Thursday, 24 March 2016

Cerber Ransomware

Intro

Το Cerber ransomware ξεκινησε να κυκλοφορει μαζι με το Locky(βλεπε προηγουμενα αρθρα), χρησιμοποιοντας παρομοιες τεχνικες διαδοσης. Σε αυτο το αρθρο θα δουμε μερικα χαρακτηριστικα του Cerber. Επισης, δεν θα επικεντρωθουμε τοσο στην διαδικασια του unpacking.

Το sample που θα αναλυσουμε εχει ως MD5:f5146a3bbe6c71e5a0ef2f04f955b1a1

Tools

Ollydbg

Unpacking


Οπως ειπαμε και στην αρχη του αρθρου δεν θα δωσουμε ιδιαιτερη σημασια στο unpacking. Παρολαυτα, αξιζει να πουμε οτι αρκετα samples του cerber εχουν γινει encrypted με κλασσικους Crypters που μπορει να βρει ο καθενας. Οσοι θελουν να προσπαθησουν μπορουν να βαλουν breakpoints στα VirtualFree και VirtualAlloc API calls. Αν παλι θελετε να παραλειψετε αυτο το βημα και θελετε να δειτε μερικα απο τα χαρακτηριστικα που περιγραφονται στο αρθρο(κατι που δεν συνισταται), τοτε απλα βαλτε ενα breakpoint στην διευθυνση 00401000.

Cerber Ransomware Overview

Interesting string


Κανοντας μια απλη αναζητηση για Strings, εντοπιζουμε ενα αρκετα ενδιαφερον string (Εικονα 1)

Εικονα 1





Registry Persistence

Για να "επιβιωσει" απο καποιο reboot ή shutdown, το cerber δημιουργει το παρακατω registry key (Εικονα 2) στο "HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"

Εικονα 2





Cerber Config

Οπως καθε Ransomware (και οχι μονο) εχει ενα config στο οποιο οριζονται τι αρχεια θα κρυπτογραφηθουν (π.χ .doc, .pdf). Συγκεκριμενα, το cerber αφου κανει extract το config του απο τα resources, ελεγχει και την χωρα που βρισκεται ο υπολογιστης. (Εικονα 3)

Εικονα 3




Files Encryption

Παρακατω φαινεται η διαδικασια του encryption(Εικονα 4). 

Εικονα 4



















Αφου κανει encrypt ενα αρχειο, θα χρησιμοποιησει το SetFileTime call ωστε να αλλαξει ημερες και ωρες στην δημιουργια, τροποποιηση και προσπελαση του αρχειου(Εικονα 5).

Εικονα 5






Network Communication


Ενας απο τους σερβερ που χρησιμοποιει το Cerber ειναι το ipinfo.io προκειμενου να παρει την τοποθεσια 
του μηχανηματος που εχει γινει infected (Εικονα 6).

Εικονα 6












Συμπερασματα

Το Cerber ransomware δεν εχει καποια ιδιαιτερη διαφορα με τα υπολοιπα ransomwares που κυκλοφορουν. Στο αρθρο δειξαμε περιληπτικα μερικες απο τις λειτουργιες του. Αν επιθυμειτε να δειτε ορισμενα παραπανω χαρακτηριστικα του, μπορειτε να βρειτε το sample εδω.