Вымогатель Cerber имеет сложный процесс внедрения и использует в своих атаках очень интересную тактику. Он действует всплесками, между которыми наблюдаются периоды относительно низкой активности.
Мы обнаружили два таких пика активности Cerber — первый был в апреле, второй — в мае 2016 года. Каждый из всплесков собрал значительное число жертв, как показано на графике ниже:
Жертвами Cerber стало множество пользователей, главным образом из США, Турции и Великобритании. Подобно Locky, Cerber распространяется через фишинговые письма с вредоносными вложениями. Как только пользователь открывает вложение, он подвергается атаке с применением методов социальной инженерии — его пытаются убедить в необходимости активировать встроенную в файл макрокоманду, которая запускает вирус.
Поведение вымогателя Cerber
Cerber демонстрирует классическое поведение программы-вымогателя. Зловред создает свои копии в различных локациях и обращается к ним с различными параметрами. Атака запускается при помощи бинарных кодов Windows без всяких параметров. Это достигается за счет внедрения кода (code injection) в explorer.exe и вызова следующих приложений Windows:
- adaptertroubleshooter.exe;
- bthudtask.exe — задание по деинсталляции устройства Bluetooth, которое часто запускается вымогателями.
Затем Cerber использует другую распространенную тактику — загружает файл DLL. После того как процесс шифрования запущен, Cerber удаляет теневые копии для предотвращения восстановления файлов. Кроме того, вирус вносит изменения в процесс загрузки, чтобы лишить пользователя любой возможности восстановить свои файлы. Файлы шифруются с помощью алгоритмов AES-265 и RSA, которые на сегодняшний день невозможно взломать.
Cerber отображает свое сообщение с требованием выкупа с помощью программ «Блокнот» (стандартного приложения Windows) и Google Chrome. Еще одна характерная черта вируса Cerber — завершив работу, он самоудаляется. Для обеспечения собственной устойчивости Cerber инициирует программу блокировки, которая препятствует любым попыткам деинсталляции. Cerber также запускает сетевой поиск, обращаясь к очень большому количеству IP-адресов, которые находятся преимущественно во Франции.
Вся схема работы вируса Cerber, выявленная инструментом для отчета о проведенной экспертизе SandBlast Agent, представлена ниже.
В июне прошлого года компания Avanan опубликовала пост о возможности заражения вымогателем Cerber через файл Microsoft Office с расширением .dotm. Как объяснили специалисты Avanan в своем блоге, атака производилась через файл dotm, который был разослан множеству пользователей в фишинговом электронном письме. Файл dotm — это шаблон документа Microsoft Word, в котором разрешено использование макроса. Этот тип файла был впервые внедрен в Office 2007. Он использует формат OpenXML и ZIP-сжатие. Далее приведено краткое содержание отчета о проведенной экспертизе вредоносного ПО.
Отчет о проведенной экспертизе вредоносного ПО
Выше мы видим увеличенное «дерево инцидента», построенное после того, как зловред закончил шифрование файлов в системе. Обрати внимание на количество процессов, выделенных голубым и серым. Это исходные процессы операционной системы Windows, которые используются вирусом для совершения атаки. Тот факт, что большинство современных вредоносных программ опираются в достижении своих целей на доверенные, легитимные процессы, заслуживает особого внимания. При открытии документа пользователю предлагается разрешить редактирование и разрешить содержимое (разблокировать контент). Без разблокировки контента макрокоманда не может быть выполнена, а вирус не может продолжить свою работу.
Как видно на изображении выше, при разрешении макроса он запускает интерпретатор командной строки (в данном отчете — cmd.exe PID 1272) с очень длинным аргументом, включая код на языке Visual Basic Script (VBS). Эта команда также создает файл VBS (28156.vbs, фигурирует в отчете либо в разделе «Операции по созданию файлов» (file ops creations), либо в разделе «Подозрительные события: Создание скрипта (Dropped Script)»).
Затем командная строка зaпускает команду wscript (wscript.exe PID: 1432) с созданным VBS-файлом (28156.vbs), который, в свою очередь, скачивает первый вредоносный файл вируса-вымогателя Cerber (272730.tmp), обращаясь к следующим сайтам:
Solidaritedeproximite[.]org/mhtr.jpg;92.222.104[.]182/mhtr.jpg.После создания 272730.tmp этот файл запускается с помощью еще одной командной строки с PID 3068 — так начинается заражение компьютера вирусом Cerber. Запуск файла с расширением tmp в виде процесса считается очень подозрительным действием (272730.tmp PIDs: 128 и 2152) и помечается системой как подозрительное событие: Unusual Process Extension (необычное расширение процесса).
Процесс 272730.tmp с PID 128 затем запускает собственную копию с PID 2152. Процесс с PID 2152 затем создает еще одну копию файла с собой в папке appdata под именем raserver.exe. Это отмечается в качестве подозрительного события Executable Copies (исполняемые копии). Затем вирус запускает процесс raserver.exe с PID 1432. Следующий шаг — запуск командной строки с PID 2592 для удаления оригинального файла 272730.tmp. Эта задача решается вызовом taskkill.exe для остановки процесса 272730.tmp и последующего вызова команды ping, позволяющей подождать определенное время до остановки процесса с тем, чтобы файл можно было удалить. Точно так же все эти события отмечаются как подозрительные в схеме ниже:
Обход UAC
В блоге MalwareBytes, в статье Cerber Ransomware — New, But Mature исследователи подробно рассказывают о том, как Cerber пытался обойти систему контроля доступа пользователей (User Access Control, UAC), чтобы поднять уровень привилегий процессов, занятых в атаке. В частности, они показывают, как Cerber пробует запустить свою копию в проводнике Windows, а затем внедряет в эту копию код, который позволит ему использовать процессы операционной системы Microsoft Windows, чтобы обойти UAC.
Однако в нашей лаборатории все попытки запуска Cerber с обходом UAC оказались безуспешными — в каждом случае мы получали предупреждение системы UAC. Новое сообщение UAC появлялось при каждой неудачной попытке обхода. После очередной неудачи Cerber пытался запустить новое окно проводника с другим выполняемым файлом ОС Windows (см. рис. 29). Процесс raserver.exe с PID 2212 в данном инциденте пытался обойти UAC. Наша команда по обратному конструированию вредоносного ПО отметила, что исполняемые файлы, которые использовались для попыток обхода, имели манифесты со следующей информацией:
<autoElevate>true</autoElevate><requestedExecutionLevel level="requireAdministrator"/>
Мы ответили «да» на все запросы системы UAC, выждав некоторое время, — именно поэтому в отчете мы видим четыре запущенных процесса explorer. У процесса raserver.exe с PID 2540 теперь имеются повышенные привилегии (отмечены красной стрелкой), которые позволяют процессу приступить к шифрованию пользовательского документа.
На рисунке выше показан процесс raserver.exe с PID 2540, запущенный с повышенными привилегиями и создающий свою копию с PID 4688. Имeнно процесс с PID 4688 шифрует все документы пользователя. Кроме того, этот процесс также пытаeтся произвести удаление теневых копий (обычная тактика вирусов-вымогателей) через vssadmin.exe и wmic.exe. Наконец, зловред пытается внести изменения в загрузочные файлы с помощью службы bcdedit.exe.
Судя по всему, после того как Cerber определил, что все пользовательские файлы были зашифрованы, он удаляет вредоносные выполняемые файлы. Поэтому при перезагрузке системы мы не наблюдаем распространение заражения вредоносом. Однако фоновое сообщение остается.
Техники, которые использует Cerber — это классика вымогательского ПО, за исключением периодичности атак: такие «всплески» активности не очень характерны и могут ввести в заблуждение. Рекомендуем всегда быть готовым к возвращению этого зловреда.
Еще по теме: Как узнать какой шифровальщик зашифровал файлы
