GandCrab Fidye Yazılımı ve SIEM Kuralı
Genel Bakış
GandCrab bir tür fidye yazılımıdır (ransomware). Fidye yazılımları bilgisayarınızdaki dosyaları şifreler ve şifre çözme karşılığında sizden fidye talep eder. GandCrab ilk olarak Ocak 2018'in sonunda görüldü. Şu ana kadar bilinen beş farklı sürümü yayınlandı. Bilinen son sürüm GandCrab v5.0.5 29 Ekim 2018 tarihinde yayınlandı. İlk sürümleri için bir şifre çözme aracı (decryption tool) yayınlandı. Bütün kullanıcı bilgilerini tutan bir web server keşfedildi, hacklendi ve özel anahtarlar ele geçirildi. Bazı şanslı kurbanlar fidye ödemek zorunda kalmadan şifrelenmiş dosyalarını kurtarabildiler. Hack olayı zararlının yazarı tarafından da doğrulandı ama aynı hafta GandCrab v2.0 yayınlandı ve server gelecekteki saldırılara karşı güçlendirildi. GandCrab diğer fidye yazılımlarından farklı olarak DASH crypto coin ile ödeme talep ediyor. Bu anlamda DASH coin kullanan ilk fidye yazılımıdır. Bazı araştırmacılar tarafından GandCrab için "New King of ransomware" denilmiştir.
Hack olayı zararlının yazarı tarafından da doğrulandı
Bulaşma Yolları
GandCrab; exploit kitler, spam maillerdeki .dosya ekleri ve sahte crack yazılımı bulunan siteler gibi yollarla yayılmaktadır.
- İlk versiyonun GandSoft EK ve RIG EK adlı exploit kitler yüzünden bulaştığı tespit edilmiştir.
- İkinci ve üçüncü versiyonlar spam maillerdeki .doc uzantılı word dosyası görünümlü zararlılar ile bulaştırılmıştır.
- Dördüncü ve beşinci versiyonlar sahte crack yazılımı bulunan sitelerden bulaştırıldı.
Statik Bakış
MIME application/x-dosexec
File info PE32 executable (GUI) Intel 80386, for MS Windows
MD5 335859768D9A489EAB3E3CBD157FB98F
SHA 118C379B521788FC610623129EC3960DE0F15F19D
SHA256 9B5B364A32C759ADA38BDC4CBFAAD3ED8DC333F87796E27EEF52A96D43C821A2
SSDEEP6144 Q8HMR1AMIM00M2KKV3FQVI3E28TCDN9BFQVI3E28TCDN9:QH16M00MW3FJNKMN9BFJNKMN9
Bölümler
Kütüphaneler
- KERNEL32.dll
- USER32.dll
- GDI32.dll
- ADVAPI32.dll
- SHELL32.dll
- ole32.dll
- MPR.dll
- WININET.dll
- RPCRT4.dll
- kernel32.dll
Çalıştığında Ne Yapıyor
- GandCrab ilk iki versionda dosyaları .GDCB uzantısı ile isimlendirirken üçüncü versiyonda .CRAB, dördüncü versiyonda .KRAB ve beşinci versiyonda .[a-z]{5,10} ile isimlendirmektedir.
- GandCrab şifreleme işlemine başlamadan önce aşağıdaki işlemleri kapatarak onları kullanan mail, database vb. gibi önemli kişisel dosyaların da şifrelenmesini sağlıyor.
- Şifreleme işleminden sonra oluşturulan/değiştirilen ya da şifrelenmeyen dosyalar/işlemler aşağıdaki gibidir:
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat, thumbs.db, GDCB-DECRYPT.txt, CRAB-DECRYPT.txt, KRAB-DECRYPT.txt, [A-Z]{5,10}-DECRYPT.txt, .sql
- Şifrelediği bütün uzantılar aşağıdaki gibidir:
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
- Whitelist (v2'de eklendi)
.ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .hlp .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .CRAB .crab .GDCB .gdcb .gandcrab .yassine_lemmou
yassine_lemmou’yu merak ettiyseniz kendisi twitter’da paylaşımlarıyla GandCrab yazılımcılarının dikkatini çeken bir araştırmacıdır.
- DNS İstekleri
Domain IP
oceanlinen.com 77.104.144.25tommarmores.com.br 191.252.51.37
www.n2plus.co.th 202.43.45.181
koloritplus.ru 87.236.16.41
h5s.vn 103.27.238.31
marketisleri.com 89.252.187.72
www.toflyaviacao.com.br 179.188.11.34
goodapd.website No response
www.rment.in 64.90.42.166
www.lagouttedelixir.com 213.186.33.19
www.lagouttedelixir.com 50.63.202.69
www.billerimpex.com 217.160.0.234
www.macartegrise.eu 52.29.192.136
www.poketeg.com 178.33.233.202
topstockexpert.su No response
zaeba.co.uk No response
asl-company.ru 87.236.16.31
perovaphoto.ru 92.53.96.201
www.fabbfoundation.gm 77.104.171.238
www.perfectfunnelblueprint.com 146.66.72.87
www.wash-wear.com 69.73.180.151
pp-panda74.ru 87.236.16.60
cevent.net 173.247.242.133
alem.be 188.165.53.185
bellytobabyphotographyseattle.com No response
boatshowradio.com 107.178.113.162
dna-cp.com 188.64.184.90
acbt.fr 213.186.33.3
wpakademi.com 50.87.58.165
www.cakav.hu 80.77.123.23
www.mimid.cz 178.238.37.162
6chen.cn 223.26.62.72
nesten.dk 104.28.30.160
104.28.31.160
www.download.windowsupdate.com 205.185.216.10
205.185.216.10
205.185.216.42
205.185.216.10
- Bağlantılar
IP CN ASN
217.160.0.234:80 DE 1&1 Internet SE
217.160.0.234:443 DE 1&1 Internet SE
52.29.192.136:80 DE Amazon.com, Inc.
178.33.233.202:80 FR OVH SAS
92.53.96.201:80 RU TimeWeb Ltd.
87.236.16.31:80 RU Beget Ltd
77.104.171.238:80 US SoftLayer Technologies Inc.
146.66.72.87:80 US
69.73.180.151:80 RU Global Net Access, LLC
87.236.16.60:80 US Beget Ltd
173.247.242.133:80 FR InMotion Hosting, Inc.
188.165.53.185:80 US OVH SAS
107.178.113.162:80 US Input Output Flood LLC
107.178.113.162:443 GB Input Output Flood LLC
188.64.184.90:80 GB Paul David Hughes trading as Hosting Systems
188.64.184.90:443 FR Paul David Hughes trading as Hosting Systems
213.186.33.3:80 US OVH SAS
50.87.58.165:80 HU Unified Layer
80.77.123.23:80 CZ DoclerWeb Kft.
178.238.37.162:80 CZ Master Internet s.r.o.
223.26.62.72:80 HK Sun Network (Hong Kong) Limited - HongKong Backbone
223.26.62.72:443 HK Sun Network (Hong Kong) Limited - HongKong Backbone
205.185.216.10:80 US Highwinds Network Group, Inc.
77.104.144.25:80 US SingleHop, Inc.
191.252.51.37:80 BR Locaweb Serviços de Internet S/A
104.28.30.160:80 US Cloudflare Inc
202.43.45.181:80 TH Internet Solution & Service Provider Co., Ltd
87.236.16.41:80 RU Beget Ltd
103.27.238.31:80 VN Long Van System Solution JSC
89.252.187.72:80 TR Radore Veri Merkezi Hizmetleri A.S.
89.252.187.72:443 TR Radore Veri Merkezi Hizmetleri A.S.
179.188.11.34:80 BR Locaweb Serviços de Internet S/A
64.90.42.166:80 US New Dream Network, LLC
213.186.33.19:80 FR OVH SAS
50.63.202.69:80 US GoDaddy.com, LLC
50.63.202.69:443 US GoDaddy.com, LLC
Öneriler
178.238.37.162:80 CZ Master Internet s.r.o.
- Korunmak için ilk yapılması gereken ilk şey bilinçlenmektir. Bilinçli bir kullanıcı zararlı yazılımların bulunduğu ortamlardan uzak durur ve neye tıklayıp neye tıklamayacağını daha iyi bilir.
- Bilmediğiniz kaynaklardan gelen maillerdeki hiçbir eki açmayın. Bu zararlının son sürümü en çok spam maillerdeki fatura görünümlü eklerle yayılmıştır.
- Do Not Trust Any One! Korsanlar sanki firmalardan, arkadaşlarınızdan, mahkemeden ya da vergi kurumlarından gelmiş gibi spam mailler göndermektedir. Bu mail adreslerinin başındaki karakterler farklı olmak üzere gerisi inandırıcılık için aynı isimde kullanılmaktadır. Mail adreslerine dikkat edin! Örn. [a-z]trustablecompany@[a-z]mail.com
- Güvenmediğiniz sitelerden yazılım indirmeyin, özellikle cracklerden uzak durun.
- Eğer bir url'e mutlaka erişmeniz ya da bir dosyayı açmanız gerekiyorsa ve güvenliğinden emin değilseniz işlem yapmadan önce analiz edin. Bunun için kullanabileceğiniz ücretsiz online araçlar ve sandboxlar internette mevcut (Örn. virustotal.com, any.run, hybrid-analysis.com).
- E-mail sisteminizde tehdit oluşturabilecek uzantılara karşı önlem aldığınızdan emin olun. Tehdit oluşturabilecek bazı uzantılar şunlardır: .js, .vbs, .docm, .hta, .exe, .cmd, .scr and .bat
- Güvenliğinden emin olmadığınız ya da şüpheli olan dosyaları önce sandbox'da çalıştırın.
- Güvenilir antivirüs programları kullanın. Güvenlik duvarlarını da yalnız bırakmayıp, APT (Advance Persistent Threat) ve SIEM ürünleriyle destekleyin.
- Back-up! Back-up! Back-up! Her zaman yedekli çalışın. Sadece tek bir yerde değil birden fazla yerde yedeklerinizi saklayın. Yedekler hayat kurtarır!
- Update! Sisteminizi ve yazılımlarınızı hep güncel tutun. İşletim sistemleri çoğunlukla güvenlik açıklarını kapatmak için güncelleme yayınlarlar bunları almamak istismara uğrama riskinizi arttırır.
- Güncel haberleri takip edin. Gündem sayesinde zararlı bulaşmadan haberiniz olur ve bulaşma yöntemlerine karşı önlem alabilir, iletişimde olduğu ipler ve domainleri blackliste eklenebilirsiniz.
- Tüm önlemlerinize rağmen GandCrab fidye yazılımı sisteminize bulaştı ise v1 v4 v5 için Bitdefender tarafından yayınlanan ücretsiz şifre çözme araçlarını kullanabilirsiniz. Şifre Çözme Aracı sayfasına gitmek için tıklayın.
- Fidye ödemek çözüm olarak görülmemelidir. Belki dosyalarınıza çok ihtiyacınız vardır belki de hemen ihtiyacınız vardır ama unutmayın ki fidye ödemek korsanların iştahlarının artmasına ve bu tür zararlıların çoğalmasına neden olacaktır.
Kaynakça
https://research.checkpoint.com/gandcrab-ransomware-mindset/
https://sangfor.com/source/blog-network-security/1052.html?from=pc
https://labs.bitdefender.com/2018/10/gandcrab-the-most-popular-multi-million-dollar-ransomware-of-the-year/
https://www.vmray.com/cyber-security-blog/gandcrab-ransomware-evolution-analysis/
https://any.run/report/9b5b364a32c759ada38bdc4cbfaad3ed8dc333f87796e27eef52a96d43c821a2/232c5459-252b-47c6-ac4d-25d0e67993eb
CRYPTOSIM TESPİT
CSIM-ID: 82592
Title: GandCrab
Description: GandCrab Ransomware Detection via Sysmon
Author: levolka
References:
Date: 12.12.2018
Logsource:
Product: windows
Service: sysmon
Detection:
Selection1:
Timeframe: 10 sec
#All processes terminated in 10 sec
EventID: 5
Image:
- '*\msftesql.exe'
- '*\sqlagent.exe'
- '*\sqlbrowser.exe'
- '*\sqlservr.exe'
- '*\sql.exe'
- '*\synctime.exe'
- '*\xfssvccon.exe'
- '*\ocautoupds.exe'
- '*\agntsvc.exe'
- '*\firefoxconfig.exe'
- '*\tbirdconfig.exe'
- '*\ocomm.exe'
- '*\mysqld.exe'
- '*\mysqld-nt.exe'
- '*\dbeng50.exe'
- '*\steam.exe'
- '*\visio.exe'
- '*\infopath.exe'
- '*\mspub.exe'
- '*\msaccess.exe'
- '*\onenote.exe'
- '*\outlook.exe'
- '*\powerpnt.exe'
- '*\thebat.exe'
- '*\thebat64.exe'
- '*\thunderbird.exe'
- '*\winword.exe'
- '*\wordpad.exe'
- '*\mysqld-opt.exe'
- '*\excel.exe'
- '*\sqbcoreservice.exe'
- '*\mydesktopqos.exe'
- '*\mydesktopservice.exe'
- '*\agntsvc.exe'
- '*\encsvc.exe'
Selection2:
#Add file extension
EventID: 11
Image: '*.gdcb'
Image: '*.crab'
Image: '*.krab'
Image: '*.[a-z]{5,10}'
Selection3:
#Decrypt.txt creation
EventID: 11
FileCreate:
- '*[A-Z]{5,10}-DECRYPT.txt'
- 'GDCB-DECRYPT.txt'
- 'CRAB-DECRYPT.txt'
- 'KRAB-DECRYPY.txt'
Selection4:
#Delete shadowcopy
EventID: 1
CommandLine:
- '*\wmic.exe shadowcopy delete*'
- '*vssadmin delete shadows*'
Condition: Selection1 or Selection2 or Selection3 or Selection4
Falsepositives:
- Known extensions between 5-10 characters
Level: Critical
Mitre-Attack:
Initial Access:
-Spearphishing Attachment
Defense Evasion:
- Obfuscated Files or Information
- Modify Registry
Discovery:
- System Information Discovery
- Process Discovery
Exfiltration:
-Data Encrypted
Anıl Kocatürk
@SOC
Yorumlar
Yorum Gönder