cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

16 dicembre 2020
Uno sguardo al Ransomware Thanos, specializzato in evasione delle soluzioni Anti Virus e Anti Ransomware


I ransomware si confermano gli strumenti di punta del cybercrime, con continui miglioramenti e avanzamenti sia nelle tecniche di criptazione che nelle tattiche di evasione delle soluzioni di sicurezza. Nel corso degli anni, i ransomware hanno migliorato se stessi passando da payload PE a payload non PE standalone, usando diversi compilatori e packer sempre più complessi. Per restare al passo con tali variazioni, le soluzioni di individuazione comportamentale e Anti Ransomware giocano un ruolo ormai vitale, dato che l'attività dei ransomware è mirata e nessuno può ritenersi immune e al sicuro. 

Gli autori di ransomware hanno iniziato a iniettare i payload dannosi direttamente nei processi genuini di sistema di Windows, processi che solitamente sono inseriti in whitelist poichè ritenuti sicuramente affidabili: è così che i ransomware riescono spesso a criptare i file superando le soluzioni di sicurezza. Se si aggiunge a ciò la continua ricerca che i cybercriminali fanno di vulnerabilità da sfruttare per violare i sistemi, si capisce quanto il problema ransomware sia qualcosa di inevitabile che non si può, semplicemente, ignorare. 

Recentemente abbiamo individuato una famiglia ransomware (chiamata Thanos) che tenta di evadere le tradizionali soluzioni Anti Ransomware implementando diverse tecniche, compresa una tecnica di iniezione di processi e la recentissima tattica RIPplace. Lo scorso anno un ricercatore di Nyotron ha pubblicato un cosiddetto proof of concept (POC) riguardo la tattica RIPplace, con la quale si possono potenzialmente criptare i file  senza essere individuati dalle soluzioni Anti Ransomware o di Individuazione e Risposta. 

Analisi tecnica
Il ransomware Thanos è dotato di molteplici funzioni pensate per cercare di aggirare e/o bypassare i prodotti antivirus. 

Il vettore di infezione non è chiaro, ma c'è uno script PowerShell che contiene, a sua volta, un altro PowerShell con doppia codifica Base64, contenente codice C# inline. Il primo script esegue lo script PowerShell integrato, quindi crea processi di notepad in modalità nascosta. Il codice C# che si trova nel secondo script è sostanzialmente preso dal codice Urban Bishop del framework Sharp-Suite presente su Github. L'identificativo dei processi di blocco note creati (PID) viene passato come argomento a questo codice C#. Quindi lo script viene diffuso lateralmente a tutte le macchine collegate in rete. Nella foto sotto il flusso di esecuzione dei diversi moduli


La funzione call contiene uno shellcode criptato in Base64, che viene poi iniettato nei processi notepad. E' qui, nello shellcode, che si trova il payload .NET criptato. Questo payload è la variante del ransomware Thanos e avvierà la criptazione dei file presenti sulla macchina bersaglio. 

Il framework di Thanos contiene differenti moduli. Ecco i più interessanti:

  • Antikill - come mostrato nella figura sotto, Thanos usa una funzione chiamata IamInmortal()  per rendere "immortale" il processo tramite modifiche al descrittore di sicurezza del processo

  • Anti Analisi - è una funzione deputata all'individuazione di debugger o ambienti virtuali: se questi sono individuati, la funzione arresta l'esecuzione del ransowmare.
     

  • Anti Snifffer - arresta i seguenti processi, comunemente usati per eseguire analisi sui malware:

  • Encryptions - contiene tutto ciò che è correlato alla routine di criptazione, come le funzioni di criptazione AES-CBC, di decriptazione, di lettura dei dati dai file, di scrittura dei dati su file;
  • CryptographyHelper - implementa la criptazione RSA;
  • NetworkSpreading - scarica una applicazione di Power Admin (che consente di eseguire Windows su una macchina remota) e esegue la versione corrente sulla macchina remota;
  • ProcessCritical - verifica se il processo sia in esecuzione con i privilegi di amministrazione;
  • RIP - implementa la tecnica RIPplace menzionata precedentemente.

    Altre funzioni sono disponibili qui, al report in lingua originale disponibile sul sito Seqrite.com. 
Thanos infine cerca di terminare una lunga serie di processi correlati a soluzioni antivirus


La cancellazione delle copie shadow dal sistema usando vssadmin.exe e di tutti i file di backup presenti (anche su drive differenti) cancella ogni possibilità di ripristino del sistema (tramite il comando cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin).

La routine di criptazione
Una volta che i file sono stati criptati, Thanos aggiunge l'estensione di criptazione .locked. La criptazione non viene comunque eseguita su tutte le tipologie di file, ma solo su alcuni formati bersaglio:

bco, one, dat, txt, vib, vbm, vbk, jpeg, gif, lst, tbl, cdx, log, fpt, jpg, png, php, cs, cpp, rar, zip, html, htm, xlsx, xls, avi, mp4, ppt, doc, docx, sxi, sxw, odt, hwp, tar, bz2, mkv, eml, msg, ost, pst, edb, sql, accdb, mdb, dbf, odb, myd, php, java, cpp, pas, asm, key, pfx, pem, p12, csr, gpg, aes, vsd, odg, raw, nef, svg, psd, vmx, vmdk, vdi, lay6, sqlite3, sqlitedb, accdb, java, class, mpeg, djvu, tiff, backup, pdf, cert, docm, xlsm, dwg, bak, qbw, nd, tlg, lgb, pptx, mov, xdw, ods, wav, mp3, aiff, flac, m4a, csv, sql, ora, mdf, ldf, ndf, dtsx, rdl, dim, mrimg, qbb, rtf, 7z


I file sono criptati con AES-CBC: le chiavi di criptazione usate sono criptate invece con l'algoritmo RSA e sono aggiunte nella nota di riscatto come si vede in foto sotto:


La tecnica RIPlace
La tecnica RIPlace è la caratteristica peculiare di Thanos, usata per evadere le soluzioni anti ransomware. 
Con questa tecnica, un malware può chiamare DefineDosDevice, una funzione genuina che crea un collegamento simbolico e può dare un nome arbitrario al percorso file di destinazione. Quando si effettua una chiamata per la funzione rename , il sistema non riesce ad analizzare il percorso di destinazione nella funzione di callback quando è in uso la routine comune FltGetDestinationFileNameInformation. Ecco che invece di ricevere il nuovo percorso, si ottiene un errore ma la chiamata Rename ha successo. Così il malware può modificare i file, criptandoli, evitando l'individuazione da parte delle soluzioni AV. Informazioni più dettagliate su RIPlace sono disponibili qui, nel report di Nyotron. 

Non solo: oltre a questo Thanos può tentare di sovrascrivere l'MBR (rendendo inavviabile il sistema operativo), per mostrare questo messaggio


IOC:
7BDD4B25E222B74E8F0DB54FCFC3C9EB
AF0E33CF527B9C678A49D22801A4F5DC
A15352BADB11DD0E072B265984878A1C
BE60E389A0108B2871DFF12DFBB542AC
98880A1C245FBA3BAE21AC830ED9254E
E01E11DCA5E8B08FC8231B1CB6E2048C

Ultime news

Per saperne di più

Expiro: un vecchio malware risorge e lancia una nuova sfida

22 marzo 2023

Alcuni utenti hanno recentemente subito una nuova infezione. Velocemente abbiamo verificato come questo attacco fosse dovuto a Exp...

Per saperne di più

La criptazione end-to-end rende difficile per le forze dell'ordine reprimere il crimine. Parola del CTO di Quick Heal

15 marzo 2023

traduzione dell'articolo di NABEEL AHMED su "The Hindu.com" - End-to-end encryption makes it difficult for law enforcement agencie...

Per saperne di più

Cyber Security Alert: Quick Heal mira ad espandere il suo ramo aziendale Seqrite

08 marzo 2023

traduzione dell'articolo Cyber Security Alert: Quick Heal Aims To Expand Its Enterprise Arm di Entrepreneur IndiaCon l'e...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas