>
Research (Insikt)

WhisperGate-Malware befällt Computer in der Ukraine

Veröffentlicht: 28. Januar 2022
Von: Insikt Group

insikt-logo-blog.png

Dieser Bericht ist ein technischer Überblick über die WhisperGate-Malware, die von Microsoft Threat Intelligence am 15. Januar 2022 gemeldet wurde. Es richtet sich an alle, die einen umfassenden Überblick über die TTPs und Abwehrmaßnahmen der Malware suchen.

Executive Summary

WhisperGate ist eine neue Schadsoftware-Familie, die in einer laufenden Operation eingesetzt wird, die auf zahlreiche Branchen in der Ukraine abzielt, darunter die Regierung sowie Non-Profit- und IT-Organisationen. Bei der Schadsoftware handelt es sich um einen dreistufigen Master Boot Record (MBR)-Wiper, der den MBR eines Opfers zerstören und Dateien auf angeschlossenen Speichergeräten beschädigen soll. Jede Stufe der Schadsoftware hat eine bestimmte Aufgabe: Stufe 1 überschreibt den MBR mit einer Lösegeldforderung und Code, um Abschnitte auf jedem gefundenen Laufwerk zu überschreiben, Stufe 2 lädt Stufe 3 herunter und führt sie aus. Diese wird auf dem CDN von Discord als JPG-Anhang gehostet und Stufe 3 beschädigt alle Dateien, die mit einer Liste von 191 Dateierweiterungen übereinstimmen. Um einer Erkennung und Analyse zu entgehen, setzen die Entwickler der Schadsoftware insbesondere in Phase 3 Verschleierung ein. WhisperGate löscht und beschädigt ein Windows-System bis zu dem Punkt, an dem Dateien und Laufwerke nicht mehr wiederherstellbar oder verwendbar sind. Details zum Motiv von WhisperGate und dem Bedrohungsakteur hinter den Angriffen kommen immer noch ans Licht. Diese Angriffe erfolgen vor dem Hintergrund eines zunehmenden Risikos einer russischen Invasion in der Ukraine und der Entstellung der Website der ukrainischen Regierung am 14. Januar 2022.

Wichtige Urteile

  • Zum Zeitpunkt des Verfassens dieses Artikels konnte die Gruppe von Bedrohungsakteuren, die WhisperGate einsetzt, keiner bekannten Bedrohungsgruppe zugeordnet werden. Andere Forscher vermuten jedoch, dass die Gruppe staatlich gefördert wird.
  • Um die Auswirkungen der Datenvernichtungsfunktionen von WhisperGate abzumildern, sollten die gleichen Vorsichtsmaßnahmen getroffen werden, die auch bei der Datensicherung gegen Ransomware getroffen werden.
  • Die WhisperGate-Malware wurde bei keinem anderen Angriff außerhalb der Ukraine im Einsatz beobachtet, was darauf hindeutet, dass sie möglicherweise speziell für diese Operation entwickelt wurde.

Hintergrund

Am 15. Januar 2022 meldete Microsoft eine zerstörerische Malware-Operation, die auf mehrere Organisationen in der Ukraine abzielte. Diese Aktivität wurde keiner bestehenden Bedrohungsakteurgruppe zugeschrieben und wird daher mithilfe der DEV-####-Namenskonvention von Microsoft verfolgt, die zur Verfolgung unbekannter neu auftretender Cluster von Bedrohungsaktivitäten verwendet wird. Diese Gruppe hat die Bezeichnung DEV-0586 erhalten, bis sie schließlich in einen benannten Akteur umgewandelt oder mit einem vorhandenen Akteur zusammengeführt wird. Microsoft bemerkte diese bösartigen Aktivitäten erstmals am 13. Januar 2022 und die Untersuchungen führten zu einer neuen Schadsoftware-Familie, die unter dem Namen WhisperGate verfolgt wird.

Technische Analyse von WhisperGate

Die WhisperGate-Malware besteht aus drei Phasen, die unten in Abbildung 1 detailliert dargestellt sind. Um eine maximale Wirkung zu erzielen, müssen alle 3 Schritte vor dem Neustart der Maschine ausgeführt werden. Stufe 1 beschädigt den MBR der Startdiskette des Opfers und beschädigt beim Neustart auch andere Laufwerke im System. Stufe 2 lädt Stufe 3 herunter, die zum Beschädigen von Dateien auf angeschlossenen Dateisystemen und Netzwerklaufwerken verwendet wird. Wenn auch nur eine der Phasen 1 oder 2 erfolgreich ausgeführt wird, kommt es zu Dateischäden. Bei Tests haben wir festgestellt, dass GUID-Partitionstabellen (GPT)-Festplatten durch die Stufe-1-Malware von WhisperGate nicht irreparabel zerstört werden und daher teilweise immun gegen diese Stufe der Malware sind. Wir vermuten, dass durch die Einbeziehung der Stufen 2 und 3 sichergestellt werden kann, dass auch Opfer, die Bootdisketten im GPT-Stil verwenden, von der Malware betroffen sind. Phase 3 zielt allerdings auch auf Remote-Netzwerklaufwerke ab, was unabhängig vom Partitionierungsschema der Startdiskette des Opfers weiteren Schaden verursachen würde.

Whispergate-Malware korrumpiert Computer in der Ukraine.png Abbildung 1: Phasen der WhisperGate-Malware (Quelle: Recorded Future)

Phase 1: Master Boot Record (MBR) überschreiben

Stufe 1 wird mit der Entwicklungsumgebung Minimalist GNU for Windows (MinGW) kompiliert, die GNU Compiler Collection (GCC) 6.3.0 unter Windows unterstützt. Das Hauptziel der Binärdatei besteht darin, den MBR von „\\.\PhysicalDrive0“ mit einem benutzerdefinierten MBR zu überschreiben, dessen Effekt erst beim Neustart des Computers sichtbar wird. Beim Start bestimmt das BIOS des Computers die zu verwendende Festplattenreihenfolge bei der Suche nach dem MBR. Beim Überschreiben des MBR auf PhysicalDrive0 wird davon ausgegangen, dass diese Festplatte als erste vom BIOS überprüft wird. Dies ist normalerweise eine vernünftige Annahme. Nach dem Neustart des Computers und der Ausführung des benutzerdefinierten MBR-Codes wird dem Benutzer die in Abbildung 2 dargestellte Lösegeldforderung angezeigt.

Whispergate-Malware korrumpiert Computer in der Ukraine 2-1.png Abbildung 2: Lösegeldforderung, die nach der Ausführung von Phase 1 von WhisperGate angezeigt wird (Quelle: Recorded Future)

Nach der Anzeige der Lösegeldforderung überschreibt der MBR-Code Abschnitte jedes Laufwerks in 199-Byte-Intervallen mit den in Abbildung 3 gezeigten Inhalten. Der auf jedes Laufwerk geschriebene Inhalt unterscheidet sich beim sechsten Byte und steigt sequenziell ab 0x00 an.

Whispergate-Malware korrumpiert Computer in der Ukraine 3-1.png Abbildung 3: Hex-Ansicht der auf die Festplatte geschriebenen Inhalte (Quelle: Recorded Future)

Der MBR-Code schreibt den Inhalt mehrmals auf jedes Laufwerk, indem er erweiterte Schreibfunktionsaufrufe über den Interrupt 0x13 ausführt, wie in Abbildung 4 dargestellt.

Whispergate-Malware korrumpiert Computer in der Ukraine 4-1.png Abbildung 4: MBR-Anweisungen, die die Laufwerke auflisten und Abschnitte auf jeder gefundenen Festplatte überschreiben (Quelle: Recorded Future)

Falls ein Opfer Partitionstabellen im GPT-Stil auf seiner Startdiskette verwendet, ist Phase 1 nicht wirksam. Nach dem Neustart kann Windows nicht gestartet werden; der MBR-Code von WhisperGate, der die Festplattenlaufwerke beschädigt, wird jedoch nicht ausgeführt. Da GPT-Festplatten eine Sicherungskopie der GPT-Tabelle am Ende einer Festplatte verwalten, können Opfer die GPT-Tabelle wiederherstellen, indem sie eine Live-Linux-Distribution ausführen und den Wiederherstellungsbefehl des Dienstprogramms gdisk verwenden, wie in Abbildung 5 gezeigt.

Whispergate-Malware korrumpiert Computer in der Ukraine 5-1.png Abbildung 5: Wiederherstellen der beschädigten GPT-Tabelle mit dem Befehl „gdisk recovery“ (Quelle: Recorded Future)

Stufe 2: Downloader

Stufe 2 ist in .NET geschrieben und ihre Hauptfunktion besteht darin, die dritte Stufe der Malware herunterzuladen und auszuführen. Die Ausführung beginnt nach 20 Sekunden mit dem PowerShell -Befehl „_powershell -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==_“, der sich in „_Start-Sleep -s 10_“ dekodieren lässt. Die 10-Sekunden-Verzögerung wird zweimal ausgeführt und dient wahrscheinlich dazu, der Malware zu helfen, der Erkennung durch AV-Engines zu entgehen. Die Malware ruft die dritte Stufe aus einem Discord-Anhang ab, der auf https://cdn[.]discordapp[.]com gehostet wird. mit dem Namen Tbopbh.jpg. Phase 2 kehrt die Bytes der JPG-Datei um, lädt die JPG-Datei reflektierend als .NET-Assembly und ruft dann die exportierte Funktion „_Ylfwdwgmpilzyaph_“ auf.

Stufe 3: Dateibeschädigung

Stufe 3 der Malware ist in .NET geschrieben und mit eazfuscator verschleiert. Bei der Ausführung werden 2 eingebettete ausführbare PE-Ressourcen (AdvancedRun und Wagybg) entpackt, dekodiert und per GZIP dekomprimiert. Als nächstes eine .vbs Skript wird in „ %AppData%\local\Temp\Nmddfrqqrbyjeygggda.vbs“ geschrieben und mit Wscript.exe ausgeführt. Das in Abbildung 6 dargestellte Skript wird verwendet, um das gesamte Laufwerk C vom Scannen durch Windows Defender auszuschließen.

Whispergate-Malware korrumpiert Computer in der Ukraine 6-1.png Abbildung 6: Inhalt von „%AppData%\local\Temp\Nmddfrqqrbyjeygggda.vbs“ (Quelle: Recorded Future)

Anschließend wird AdvancedRun ausgeführt, um den Windows Defender-Dienst zu stoppen und seinen Programmdatenordner zu löschen. AdvancedRun ist eine von NirSoft entwickelte, harmlose Software, die zum Ausführen von Programmen unter verschiedenen Einstellungen verwendet wird. Der Autor hat AdvancedRun verwendet, da damit Programme mit TrustedInstaller-Berechtigungen ausgeführt werden können, die zum Ausführen des Befehls zum Deaktivieren von Windows Defender erforderlich sind. Die Abbildungen 7 und 8 zeigen die Befehlszeilenargumente, die zum Ausführen von AdvancedRun.exe verwendet werden. Die Verwendung des Arguments „_/RunAs 8_“ weist AdvancedRun an, die TrustedInstaller-Berechtigungen zu verwenden.

Whispergate-Malware korrumpiert Computer in der Ukraine 7-1.png Abbildung 7: „AdvancedRun.exe“ Beenden des Windows Defender-Dienstes (Quelle: Recorded Future)

Whispergate-Malware korrumpiert Computer in der Ukraine 8-1.png Abbildung 8: „AdvancedRun.exe“ rekursives Löschen der Programmdaten des Windows Defender (Quelle: Recorded Future)

Schließlich wird Wagybg über Process Hollowing in einem InstallUtil.exe-Prozess ausgeführt. Eine ähnliche Technik wurde 2019 im Rahmen einer Phishing-Kampagne verwendet, um den Netwire-Trojaner zu laden. InstallUtil ist ein harmloses Programm von Microsoft, das als Teil des .NET-Frameworks vertrieben wird. 

Diese Phase der Schadsoftware dient der Beschädigung von Dateien. Durch Aufrufen von GetLogicalDrives() wird zunächst eine Liste der logischen Laufwerke im System abgerufen. Anschließend werden diejenigen identifiziert, bei denen es sich um Festplattenlaufwerke oder Netzwerklaufwerke handelt. Die Malware durchsucht diese Laufwerke nach Dateien, die mit einer der 191 Dateierweiterungen enden, die in Abbildung 9 unten dargestellt sind. Anschließend beschädigt es die entsprechenden Dateien, indem es das erste MiB jeder Datei mit 0xCC-Bytes überschreibt.

Whispergate-Malware korrumpiert Computer in der Ukraine 9-1.png Abbildung 9: Zieldateierweiterungen (Quelle: Recorded Future)

Nachdem die Dateien beschädigt wurden, sendet der Korrumpierer 5 Ping-Anfragen an 111.111.111[.]111 und löscht sich dann selbst, wie in Abbildung 10 dargestellt. Obwohl nicht genau bekannt ist, warum die Malware Ping-Anfragen stellt, vermuten wir, dass es darum gehen könnte, eine Zeitverzögerung hinzuzufügen, bevor sie sich selbst löscht, oder eine Aufzeichnung der infizierten Hosts zu führen.

Whispergate-Malware korrumpiert Computer in der Ukraine 10-1.png Abbildung 10: Vom Dateikorrumpierer verwendete Selbstlöschfunktion (Quelle: Recorded Future)

Gegenmaßnahmen

Wir empfehlen Organisationen, eine Offsite-Backup-Strategie in Betracht zu ziehen, um ihre Daten vor der Zerstörungskraft der WhisperGate-Malware zu schützen.

  • Durch Netzwerksegmentierung können Angreifer und Schadsoftware daran gehindert werden, auf andere Teile des Netzwerks einer Organisation zuzugreifen. Bei dieser Lösung wird das größere Netzwerk in kleinere Netzwerksegmente aufgeteilt. Dies kann durch Firewalls, virtuelle lokale Netzwerke und andere Trennungstechniken erreicht werden.
  • Erwägen Sie, vertrauliche Kundeninformationen auf Systemen aufzubewahren, die nicht mit dem Internet verbunden oder vom Rest des Unternehmensnetzwerks getrennt sind. Da die WhisperGate-Malware Dateien auf dem System eines Opfers manipuliert, wird der Zugriff der WhisperGate-Malware auf diese Dateien minimiert, wenn hochsensible Kundendaten auf ein System ohne Internetzugang oder Zugriff auf das restliche Netzwerk verschoben werden.
  • Konfigurieren Sie Ihre Intrusion Detection Systeme (IDS), Intrusion Prevention Systeme (IPS) oder andere vorhandene Netzwerkabwehrmechanismen so, dass sie bei der angegebenen externen IP-Adresse eine Warnung ausgeben und Verbindungsversuche von und zu dieser Adresse blockieren.
  • Wenn Remote-Access-Lösungen für den täglichen Betrieb von entscheidender Bedeutung sind, sollten alle entsprechenden Remote-Access-Dienste und -Protokolle, wie etwa Citrix und RDP, mit einer Zwei-Faktor- oder Multi-Faktor-Authentifizierung implementiert werden.
  • Achten Sie auf die Entstehung verdächtiger Dateiänderungsaktivitäten, insbesondere auf eine große Anzahl von Dateiänderungen in Benutzerverzeichnissen.
  • Legen Sie die Ausführungsrichtlinie für PowerShell so fest, dass Skripts signiert sein müssen, damit sie ausgeführt werden können. Dies ist nur bei Skripts wirksam, die auf herkömmliche Weise ausgeführt werden (z. B. durch Doppelklicken), und schützt nicht vor Base64-codierten Skripts, die in der Befehlszeile als Argument für das PowerShell-Programm ausgeführt werden (z. B. powershell.exe <command>).
  • Verwenden Sie neuere Versionen von PowerShell, beispielsweise Version 5, die einige sicherheitsrelevante Verbesserungen enthält.
  • AntiMalware Scan Interface (AMSI): Diese Funktion wurde in Windows 10 und Windows Server 2016 eingeführt und bietet „Datei- und Speicher- oder Stream-Scans, URL-/IP-Reputationsprüfungen von Inhaltsquellen und andere Techniken“ und kann in PowerShell, UAC, Windows Script Host, JavaScript, VBScript und Office VBA-Makros integriert werden. Untersuchungen zu Möglichkeiten zur Umgehung von AMSI deuten darauf hin, dass sich AMSI durch den Einsatz von Verschleierung (wie etwa XOR oder die Base64-Kodierung „verbotener“ Befehle) oder eine einfache Umgehung der Ausführung sowie durch andere ausgefeiltere Methoden wie etwa das Patchen des Speichers umgehen lässt.
  • Stellen Sie sicher, dass die Protokollierung von Skripts und Befehlen aktiviert ist. Hierzu gehören: Modulprotokollierung (zeichnet die Pipeline-Ausführung von PowerShell-Skripts auf, einschließlich einiger Teile des Skripts, einiger deobfuskierter Codes und einiger für die Ausgabe formatierter Daten), Skriptblockprotokollierung (zeichnet die Ausführung auf, einschließlich des vollständigen Inhalts der ausgeführten Skripts und Befehle) und Transkription (erstellt eine eindeutige Aufzeichnung jeder PowerShell-Sitzung, einschließlich Eingabe und Ausgabe). Zwar verhindert die Protokollierung nicht unbedingt die Ausführung bösartiger PowerShell-Befehle, sie kann jedoch dabei helfen, zu verstehen, um welche Art bösartigen Verhaltens oder Indikatoren es sich handelt.

Ausblick

Zum Zeitpunkt des Schreibens dieses Artikels scheint es, dass DEV-0586 WhisperGate nur verwendet hat, um Organisationen in der Ukraine anzugreifen. Wir gehen davon aus, dass im Laufe der nächsten Tage oder Wochen weitere Informationen zu diesem Bedrohungsakteur, einschließlich der Zuordnung, veröffentlicht werden. Nachdem WhisperGate nun öffentlich bekannt ist und Sicherheitsexperten auf die Schadsoftware aufmerksam gemacht wurden, ist es möglich, dass die Entwickler von WhisperGate den Wiper ändern, um einer Erkennung besser zu entgehen.

Verwandt