GandCrab Fidye Yazılımı ve SIEM Kuralı


                                                      Genel Bakış

GandCrab bir tür fidye yazılımıdır (ransomware). Fidye yazılımları bilgisayarınızdaki dosyaları şifreler ve şifre çözme karşılığında sizden fidye talep eder. GandCrab ilk olarak Ocak 2018'in sonunda görüldü. Şu ana kadar bilinen beş farklı sürümü yayınlandı. Bilinen son sürüm GandCrab v5.0.5 29 Ekim 2018 tarihinde yayınlandı. İlk sürümleri için bir şifre çözme aracı (decryption tool) yayınlandı. Bütün kullanıcı bilgilerini tutan bir web server keşfedildi, hacklendi ve özel anahtarlar ele geçirildi. Bazı şanslı kurbanlar fidye ödemek zorunda kalmadan şifrelenmiş dosyalarını kurtarabildiler. Hack olayı zararlının yazarı tarafından da doğrulandı ama aynı hafta GandCrab v2.0 yayınlandı ve server gelecekteki saldırılara karşı güçlendirildi. GandCrab diğer fidye yazılımlarından farklı olarak DASH crypto coin ile ödeme talep ediyor. Bu anlamda DASH coin kullanan ilk fidye yazılımıdır. Bazı araştırmacılar tarafından GandCrab için "New King of ransomware" denilmiştir.

Hack olayı zararlının yazarı tarafından da doğrulandı

Bulaşma Yolları

GandCrab; exploit kitler, spam maillerdeki .dosya ekleri ve sahte crack yazılımı bulunan siteler gibi yollarla yayılmaktadır.
  • İlk versiyonun GandSoft EK ve RIG EK adlı exploit kitler yüzünden bulaştığı tespit edilmiştir.
  • İkinci ve üçüncü versiyonlar spam maillerdeki .doc uzantılı word dosyası görünümlü zararlılar ile bulaştırılmıştır.
  • Dördüncü ve beşinci versiyonlar sahte crack yazılımı bulunan sitelerden bulaştırıldı.

Statik Bakış

MIME                      application/x-dosexec
File info                  PE32 executable (GUI) Intel 80386, for MS Windows
MD5                        335859768D9A489EAB3E3CBD157FB98F
SHA                         118C379B521788FC610623129EC3960DE0F15F19D
SHA256                  9B5B364A32C759ADA38BDC4CBFAAD3ED8DC333F87796E27EEF52A96D43C821A2
SSDEEP6144         Q8HMR1AMIM00M2KKV3FQVI3E28TCDN9BFQVI3E28TCDN9:QH16M00MW3FJNKMN9BFJNKMN9

Bölümler

Kütüphaneler

  • KERNEL32.dll
  • USER32.dll
  • GDI32.dll
  • ADVAPI32.dll
  • SHELL32.dll
  • ole32.dll
  • MPR.dll
  • WININET.dll
  • RPCRT4.dll
  • kernel32.dll

Çalıştığında Ne Yapıyor

  • GandCrab ilk iki versionda dosyaları .GDCB uzantısı ile isimlendirirken üçüncü versiyonda .CRAB, dördüncü versiyonda .KRAB ve beşinci versiyonda .[a-z]{5,10} ile isimlendirmektedir.

  • GandCrab şifreleme işlemine başlamadan önce aşağıdaki işlemleri kapatarak onları kullanan mail, database vb. gibi önemli kişisel dosyaların da şifrelenmesini sağlıyor.

  • Şifreleme işleminden sonra oluşturulan/değiştirilen ya da şifrelenmeyen dosyalar/işlemler aşağıdaki gibidir:
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat, thumbs.db, GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB-DECRYPT.txt, [A-Z]{5,10}-DECRYPT.txt, .sql
  • Şifrelediği bütün uzantılar aşağıdaki gibidir:
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

  • Whitelist (v2'de eklendi)
.ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .hlp .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .CRAB .crab .GDCB .gdcb .gandcrab .yassine_lemmou

yassine_lemmou’yu merak ettiyseniz kendisi twitter’da paylaşımlarıyla GandCrab yazılımcılarının dikkatini çeken bir araştırmacıdır.

  • DNS İstekleri

Domain                                                                     IP

oceanlinen.com                                                            77.104.144.25 
tommarmores.com.br                                                   191.252.51.37 
www.n2plus.co.th                                                         202.43.45.181 
koloritplus.ru                                                                 87.236.16.41 
h5s.vn                                                                          103.27.238.31
marketisleri.com                                                           89.252.187.72
www.toflyaviacao.com.br                                             179.188.11.34
goodapd.website                                                          No response
www.rment.in                                                                64.90.42.166
www.lagouttedelixir.com                                               213.186.33.19
www.lagouttedelixir.com                                               50.63.202.69
www.billerimpex.com                                                    217.160.0.234
www.macartegrise.eu                                                   52.29.192.136
www.poketeg.com                                                        178.33.233.202
topstockexpert.su                                                         No response
zaeba.co.uk                                                                  No response
asl-company.ru                                                             87.236.16.31
perovaphoto.ru                                                             92.53.96.201
www.fabbfoundation.gm                                               77.104.171.238
www.perfectfunnelblueprint.com                                  146.66.72.87
www.wash-wear.com                                                    69.73.180.151
pp-panda74.ru                                                              87.236.16.60
cevent.net                                                                    173.247.242.133
alem.be                                                                        188.165.53.185
bellytobabyphotographyseattle.com                             No response
boatshowradio.com                                                      107.178.113.162
dna-cp.com                                                                  188.64.184.90
acbt.fr                                                                           213.186.33.3
wpakademi.com                                                           50.87.58.165
www.cakav.hu                                                              80.77.123.23
www.mimid.cz                                                              178.238.37.162
6chen.cn                                                                      223.26.62.72
nesten.dk                                                                     104.28.30.160
                                                                                     104.28.31.160
www.download.windowsupdate.com                           205.185.216.10
                                                                                     205.185.216.10
                                                                                     205.185.216.42
                                                                                     205.185.216.10

  • Bağlantılar

            IP                      CN                         ASN

217.160.0.234:80               DE                       1&1 Internet SE
217.160.0.234:443             DE                       1&1 Internet SE
52.29.192.136:80               DE                       Amazon.com, Inc.
178.33.233.202:80             FR                       OVH SAS
92.53.96.201:80                 RU                       TimeWeb Ltd.
87.236.16.31:80                 RU                       Beget Ltd
77.104.171.238:80             US                       SoftLayer Technologies Inc.
146.66.72.87:80                 US
69.73.180.151:80               RU                       Global Net Access, LLC
87.236.16.60:80                 US                       Beget Ltd
173.247.242.133:80           FR                       InMotion Hosting, Inc.
188.165.53.185:80             US                       OVH SAS
107.178.113.162:80           US                       Input Output Flood LLC
107.178.113.162:443         GB                       Input Output Flood LLC
188.64.184.90:80               GB                       Paul David Hughes trading as Hosting Systems
188.64.184.90:443             FR                       Paul David Hughes trading as Hosting Systems
213.186.33.3:80                 US                       OVH SAS
50.87.58.165:80                 HU                       Unified Layer
80.77.123.23:80                 CZ                       DoclerWeb Kft.
178.238.37.162:80             CZ                       Master Internet s.r.o.
223.26.62.72:80                 HK                       Sun Network (Hong Kong) Limited - HongKong Backbone
223.26.62.72:443               HK                       Sun Network (Hong Kong) Limited - HongKong Backbone
205.185.216.10:80             US                       Highwinds Network Group, Inc.
77.104.144.25:80               US                       SingleHop, Inc.
191.252.51.37:80               BR                       Locaweb Serviços de Internet S/A
104.28.30.160:80               US                       Cloudflare Inc
202.43.45.181:80               TH                       Internet Solution & Service Provider Co., Ltd
87.236.16.41:80                 RU                       Beget Ltd
103.27.238.31:80               VN                       Long Van System Solution JSC
89.252.187.72:80               TR                       Radore Veri Merkezi Hizmetleri A.S.
89.252.187.72:443             TR                       Radore Veri Merkezi Hizmetleri A.S.
179.188.11.34:80               BR                       Locaweb Serviços de Internet S/A
64.90.42.166:80                 US                       New Dream Network, LLC
213.186.33.19:80               FR                       OVH SAS
50.63.202.69:80                 US                       GoDaddy.com, LLC
50.63.202.69:443               US                       GoDaddy.com, LLC


Öneriler

  • Korunmak için ilk yapılması gereken ilk şey bilinçlenmektir. Bilinçli bir kullanıcı zararlı yazılımların bulunduğu ortamlardan uzak durur ve neye tıklayıp neye tıklamayacağını daha iyi bilir.
  • Bilmediğiniz kaynaklardan gelen maillerdeki hiçbir eki açmayın. Bu zararlının son sürümü en çok spam maillerdeki fatura görünümlü eklerle yayılmıştır.
  • Do Not Trust Any One! Korsanlar sanki firmalardan, arkadaşlarınızdan, mahkemeden ya da vergi kurumlarından gelmiş gibi spam mailler göndermektedir. Bu mail adreslerinin başındaki karakterler farklı olmak üzere gerisi inandırıcılık için aynı isimde kullanılmaktadır. Mail adreslerine dikkat edin! Örn. [a-z]trustablecompany@[a-z]mail.com
  • Güvenmediğiniz sitelerden yazılım indirmeyin, özellikle cracklerden uzak durun.
  • Eğer bir url'e mutlaka erişmeniz ya da bir dosyayı açmanız gerekiyorsa ve güvenliğinden emin değilseniz işlem yapmadan önce analiz edin. Bunun için kullanabileceğiniz ücretsiz online araçlar ve sandboxlar internette mevcut (Örn. virustotal.com, any.run, hybrid-analysis.com).
  • E-mail sisteminizde tehdit oluşturabilecek uzantılara karşı önlem aldığınızdan emin olun. Tehdit oluşturabilecek bazı uzantılar şunlardır: .js, .vbs, .docm, .hta, .exe, .cmd, .scr and .bat
  • Güvenliğinden emin olmadığınız ya da şüpheli olan dosyaları önce sandbox'da çalıştırın.
  • Güvenilir antivirüs programları kullanın. Güvenlik duvarlarını da yalnız bırakmayıp, APT (Advance Persistent Threat) ve SIEM ürünleriyle destekleyin.
  • Back-up! Back-up! Back-up! Her zaman yedekli çalışın. Sadece tek bir yerde değil birden fazla yerde yedeklerinizi saklayın. Yedekler hayat kurtarır!
  • Update! Sisteminizi ve yazılımlarınızı hep güncel tutun. İşletim sistemleri çoğunlukla güvenlik açıklarını kapatmak için güncelleme yayınlarlar bunları almamak istismara uğrama riskinizi arttırır.
  • Güncel haberleri takip edin. Gündem sayesinde zararlı bulaşmadan haberiniz olur ve bulaşma yöntemlerine karşı önlem alabilir, iletişimde olduğu ipler ve domainleri blackliste eklenebilirsiniz.
  • Tüm önlemlerinize rağmen GandCrab fidye yazılımı sisteminize bulaştı ise v1 v4 v5 için Bitdefender tarafından yayınlanan ücretsiz şifre çözme araçlarını kullanabilirsiniz. Şifre Çözme Aracı sayfasına gitmek için tıklayın.
  • Fidye ödemek çözüm olarak görülmemelidir. Belki dosyalarınıza çok ihtiyacınız vardır belki de hemen ihtiyacınız vardır ama unutmayın ki fidye ödemek korsanların iştahlarının artmasına ve bu tür zararlıların çoğalmasına neden olacaktır.

Kaynakça

https://www.acronis.com/en-us/articles/gandcrab/
https://research.checkpoint.com/gandcrab-ransomware-mindset/
https://sangfor.com/source/blog-network-security/1052.html?from=pc
https://labs.bitdefender.com/2018/10/gandcrab-the-most-popular-multi-million-dollar-ransomware-of-the-year/
https://www.vmray.com/cyber-security-blog/gandcrab-ransomware-evolution-analysis/
https://any.run/report/9b5b364a32c759ada38bdc4cbfaad3ed8dc333f87796e27eef52a96d43c821a2/232c5459-252b-47c6-ac4d-25d0e67993eb

CRYPTOSIM TESPİT
CSIM-ID: 82592
Title: GandCrab
Description: GandCrab Ransomware Detection via Sysmon
Author: levolka
References:
Date: 12.12.2018
Logsource:
    Product: windows
    Service: sysmon
Detection:
Selection1:
Timeframe: 10 sec
#All processes terminated in 10 sec
EventID: 5
Image:
- '*\msftesql.exe'
- '*\sqlagent.exe'
- '*\sqlbrowser.exe'
- '*\sqlservr.exe'
- '*\sql.exe'
- '*\synctime.exe'
- '*\xfssvccon.exe'
- '*\ocautoupds.exe'
- '*\agntsvc.exe'
- '*\firefoxconfig.exe'
- '*\tbirdconfig.exe'
- '*\ocomm.exe'
- '*\mysqld.exe'
- '*\mysqld-nt.exe'
- '*\dbeng50.exe'
- '*\steam.exe'
- '*\visio.exe'
- '*\infopath.exe'
- '*\mspub.exe'
- '*\msaccess.exe'
- '*\onenote.exe'
- '*\outlook.exe'
- '*\powerpnt.exe'
- '*\thebat.exe'
- '*\thebat64.exe'
- '*\thunderbird.exe'
- '*\winword.exe'
- '*\wordpad.exe'
- '*\mysqld-opt.exe'
- '*\excel.exe'
- '*\sqbcoreservice.exe'
- '*\mydesktopqos.exe'
- '*\mydesktopservice.exe'
- '*\agntsvc.exe'
- '*\encsvc.exe'
Selection2:
#Add file extension
EventID: 11
Image: '*.gdcb'
Image: '*.crab'
Image: '*.krab'
Image: '*.[a-z]{5,10}'
Selection3:
#Decrypt.txt creation
EventID: 11
FileCreate:
- '*[A-Z]{5,10}-DECRYPT.txt'
- 'GDCB-DECRYPT.txt'
- 'CRAB-DECRYPT.txt'
- 'KRAB-DECRYPY.txt'
    Selection4:
#Delete shadowcopy
EventID: 1
CommandLine:
- '*\wmic.exe shadowcopy delete*'
- '*vssadmin delete shadows*'
Condition: Selection1 or Selection2 or Selection3 or Selection4
Falsepositives:
- Known extensions between 5-10 characters
Level: Critical
Mitre-Attack:
Initial Access:
-Spearphishing Attachment
Defense Evasion:
- Obfuscated Files or Information
- Modify Registry
Discovery:
- System Information Discovery
- Process Discovery
Exfiltration:
-Data Encrypted

Anıl Kocatürk
@SOC

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Saldırı Tespit Sistemlerinde Derin Öğrenme Yaklaşımı - 2