Sodinokibi Teknik Analiz Raporu

Home  /  Yazılar

SODİNOKİBİ TEKNİK ANALİZ RAPORU

Özet

Sodinokibi 2019’un ilk çeyreğinde yayılmaya başlayan ve Mart-Nisan aylarında toplu yayılma çalışmaları yürütülen bir fidyeci zararlı yazılımdır. Kendisi ayrıca CVE-2019-2725 ve CVE-2018-8453 kodlu zafiyetleri sömürmektedir.

CVE-2018-8453 kodlu zafiyet öncesinde Ortadoğuda yürütülen saldırılarda kullanılmıştı.

Bu rapor Sodinokibi’ye ait teknik analizi ve IOC’leri içermektedir.

  • Önyükleyici
  • Fidyeci
  • Şifreleme Aşaması
  • Konfigürasyon
  • Yetki Yükseltme
  • C&C Bağlantısı
  • MITRE ATT&CK Matrisi
  • IOC

Raporda aşağıda özet bilgileri yer alan varyantlar analiz edilmiştir.

SHA256 11d7ebfc6dd68efb6dda3a7a37c29eaf96b5e154522db9d933e7b20ca978faea
SHA256 95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
SHA256 fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451

 

Önyükleyici

İncelemeye aldığımız örneğe baktığımızda kendisinin bir önyükleyici olduğunu gördük. Fidyecinin asıl aktiviteleri başlamadan önce

önyükleyici hafızasında bulunan pack’lenmiş bölümü çalıştırabilmek amacıyla bir alan yaratıyor ve ardından unpack işlemini gerçekleştirerek yarattığı alana asıl kısmı aktarıp kalan sürecini ilgili bölümden devam ettiriyor.

Fidyeci

Dinamik API Çözümleme

Hedef uygulama statik analiz sürecinde tespitini zorlaştırmak amacıyla kullanacağı API’leri dinamik olarak çözümlemektedir.

Mutex
Ön Hazırlık

Kullanıcıya ait dosyaları şifrelemeden önce hedef uygulama aşağıda bulunan komutu çalıştırıyor.

“C:\Windows\System32\cmd.exe” /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

Bu komut ile shadow kopyaları silinmekte ve kurtarma devre dışı bırakılmaktadır.

Şifreleme Aşaması

Sodinokibi AES-256, Curve25519 ve Salsa20 implementasyonu barındırmaktadır. Dosyaları şifrelerken akış şifreleme algoritması olan Salsa20, kayıt defteri değerleri ve C&C bağlantıları için AES’i, anahtar değişimi için ise Curve’i kullanmaktadır.

İlgili proses şifreleme işlemleri sırasında kullanacağı anahtarları ve uzantıyı çalıştığı sistem içerisinde HKLM\SOFTWARE\RECFG altında saklamaktadır.

Çalıştığı sistem içerisinde şifreleyeceği hedefleri bulabilmek için “kernel32” fonksiyonu olan “FindFirstFileExW” kullanılmaktadır.

Dosyaları şifreledikten sonra uzantılarını değiştirmektedir.

Konfigürasyon

Sodinokibi zararlısı bir konfigürasyon barındırmaktadır.

Bu konfigürasyon şifreleme esnasında kullanılan PK’ı, etkilenen sisteme ait ID’i, şifrelenmeyecek klasörlere/dosyalara ait anahtar kelimeleri ve uzantıları, şifreleme işleminden önce sonlandırılacak uygulama isimlerini, işlemlerini gerçekleştirdikten sonra kullanıcıya bırakacağı notu, not dosyasının adını ve imaj gibi ayarları bulundurmaktadır.

PK Açık Anahtar
PID Dağıtana Ait ID
SUB Kampanya ID
DBG Debug Mod / Belirtilmediğinde sistemde arayüz ve klavye dil kontrolü yapmaktadır.
FAST Hızlı Mod
WIPE Dizin silme
WHT Klasör/Dosyalar için whitelist
WFLD Silinecek dizinler
PRC Şifreleme işlemi öncesi sonlandırılacak proses adları
DMN Bağlantı kurulacak domain listesi
NET Domainler ile bağlantı kurulup kurulmayacağını belirten anahtar
NBODY Fidyeciye ait notun B64 encoded hali
NNAME Not dosyasının adı
EXP CVE-2018-8453 kodlu exploiti kullanıp kullanmayacağı
IMG Masaüstü görseli

 

Yetki Yükseltme

Sodinokibi sahip olduğu konfigürasyon içerisinde “exp” adlı bir anahtar barındırmaktadır. Eğer ilgili varyantta bu anahtar bir değere sahipse proses öncelikle CVE-2018-8453 kodlu zafiyete ait sömürü kodunu çalıştırmaktadır. Eğer başarısız olursa kendini yönetici kullanıcısına ait yetkilerle çalıştırmayı denemektedir.

CVE-2018-8453

Zafiyet win32k.sys içerisinde bulunmakta ve bellekte bulunan nesnelerin düzgün işlenmemesinden ortaya çıkmıştır. Zafiyet sayesinde sistem kullanıcısı seviyesindeki yetkiler elde edilebilmekte ve kernel modda kod çalıştırılabilmektedir.

Zafiyetin kompleksliği nedeni ile rapor içerisinde tüm detaylara yer verme şansımız olmadığı için farklı bir yazıda zafiyeti ele alacağız.

Sömürü Diagramı
C&C Bağlantısı

Bahsi geçen konfigürasyon içerisinde “dmn” dizisi, Sodinokibi’nin şifreleme işleminden sonra bağlantı kuracağı domainleri barındırmaktadır. Eğer varyant içerisinde bulunan konfigürasyonda bir domain dizisi varsa şifreleme işleminden sonra domainler ile dinamik olarak URL’ler oluşturup, enfekte olduğu sistem hakkında topladığı bilgileri şifreleyerek kaydettiği “HKLM\SOFTWARE\recfg\stat” anahtarındaki değerleri göndermektedir.

Aşağıda bu domainlerden bazıları yer almaktadır.

MITRE ATT&CK Teknikleri
Tactic ID Name
Initial Access T1190 Exploit Public-Facing Application
T1133 External Remote Services
T1199 Trusted Relationship
Execution T1059 Command-Line Interface
T1106 Execution through API
Persistence T1050 New Service
Privilege Escalation T1050 New Service
T1068 Exploitation for Privilege Escalation
Defense Evasion T1089 Disabling Security Tools
T1112 Modify Registry
Impact T1486 Data Encrypted for Impact
T1490 Inhibit System Recovery
IOC
Anahtar Değer
SHA256 0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
SHA256 34dffdb04ca07b014cdaee857690f86e490050335291ccc84c94994fa91e0160
SHA256 74bc2f9a81ad2cc609b7730dbabb146506f58244e5e655cbb42044913384a6ac
SHA256 95ac3903127b74f8e4d73d987f5e3736f5bdd909ba756260e187b6bf53fb1a05
SHA256 fa2bccdb9db2583c2f9ff6a536e824f4311c9a8a9842505a0323f027b8b51451
SHA256 a05c78b65a632ac51a4feeb748e5e89cc6e57d7a394d8b61aa06f4e721eae3a5
SHA256 5f56d5748940e4039053f85978074bde16d64bd5ba97f6f0026ba8172cb29e93
SHA256 e5d23a3bb61b99e227bb8cbfc0e7f1e40fea34aac4dcb80acc925cfd7e3d18ec
SHA256 0fa207940ea53e2b54a2b769d8ab033a6b2c5e08c78bf4d7dade79849960b54d
SHA256 11d7ebfc6dd68efb6dda3a7a37c29eaf96b5e154522db9d933e7b20ca978faea
SHA256 861bc212241bcac9f8095c8de1b180b398057cbb2d37c9220086ffaf24ba9e08
SHA256 5f56d5748940e4039053f85978074bde16d64bd5ba97f6f0026ba8172cb29e93
Domain decryptor[.]top
Mutex Global\206D87E0-0E60-DF25-DD8F-8E4E7D1E3BF0
Mutex Global\48ce5235-506a-49ee-999a-bee908c6aa17
Registry HKLM\SOFTWARE\recfg
Registry HKLM\SOFTWARE\recfg\0_key
Registry HKLM\SOFTWARE\recfg\pk_key
Registry HKLM\SOFTWARE\recfg\sk_key
Registry HKLM\SOFTWARE\recfg\sub_key
Registry HKLM\SOFTWARE\recfg\stat
Registry HKLM\SOFTWARE\recfg\rnd_ext