Die Sicherheitsforscher von Sophos haben gerade neue Informationen zum SystemBC-Tool veröffentlicht, das bei mehreren Ransomware-Angriffen verwendet wird.
Ähnliche Ansätze bei der Verwendung des Tools können bedeuten, dass ein oder mehrere Ransomware-as-a-Service-Partner es bereitgestellt haben. SystemBC ist eine Hintertür, die eine dauerhafte Verbindung zu Zielsystemen bietet.
Weiterentwicklung des SystemBC-Tools
SystemBC, zuerst entdeckt in 2019, hat Entwicklung erfahren. Das Tool wurde als Proxy und RAT verwendet (Remote-Verwaltungstool), fähig, Windows-Befehle auszuführen. Weitere Funktionen sind das Ausführen von Skripten, böswillige exe, und DLL-Dateien. Sobald SystemBC auf dem System gelöscht wird, Es ermöglicht eine Backdoor-Verbindung zu Angreifern.
Die neuesten Beispiele des Tools zeigen, dass es sich weiterentwickelt hat. Diese Beispiele enthalten Code, der das Tor-Netzwerk verwendet, um das Befehls- und Kontrollverkehrsziel zu verschlüsseln und auszublenden. Die Forscher haben "Hunderte von versuchten SystemBC-Bereitstellungen weltweit" gesehen. Ransomware-Kampagnen von Ryuk und Egregor Familien nutzten das Tool in Kombination mit Post-Exploitation-Tools wie Cobalt Strike. "In manchen Fällen, Die SystemBC-RAT wurde auf Servern bereitgestellt, nachdem die Angreifer administrative Anmeldeinformationen erhalten und tief in das Zielnetzwerk eingedrungen sind,Sagt Sophos.
Die Tor-Komponente von SystemBC
Die Tor-Komponente im Werkzeug basiert auf einem Mini-Tor, eine Open-Source-Bibliothek für die einfache Konnektivität mit dem Tor-Netzwerk.
Der Code von mini-Tor wird in SystemBC nicht dupliziert (da mini-Tor in C ++ geschrieben ist und SystemBC aus C kompiliert wird). Die Implementierung des Tor-Clients durch den Bot ähnelt jedoch stark der Implementierung, die im Open-Source-Programm verwendet wird, einschließlich der umfassenden Verwendung der Windows Crypto Next Gen. (CNG) APIs Basis-Krypto (BCrypt) Funktionen, Der Bericht enthüllt.
Andere schädliche Funktionen
Einmal von einer geplanten Aufgabe ausgeführt, Der Bot sammelt spezifische Systeminformationen, speichert es in einem Puffer, und sendet es über Tor an den Command-and-Control-Server. Die gesammelten Informationen umfassen Folgendes:
- Aktiver Windows-Benutzername
- Windows-Build-Nummer für das infizierte System
- Eine WOW-Prozessprüfung (um festzustellen, ob das System 32-Bit oder 64-Bit ist)
- Seriennummer des Volumens.
Weiter, Die Bot-Operatoren können den Befehls- und Kontrollserver bereitstellen, um verschiedene Nutzdaten zur Ausführung an das infizierte System zurückzusenden. „SystemBC kann EXE- oder DLL-Datenblobs analysieren und ausführen, die über die Tor-Verbindung übertragen werden, Shell-Code, VBS-Scripts, Windows-Befehle und Batch-Skripte, und PowerShell-Skripte," Sophos warnt.
Was bedeuten die Funktionen von SystemBC für Ransomware-Angriffe??
Über alle, Das breite Spektrum der Funktionen des Tools ermöglicht es Angriffen, Entdeckungen durchzuführen, Exfiltration, und seitliche Bewegung aus der Ferne mit Hilfe von gepackten Skripten und ausführbaren Dateien. Die Forscher sagen, dass „diese Fähigkeiten ursprünglich für die Massenausbeutung gedacht waren, Aber sie wurden jetzt für gezielte Angriffe - einschließlich Ransomware - in das Toolkit integriert. “
Zum Glück, SystemBC kann von vielen Anti-Malware-Tools erkannt werden. Jedoch, Bedrohungsakteure setzen das Tool weiterhin erfolgreich ein, da sie "inkonsistenten Malware-Schutz in Organisationen verwenden oder legitime Anmeldeinformationen nutzen, um den Malware-Schutz zu deaktivieren".