Принц Евген Ransomware: Глибокий аналіз нового шифратора на базі Go
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Принц Ойген — це нововиявлене сімейство програм-вимагачів на основі Go, яке використовує рекурсивне шифрування та пріоритезує нещодавно змінені файли, щоб посилити тиск на жертв. Воно покладається на ChaCha20-Poly1305 для шифрування файлів і включає антифорензичні функції, такі як знищення ключів шифрування з пам’яті та самовидалення після виконання. Операція слідує моделі вимагання поза діапазоном і не залишає записки про викуп на локальній системі.
Розслідування
Розслідування передбачає, що вторгнення, ймовірно, почалося з компрометованих облікових даних RDP, за яким слідує доставка servertool.exe завантаження через Chrome. Дослідники також спостерігали використання інструменту віддаленого управління RemotePC для латерального переміщення та створення на базі PowerShell. Атрибуція була пов’язана з актором ROOTBOY на основі спільних ідентифікаторів виманень і раніше спостережуваної діяльності з проникнення.
Пом’якшення
Організації повинні посилити доступ до RDP за допомогою багатофакторної автентифікації та контролю за несанкціонованим використанням інструментів віддаленого управління. Також важливо потужний захист кінцевих точок, здатний блокувати невідомі виконувані файли на основі Go та виявляти підозрілу поведінку PowerShell. Регулярне резервне копіювання офлайн та захист часто змінюваних даних можуть допомогти зменшити вплив цього інтенсивного підходу до шифрування.
Відповідь
Якщо виявлено активність Принц Ойген, негайно ізолюйте уражені системи, щоб зупинити подальший рух через інструменти RMM або сесії RDP. Виконайте форензічний аналіз пам’яті до перезавантаження хоста або дозволу програмі видалити себе, оскільки це може дати найкращий шанс відновити матеріал шифрування. Інцидентна відповідь має також бути зосереджена на відстеженні можливої витоку даних та будь-яких каналів зв’язку поза межами діапазону, які використовуються зловмисником.
"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% Initial Access and Execution access_rdp["<b>Action</b> – <b id='T1133'>External Remote Services</b><br/><b>Description</b>: Access via compromised RDP credentials."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>User Execution: Malicious File</b><br/><b>Action</b>: Downloaded via Chrome browser<br/><b>File</b>: servertool.exe<br/><b>Path</b>: User Music folder"] class exec_chrome initial_access %% Persistence and Privilege Escalation persist_user["<b id='T1136.001'>Create Account: Local Account</b><br/><b>Action</b>: Created new local administrator<br/><b>Command</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>Persistence: Create or Modify System Process</b><br/><b>Tool</b>: RemotePC RMM<br/><b>Action</b>: Launching PowerShell stagers to deploy payloads"] class priv_esc_rmm persistence %% Lateral Movement lat_move_rmm["<b id='T1021'>Remote Services</b><br/><b>Action</b>: Hands-on-keyboard activity<br/><b>Tool</b>: RemotePC RMM<br/><b>Description</b>: Facilitating lateral movement within the environment"] class lat_move_rmm lateral_movement %% Collection and Exfiltration coll_data["<b id='T1213'>Data from Information Repositories</b><br/><b>Action</b>: Large scale data collection<br/><b>Details</b>: Approximately 1.2 TB collected from Standard Bank"] class coll_data collection exfil_leak["<b id='T1041'>Exfiltration Over C2 Channel</b><br/><b>Action</b>: Double extortion via dedicated leak portal<br/><b>Description</b>: Moving stolen data to external portal"] class exfil_leak collection %% Impact impact_enc["<b id='T1486'>Data Encrypted for Impact</b><br/><b>Malware</b>: servertool.exe<br/><b>Type</b>: Go-based encryptor<br/><b>Method</b>: Recursive ChaCha20-Poly1305 encryption<br/><b>Extension</b>: .prinzeugen"] class impact_enc impact %% Defense Evasion evasion_mem["<b id='T1027'>Obfuscated Files or Information</b><br/><b>Action</b>: Anti-forensic memory wiping<br/><b>Description</b>: Zeroes out hardcoded encryption key and runs garbage collector"] class evasion_mem evasion evasion_del["<b id='T1070.004'>Indicator Removal: File Deletion</b><br/><b>Action</b>: Self-deletion via cmd.exe<br/><b>Technique</b>: Uses a ping-delay trick to ensure file removal from disk"] class evasion_del evasion %% Connections access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "
Потік Атаки
Виявлення
Можливість виконання через приховані командні рядки PowerShell (через cmdline)
Перегляд
Завантаження або Вивантаження за допомогою Powershell (через cmdline)
Перегляд
Можливий обліковий запис для збереження [Windows] (через cmdline)
Перегляд
Можливе використання PING для відкладеного виконання (через cmdline)
Перегляд
Виклик підозрілих методів .NET з Powershell (через powershell)
Перегляд
Підозріле завантаження файлу безпосередньо на IP (через проксі)
Перегляд
Можливе виявлення підготовки PowerShell за допомогою RemotePC [Windows Powershell]
Перегляд
Виявлення шифрування та самовидалення програм-вимагачів Prinz Eugen [Створення процесу Windows]
Перегляд
Виконання Симуляції
Попередня умова: Попередня перевірка телеметрії та базової лінії повинна пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для спрацювання правила виявлення. Команди та наративи ПОВИННІ безпосередньо відображати ідентифіковані TTP з метою відтворення саме тієї телеметрії, на яку чекає логіка виявлення. Анонімні чи неналежні приклади можуть призвести до неправильної діагностики.
-
Нарис атаки та команди: Супротивник розгорнув програму-вимагач Prinz Eugen. Для максимізації впливу та мінімізації криміналістичних слідів зловмисне програмне забезпечення налаштоване на видалення оригінальних файлів після їх шифрування за допомогою
--deleteпрапорця. Щоб запобігти тому, що файл “у використанні” під час власного видалення, зловмисне програмне забезпечення викликає шелл команд для створення короткої затримки черезpingдо виконанняdelкоманди на його власному бінарі. Ця конкретна послідовністьservertool --deleteкомбінована зcmd.exe /C ping -n 2 > nul & del /F /Qє основним індикатором, який ми симулюємо. -
Скрипт тестування регресії:
# Симуляція поведінки командної лінії програм-вимагачів Prinz Eugen # Цей скрипт симулює точну строку команди, яку очікує правило виявлення. # 1. Створіть фіктивний 'servertool.exe', що представляє зловмисне програмне забезпечення $dummyExe = "$env:TEMPservertool.exe" New-Item -Path $dummyExe -ItemType File -Force # 2. Симуляція виконання програм-вимагачів із специфічними аргументами командного рядка # Примітка: у реальному середовищі це буде фактичне виконання процесу. # Ми використовуємо Start-Process, щоб симулювати створення нового процесу з цільовою строкою команди. $ransomwareCommand = "servertool --delete" $selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`"" Write-Host "Симуляція створення процесу програм-вимагачів..." # Виклик виклик, симулюючи подію створення процесу # Ми викликаємо cmd, щоб імітувати точний шаблон строки, яка потрібна Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`"" -
Команди очищення:
# Очистити артефакти симуляції Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue