{"id":2806,"date":"2021-07-12T09:02:00","date_gmt":"2021-07-12T07:02:00","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2806"},"modified":"2021-07-12T09:02:00","modified_gmt":"2021-07-12T07:02:00","slug":"analisi-wannamine","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/analisi-wannamine\/","title":{"rendered":"Worm WannaMine: Analisi e intervento"},"content":{"rendered":"\n\n\n
\"\"<\/figure>
\n

Il nostro team ha recentemente individuato, analizzato e gestito un tentativo di compromissione da malware WannaMine<\/strong>.<\/p>\n\n\n\n

WannaMine \u00e8 un malware di tipo Worm <\/strong>(noto dal 2017)\u00a0il cui scopo \u00e8 quello di propagarsi all’interno delle reti aziendali e di effettuare il mining di criptovalute (Monero) <\/strong>su tutti i sistemi compromessi.<\/p>\n

La sue funzionalit\u00e0 di propagazione tramite credenziali<\/strong> valide<\/strong> (Mimikatz e moduli Empire) e lo sfruttamento di vulnerabilit\u00e0 del protocollo SMB <\/strong>(EternalBlue<\/strong> CVE-2017-0144<\/a>) rendono le attivit\u00e0 di Incident Response <\/strong>pi\u00f9 complesse. Inoltre, la struttura quasi interamente fileless<\/em> del malware permette a quest’ultimo di superare le classiche protezioni per Endpoint.\u00a0\u00a0<\/p>\n<\/div><\/div>\n\n\n\n

L’analisi del sample ha permesso ai nostri analisti di ottenere informazioni sulle modalit\u00e0 di compromissione e propagazione del Worm oltre che l’indirizzo del Wallet Monero <\/strong>associato a questo gruppo criminale: 46gVfDm99aq9JqESFxXFp5AyFCZPHsbTn48dWAtVASddf4TmhQMkxvQadhKPvAjszJV8cQKVHHLQ7WpNrh33ogkGUPHhpVP<\/p>\n\n\n\n

\n\n\n\n

Alcune delle Tattiche <\/strong>e le Tecniche <\/strong>associate a compromissione da Worm WannaMine:<\/p>\n\n\n\n

\n\n\n\n\n\n\n\n\n\n
Tattica<\/strong><\/span><\/td>\nID Tecnica<\/strong><\/span><\/td>\nNome Tecnica<\/strong><\/span><\/td>\n<\/tr>\n
Initial Access<\/strong><\/td>\nT1189<\/span><\/td>\nDrive-by Compromise<\/td>\n<\/tr>\n
T1566.001<\/span><\/td>\nSpearphishing Attachments<\/td>\n<\/tr>\n
Persistence<\/strong><\/td>\n T1546.003<\/span><\/td>\nWindows Management Instrumentation Event Subscription<\/td>\n<\/tr>\n
Credential Access<\/strong><\/td>\nT1003.001<\/span><\/td>\nOS Credential Dumping<\/td>\n<\/tr>\n
Lateral Movement<\/strong><\/td>\nT1210<\/span><\/td>\nExploitation of Remote Services<\/td>\n<\/tr>\n
T1021.002<\/span><\/td>\nRemote Services<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div><\/div>\n\n\n\n
\n\n\n\n

Il malware, noto dal 2017, ha subito diverse modifiche ed \u00e8 presente in rete con diverse varianti e funzionalit\u00e0.\u200e<\/span><\/p>\n

Indice dell’articolo:<\/strong><\/p>\n\n\n\n

Analisi catena di Compromissione<\/h2>\n\n\n\n

Avvio della compromissione<\/h3>\n\n\n\n

Il vettore d’attacco utilizzato dal Worm \u00e8, con molta probabilit\u00e0, rappresentato da attivit\u00e0 di Drive-By Compromise<\/strong>. L’avvio del dropper<\/strong> (uno script in Powershell, in6.ps1<\/strong>) sul sistema scatena una lunga catena di eventi responsabili dell’installazione del malware.<\/p>\n\n\n\n

La prima parte del codice viene utilizzata per bypassare l’Anti-Malware Scan Interface di Windows<\/em> (AMSI<\/strong>) .<\/p>\n\n\n\n

\"\"
AMSI Bypass<\/figcaption><\/figure><\/div>\n\n\n\n

All’interno del dropper \u00e8 presente un elenco di URL di server utilizzati per il download del malware durante le attivit\u00e0 di Lateral Movement<\/strong><\/em>: \u200e<\/p>\n\n\n\n

\"\"
Lista indirizzi dropper<\/figcaption><\/figure><\/div>\n\n\n\n

La restante parte di codice contiene le istruzioni per l’installazione del  cryptominer nel sistema:<\/p>\n\n\n\n

\"\"
Codice per estrare gli artefatti dalla variabile $fa<\/figcaption><\/figure><\/div>\n\n\n\n

Persistenza<\/h3>\n\n\n\n

Il malware stabilisce la propria persistenza tramite la registrazione di eventi di Windows Management Instrumentation<\/strong> (WMI<\/strong>). WMI pu\u00f2 essere usato per eseguire del codice al verificarsi di un evento specifico.<\/p>\n

Per fare alcuni esempi, \u00e8 possibile scatenare un comando ad una certa ora del giorno, o all’accesso dell’utente o dopo un certo tempo di inattivit\u00e0 del computer. In questo modo \u00e8 possibile registrare un evento ed eseguire codice arbitrario al verificarsi di tale evento, fornendo un perfetto meccanismo di persistenza.<\/p>\n\n\n\n

\"\"
Persistenza<\/figcaption><\/figure><\/div>\n\n\n\n
  • SCM Event8 Log Consumer<\/strong> viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito;<\/li>
  • SCM Event8 Log Consumer2<\/strong> viene eseguito 4\/5 minuti dopo l’avvio del sistema. <\/li><\/ul>\n\n\n\n
    \"\"
    WMI event subscription setup<\/figcaption><\/figure><\/div>\n\n\n\n

    Lateral Movement<\/h3>\n\n\n\n

    Il lateral movement<\/strong> <\/em>viene eseguito tramite gli artefatti funs<\/strong>, mimi<\/strong> e sc<\/strong> estratti dalla variabile $fa<\/strong>.<\/p>\n\n\n\n

    Funs<\/strong> \u00e8 un file<\/em> PowerShell contenente tutte le funzioni necessarie per infettare gli altri sistemi della rete.
    Gran pare del codice di funs<\/strong> proviene dal framework Empire<\/strong>.
    Attraverso Get-creds<\/strong> utilizza l’artefatto mimi<\/strong>, contenete il codice di Mimikatz, per estrarre username e password dal sistema. Successivamente utilizza test-net<\/strong> a cui viene passato un array con gli IP di classe B e C identificati nella rete.<\/p>\n

    Questa funzione avvia l’attivit\u00e0 di propagazione su reti interne all’azienda:<\/p>\n\n\n\n

    \"\"
    Chiamata di Get-creds passano come argomento Mimikatz e utilizzo di test-net<\/figcaption><\/figure><\/div>\n\n\n\n

    \u200e<\/span>Lo script contiene una serie di meccanismi di propagazione (in ordine di esecuzione):<\/p>\n\n\n\n

    1. Remote execution con WMI <\/li>
    2. Remote execution con Samba<\/li>
    3. Exploit della vulnerabilit\u00e0 Eternal Blue, in cui utilizza l’artefatto sc<\/strong> come shellcode.<\/li><\/ol>\n\n\n\n

      Cryptocurrency mining <\/h3>\n\n\n\n

      Per poter eseguire l’attivit\u00e0 di mining Monero, il malware utilizza due artefatti: mon <\/strong>e mue<\/strong>.<\/p>\n\n\n\n

      Primo metodo – MON<\/h5>\n\n\n\n

      \u200eCome primo tentativo, il worm esegue l’artefatto mon <\/strong>in modalit\u00e0 fileless<\/strong>, il codice \u00e8 infatti inserito nella classe systemcore_Updater8 <\/strong>che viene richiamata tramite PowerShell. \u200e<\/p>\n

      Il codice risulta essere una copia del miner open-source XMRig<\/strong>.<\/p>\n\n\n\n

      Configurazione del software XMRig:<\/p>\n\n\n\n

      • Cryptomoneta<\/strong>: Monero <\/li>
      • Wallet<\/strong>: 46gVfDm99aq9JqESFxXFp5AyFCZPHsbTn48dWAtVASddf4TmhQMkxvQadhKPvAjszJV8cQKVHHLQ7WpNrh33ogkGUPHhpVP<\/li>
      • Indirizzi di pool<\/strong>:
        • xmr-eu1.nanopool.org:14444 <\/li>
        • xmr-asia1.nanopool.org:14444 <\/li>
        • xmr-eu2.nanopool.org:14444 <\/li>
        • xmr-us-east1.nanopool.org:14444 <\/li>
        • xmr-us-west1.nanopool.org:14444 <\/li>
        • pool.minexmr.com:80 <\/li>
        • sg.minexmr.com:80 <\/li>
        • ca.minexmr.com:80 <\/li><\/ul><\/li><\/ul>\n\n\n\n
          \"\"
          Estratto configurazione mon (XMRig)<\/figcaption><\/figure><\/div>\n\n\n\n

          Viene poi installato sul sistema l’artefatto ring<\/strong> con il nome WinRing0x64.sys.
          Questo risulta essere un driver Microsoft utilizzato da mon per ottimizzare l’algoritmo RandomX Monero di mining.
          Il driver, seppur lecito, possiede diverse vulnerabilit\u00e0 che se sfruttate permetterebbero ad un malintenzionato di ottenere i privilegi di SYSTEM.<\/p>\n\n\n\n

          Secondo metodo – MUE<\/h5>\n\n\n\n

          \u200eSe la prima esecuzione non risulta andare a buon fine, WannaMine<\/strong> esegue un artefatto diverso, posizionando il file<\/em> su disco tramite WMI<\/strong>, chiamandolo mue.exe<\/strong> (percorso di sistema C:\\Windows\\system32). \u200e
          L’eseguibile risulta essere una versione obsoleta di XMRig<\/strong> che non sfrutta il driver WinRing0x64.sys.<\/p>\n\n\n\n

          \"\"
          Scrittura su disco ed esecuzione di mue.exe<\/figcaption><\/figure><\/div>\n\n\n\n
          \n

          Analisi Statica<\/h2>\n\n\n\n

          Script: in6.ps1<\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          File<\/em> PowerShell<\/strong> che svolge il ruolo di dropper <\/em>.
          Al suo interno \u00e8 presente una variabile $fa<\/strong>, contenente codice codificato in Base64<\/em> utilizzati per estrarre tutti gli artefatti utili alla compromissione.
          E’ presente una seconda parte di codice con vari livelli di offuscamento inseriti per evitare il rilevamento da parte di soluzioni di protezione endpoint AntiVirus.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>B73E5BF7274478FB8FA6CE94AF3F6921<\/td><\/tr>
          sha1<\/td>98BFD0AC4EE3469A331B4C99436B532E7D18B4D6<\/td><\/tr>
          sha256<\/td>3562E13CF2C2B0416B22286217602632A421AC6560FC3E4F9EBF8D13A19CA97E<\/td><\/tr>
          file-size <\/td>13946596 (bytes)<\/td><\/tr>
          entropy<\/td>4.000<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Script: Funs <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          File<\/em> contenente script PowerShell<\/strong> con funzioni ausiliarie tra cui quelle per il Lateral Movement<\/em><\/strong>. Molte di queste funzioni sono derivate da frameworks<\/em> come Empire<\/strong>.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>03A5E1B8680B44A07DAAE5D5517FB38F<\/td><\/tr>
          sha1<\/td>903AE5A3895D58FFAA384E926B581DCAD1C8CAB3<\/td><\/tr>
          sha256<\/td>809FE2FCCDDF5C788812F1CB18B76F0F1BA4BB8AD1CF24F55A5B95E6225E891C<\/td><\/tr>
          file-size<\/td>450722 (bytes)<\/td><\/tr>
          entropy<\/td>5.181<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Eseguibile: mimi <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          Contiene Mimikatz<\/strong>, \u00e8 un file binario e viene eseguito attraverso reflected injection<\/em> in modo tale da non essere scritto sul disco. Viene utilizzato per estrarre le credenziali presenti sul sistema.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>1A89B3DEBD2B8F45B04A12116893BC9C<\/td><\/tr>
          sha1<\/td>3147D48F8AEC7615CC803E449F3FF688663395F8<\/td><\/tr>
          sha256<\/td>EE8275A57D7A80427131D126A19862D6889AB409F7EC4293721E3BD15AA11C9E<\/td><\/tr>
          file-size<\/td>1293314 (bytes)<\/td><\/tr>
          entropy<\/td>4.536<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Eseguibile: mon <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          Contiene una versione del software open-source XMRig, il quale \u00e8 un miner di criptovaluta. Viene eseguito in memoria attraverso PowerShell senza essere scritto sul disco.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>AE8A82C77FD56390B76F6B756DAD101C<\/td><\/tr>
          sha1<\/td>DA0CC3211B27616BFE3F9618658C14B65AAB97E2<\/td><\/tr>
          sha256<\/td>6DFCE5506FFBECE1CC1DD6AE05D7D4022AC6A73E0EC247A100FA32B04EDFFCF7<\/td><\/tr>
          file-size<\/td>2715138 (bytes)<\/td><\/tr>
          entropy<\/td>4.800<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Eseguibile: WinRing0x64.sys <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          Driver legittimo utilizzato da mon<\/strong> per ottimizzare le performance<\/em> di mining. Pur essendo un driver legittimo contiene vulnerabilit\u00e0 di tipo Privilege Escalation<\/strong><\/em>, la sua installazione rende il sistema meno sicuro.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>0C0195C48B6B8582FA6F6373032118DA<\/td><\/tr>
          sha1<\/td>D25340AE8E92A6D29F599FEF426A2BC1B5217299<\/td><\/tr>
          sha256<\/td>11BD2C9F9E2397C9A16E0990E4ED2CF0679498FE0FD418A3DFDAC60B5C160EE5<\/td><\/tr>
          file-size<\/td>14544 (bytes)<\/td><\/tr>
          entropy<\/td>6.266<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Eseguibile: mue.exe <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          Ha lo scopo di iniettare il payload in un processo legittimo attraverso il process hollowing. Il payload iniettato \u00e8 una versione di XMRig.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>D1AED5A1726D278D521D320D082C3E1E<\/td><\/tr>
          sha1<\/td>EFDB3916C2A21F75F1AD53B6C0CCDF90FDE52E44<\/td><\/tr>
          sha256<\/td>0A1CDC92BBB77C897723F21A376213480FD3484E45BDA05AA5958E84A7C2EDFF<\/td><\/tr>
          file-size<\/td>2863616 (bytes)<\/td><\/tr>
          entropy<\/td>7.952<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
          \n\n\n\n

          Eseguibile: sc <\/span><\/span><\/h3>\n\n\n\n

          Descrizione<\/h4>\n\n\n\n

          Shellcode<\/strong> per l’exploit della vulnerabilit\u00e0 EternalBlue<\/strong>. Utilizzato per le operazioni di Lateral Movement<\/em><\/strong>.<\/p>\n\n\n\n

          Dettagli <\/h4>\n\n\n\n
          md5<\/td>777D2A050AB7FACE761C1A6449913BAA<\/td><\/tr>
          sha1<\/td>061C3DF042325F69BB966ADAEC6D78742DDE2036<\/td><\/tr>
          sha256<\/td>9CDB5020DF269828480D77FE03758EF70046A71B11D4C8182BA5465C877715D0<\/td><\/tr>
          file-size<\/td>2413 (bytes)<\/td><\/tr>
          entropy<\/td>5.260<\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"

          Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4\/5 minuti dopo l’avvio del sistema. Lateral Movement Remote execution con WMI Remote […]<\/p>\n","protected":false},"author":1,"featured_media":2839,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[86,126,131,228,229,233,392],"class_list":["post-2806","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-criptomining","tag-empire","tag-eternalblue","tag-mimikatz","tag-mining","tag-monero","tag-wmi"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2806"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2806\/revisions"}],"predecessor-version":[{"id":5306,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2806\/revisions\/5306"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}