulai mengenkripsi, algoritma enkripsi ransomware mendukung algoritma chacha dan AES.
Dilansir dari informasi pada leaksite BlackCat/ALPHV. Ransomware ini dapat dikonfigurasikan untuk menggunakan beberapa mode enkripsi yang berbeda:
- Enkripsi Penuh (Full file encryption): Metode enkripsi terkuat tapi paling lambat (butuh waktu lama) untuk mengenkripsi seluruh file.
- Enkripsi Cepat (Fast encryption): Metode enkripsi ini mengabaikan kekuatan algoritma enkripsinya untuk kecepatan proses enkripsi dengan hanya mengenkripsi beberapa megabyte pertama dari file.
- Enkripsi Pola Titik (DotPattern encryption): Menekankan kecepatan enkripsi tetapi masih cukup kuat dengan mengenkripsi bagian tertentu dari file.
- Enkripsi Pola Pintar (SmartPattern encryption): Mode paling optimal antara kecepatan dan kekuatan, mengenkripsi bagian file dalam langkah persentase tertentu, misalnya 10 megabyte setiap 10% dari file dimulai dari header.
- Otomatis (Auto): Pada metode ini kecepatan dan kekuatan enkripsi disesuaikan berdasarkan tipe dan ukuran file untuk keseimbangan yang optimal antara kecepatan dan keamanan.
Ekstensi file yang ditargetkan :
Ransomware Blackcat/ALPHV IOCs:
- C:\\Users\\Public\\All Usersdeploy_note_and_image_for_all_users=
- –no-prop-servers–propagatedpropagate::server=
- drag-and-drop-target.bat
- Important files on your system was ENCRYPTED
Posting Komentar