Расшифруй, если сможешь. Изучаем устройство трояна-энкодера и создаем программу дешифровки

Во вто­рой полови­не 2023 года коман­да Positive Technologies по рас­сле­дова­нию инци­ден­тов PT CSIRT (PT Expert Security Center) раз­бирала про­исшес­твие в инфраструк­туре одно­го из сво­их заказ­чиков. Спе­циалис­ты приш­ли к выводу, что за слу­чив­шимся сто­ят пред­ста­вите­ли хакер­ской груп­пиров­ки Twelve. Груп­па позици­они­рует себя как хак­тивис­тов полити­чес­кой нап­равлен­ности и выбира­ет себе цели сре­ди рос­сий­ских ком­паний и учрежде­ний. Счи­тает­ся, что эта груп­па тес­но свя­зана с груп­пиров­кой Shadow, сме­нив­шей наз­вание сна­чала на C0met, а с недав­них пор, веро­ятно, скры­вающей­ся под име­нем Darkstar.

Су­дя по схо­жему почер­ку и инс­тру­мен­тарию, эти две груп­пиров­ки явля­ются частью одной коман­ды и отве­чают за раз­ные нап­равле­ния. Обе исполь­зуют в ходе атак раз­личные вари­анты шиф­роваль­щиков, пре­иму­щес­твен­но семей­ства LockBit/Babuk. Но если хакеры из Shadow занима­ются вымога­тель­ством, наз­начая выкуп за ключ дешиф­ровки, то пред­ста­вите­ли Twelve прос­то стре­мят­ся нанес­ти мак­сималь­ный ущерб целевой инфраструк­туре, при этом пуб­ликуя в откры­том дос­тупе резуль­таты сво­ей работы, которые иног­да вклю­чают в себя выг­ружен­ные из инфраструк­туры чувс­тви­тель­ные дан­ные.

Инцидент

В ходе рас­сле­дова­ния инци­ден­та спе­циалис­ты обна­ружи­ли очень подоз­ритель­ный исполня­емый файл с име­нем twelve.exe. Его ана­лиз показал, что вмес­то при­выч­ного LockBit зло­умыш­ленни­ки исполь­зовали шиф­роваль­щик, отно­сящий­ся к семей­ству прог­рамм‑вымога­телей Ryuk / Chaos / Yashma / Obsidian ORB, который исполь­зовал­ся во мно­жес­тве вре­донос­ных кам­паний по все­му миру.

Су­дя по ряду приз­наков, для генера­ции вре­донос­ного фай­ла, ско­рее все­го, исполь­зовал­ся пуб­лично дос­тупный конс­трук­тор Chaos Ransomware Builder, который поз­воля­ет зло­умыш­ленни­кам кас­томизи­ровать вре­донос­ные прог­раммы‑шиф­роваль­щики. С его помощью, нап­ример, мож­но изме­нить имя про­цес­са, имя фай­ла с тре­бова­ниями, текст самих тре­бова­ний, задать спи­сок рас­ширений шиф­руемых фай­лов, сбил­дить дек­риптор и так далее.

Сам тро­ян написан на .NET, бла­года­ря чему мож­но изу­чить его фун­кции, нап­ример в DNSpy.

Про­бежав­шись по основным фун­кци­ям, иссле­дова­тели выяс­нили, что этот энко­дер шиф­рует фай­лы с исполь­зовани­ем алго­рит­ма AES, затем зашиф­ровыва­ет клю­чи AES встро­енным откры­тым RSA-клю­чом и записы­вает их в конец зашиф­рован­ных фай­лов.

Публичный RSA-ключ

Для каж­дого шиф­руемо­го фай­ла тро­ян генери­рует инди­виду­аль­ный AES-ключ:

В пер­вую оче­редь было инте­рес­но понять, каким обра­зом генери­рует­ся ключ для AES. Фун­кция генера­ции клю­ча выг­лядит сле­дующим обра­зом:

Ключ генери­рует­ся отдель­но для каж­дого фай­ла на осно­ве фун­кции Random, при этом Random запус­кает­ся без сида. Если в DNSpy перей­ти в объ­явле­ние клас­са Random, то мы уви­дим сле­дующее.

То есть Random, выз­ванный без сида, в качес­тве началь­ного исполь­зует зна­чение Environment.TickCount. Важ­но отме­тить, что это спра­вед­ливо для при­ложе­ний .NET вер­сии 4, генера­ция ран­дома для вер­сий 5 и выше исполь­зует дру­гие началь­ные зна­чения.

Environment.TickCount — это количес­тво мил­лисекунд, про­шед­ших с момен­та запус­ка сис­темы. Таким обра­зом, мож­но пред­положить, что, зная зна­чение сида, мы в сос­тоянии «уга­дывать» слу­чай­ные зна­чения.

Про­верим наши пред­положе­ния. Возь­мем фун­кцию CreatePassword из вре­доно­са, добавим туда вывод текуще­го зна­чения Environment.TickCount и сге­нери­рован­ного пароля, а затем выведем получен­ные зна­чения в кон­соль:

В резуль­тате запус­ка прог­раммы получа­ем сле­дующие зна­чения:

Те­перь орга­низу­ем добав­ление сида в фун­кцию генера­ции клю­ча и переда­дим туда зна­чения TickCount из пре­дыду­щего запус­ка: