CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины
CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.
23 февраля 2022 года стало известно о появлении новой вредоносной wiper-программы, поразившей украинские системы. После серии атак типа «denial-of-service» и взлома ряда украинских веб-сайтов новая вредоносная программа нарушила работу главной загрузочной записи (MBR), а также разделов и файловой системы всех доступных физических дисков на машинах Windows.
Разведка CrowdStrike дала название этому новому разрушительному ПО — DriveSlayer, и это уже вторая программа типа Wiper, поразившая Украину в свете недавних атак с использованием вредоносной программы WhisperGate. DriveSlayer имеет цифровую подпись с использованием действующего сертификата. Это ПО злоупотребляет легитимным драйвером EaseUS Partition Master для получения доступа к диску и управления им с целью привести систему в неработоспособное состояние.
Платформа CrowdStrike Falcon способна обеспечить надежную и непрерывную защиту от DriveSlayer и угроз типа wiper, предоставляя возможность отслеживать рабочие нагрузки в реальном времени для защиты клиентов.
Проверьте эффективность решения от CrowdStrike лично, отправив нам запрос на тестирование высокоэффективной платформы Falcon.
Технический анализ
В отличие от WhisperGate, который использует высокоуровневые вызовы API, DriveSlayer использует прямой доступ к диску с целью уничтожения данных.
При инициализации, два дополнительных параметра командной строки могут быть использованы для указания времени сна вредоносной программы перед началом процесса уничтожения и перезагрузкой системы. Если они не указаны, то по умолчанию будет задано значение 20 и 35 минут.
Далее вредоносная программа убеждается в том, что у нее есть соответствующие привилегии для выполнения своих разрушительных действий. Она использует API AdjustTokenPrivileges для присвоения себе следующих привилегий: SeShutdownPrivilege, SeBackupPrivilege и SeLoadDriverPrivilege.
| Название привилегии | Описание |
| SeShutdownPrivilege | Обеспечивает возможность выключения локальной системы |
| SeBackupPrivilege | Обеспечивает возможность выполнения операций резервного копирования системы |
| SeLoadDriverPrivilege | Обеспечивает возможность загрузки или выгрузки драйвера устройства |
Разнообразные драйверы будут загружаться в зависимости от версии системы. Вредоносная программа использует IsWow64Process для определения версии загружаемого драйвера. Эти драйверы хранятся в секции ресурсов двоичного файла и сжимаются с помощью алгоритма Lempel-Ziv. Файл драйвера записывается в system32drivers с 4-символьным, псевдослучайно сгенерированным именем. Затем этот файл распаковывается с помощью LZCopy в новый файл с расширением «.sys».
| Пример названия файла | Описание |
| C:WindowsSystem32driversbpdr | Драйвер, сжатый с помощью алгоритма Лемпеля-Зива |
| C:WindowsSystem32driversbpdr.sys | Декомпрессированный драйвер |
Перед загрузкой драйвера вредоносная программа отключает аварийный дамп, устанавливая следующий ключ реестра:
| Реестр | Значение | Описание |
| HKLM:SYSTEMCurrentControlSetControlCrashControlCrashDumpEnabled | 0 | Отключает аварийный дамп |
Для загрузки драйвера создается новая служба с помощью API CreateServiceW. Именем и отображаемым именем для этой службы является 4-символьное значение, используемое для имени файла. Затем StartServiceW запускается в цикле пять раз, чтобы убедиться, что драйвер загружен. Сразу после загрузки драйвера служба уничтожается путем удаления всего ключа реестра.
После завершения процесса загрузки драйвера служба VSS отключается с помощью диспетчера служб управления. Затем создается несколько дополнительных потоков. Один из потоков создается с целью обработки перезагрузки системы. Он будет находиться в режиме сна в течение времени, указанного параметром командной строки, равного 35 минутам, после чего система будет перезагружена вызовом API InitializeSystemShutdownExW.
Другой поток отключает функции пользовательского интерфейса, которые могут предупредить пользователя о подозрительной активности, происходящей в системе, перед итерацией подключенных дисков.
| Реестр | Значение | Описание |
| HKUSoftwareMicrosoftWindowsCurrentVersion ExplorerAdvancedShowCompColor |
0 | Отключение цветов для сжатых и зашифрованных файлов NTFS |
| HKUSoftwareMicrosoftWindowsCurrentVersion ExplorerAdvancedShowInfoTip |
0 | Отключение всплывающей информации о папках и элементах рабочего стола |
Наконец, вредоносная программа начинает свою разрушительную работу, порождая множество дополнительных потоков, которые перезаписывают файлы на диске и уничтожают таблицы разделов. После перезагрузки системы пользователь увидит пустой экран с надписью «Операционная система отсутствует».
Непрерывный мониторинг и видимость, предоставляемые платформой Falcon останавливают разрушительное влияние DriveSlayer
Платформа Falcon использует многоуровневый подход для защиты рабочих нагрузок. Используя on-sensor и cloud-based машинное обучение, behavior-based обнаружение с использованием индикаторов атак (IOA) и разведданные о тактиках, методах и процедурах (TTP), применяемых субъектами угроз, платформа Falcon обеспечивает видимость, обнаружение и непрерывный мониторинг для любой среды, сокращая время на поиск и устранение угроз.
Как показано на рисунке 1, платформа Falcon использует облачное машинное обучение для обнаружения DriveSlayer и предотвращения выполнения вредоносной программой зловредных действий, таких как загрузка дополнительных компонентов.
Рисунок 1. Облачное машинное обучение платформы Falcon обнаруживает DriveSlayer wiper
IOA платформы Falcon, основанные на поведенческих факторах, могут выявлять и предотвращать выполнение подозрительных процессов или загрузку дополнительных компонентов, а также другие виды вредоносного поведения. Например, Falcon способен определить такое поведение DriveSlayer, как вмешательство в определенные ключи реестра. Behavior-based выявление дополнительно накладывается на традиционное обнаружение хэшей на основе индикаторов компрометации (IOC) (см. Рисунок 2).
Рисунок 2. CrowdStrike Falcon выявляет и предотвращает деструктивную деятельность DriveSlayer
DriveSlayer не имеет встроенных технологий распространения по инфраструктурам, а сведения о его использовании в атаках на украинские системы пока ограничены. Компания CrowdStrike и дальше будет следить за ситуацией и сообщать о происходящем по мере ее развития.
Клиенты CrowdStrike Falcon могут осуществлять проактивный мониторинг своих сред с помощью hunting-запросов для выявления индикаторов присутствия DriveSlayer. Ознакомьтесь с кратким описанием DriveSlayer и способами его поиска на портале поддержки CrowdStrike.
iIT Distribution как официальный дистрибьютор решений компании CrowdStrike настоятельно рекомендуем организациям, сталкивающимися с рисками киберинцидентов, принять меры по повышению своей операционной устойчивости. Решения безопасности от CrowdStrike способны защитить от вредоносного ПО и угрозы уничтожения данных, обеспечивая полную видимость среды и интеллектуальный мониторинг облачных ресурсов с целью обнаружения и реагирования на потенциальные угрозы — в том числе разрушительные — и ограничения возможного ущерба.
