Home Networking Obscura, varian ransomware baru yang tidak jelas
Networking

Obscura, varian ransomware baru yang tidak jelas

Sponsored by Huntress Labs10 min read
63
obscura,-varian-ransomware-baru-yang-tidak-jelas
Obscura, varian ransomware baru yang tidak jelas

Penulis: Harlan Carvey, Lindsey O’Donnell-Welch, Anna Pham, Alden Schmidt

Pada tanggal 29 Agustus 2025, analis Huntress menemukan varian ransomware yang sebelumnya tidak terlihat yang disebut “Obscura.” Nama ini diambil dari uang tebusan (Readme_obscura.txt), yang juga membuat beberapa referensi untuk obscura dalam isinya.

Saat meneliti varian ransomware ini, analis tidak menemukan referensi publik ke varian ransomware bernama Obscura.

Ransomware yang dapat dieksekusi pertama kali terlihat dieksekusi di beberapa host di organisasi korban. Jaringan ini memiliki penyebaran terbatas dari agen Huntress, yang memengaruhi deteksi dan respons, menghambat kemampuan SOC untuk merespons secara efektif. Ini juga membatasi visibilitas kami ke dalam aspek -aspek tertentu dari serangan tersebut, termasuk vektor akses awal.

Namun, yang dapat kami lihat adalah bahwa Ransomware Executable ditemukan pada pengontrol domain, di jalan:

C: windows sysvol sysvol [domain].local Scripts

Dalam insiden yang diamati oleh Huntress SOC, file yang dapat dieksekusi ransomware dinamai untuk domain di mana ditemukan, dalam upaya nyata untuk berbaur (karena alasan ini, kami tidak secara terbuka mengidentifikasi nama yang dapat dieksekusi ini). Yang dapat dieksekusi adalah Biner GO (termasuk ID GO Build), dan berisi sejumlah jalur file, seperti:

/run/media/veracrypt1/cadangan/obscura/locker/windows/locker/

/run/media/veracrypt1/locker deps/go1.15.linux-amd64/go/src/os/exec

Lokasi biner pada pengontrol domain dibagikan sebagai Netlogon Folder, yang membuat skrip dan objek kebijakan grup (GPO) tersedia untuk pengguna. Selain itu, konten folder secara otomatis direplikasi di semua pengontrol domain, untuk mempertahankan konsistensi. Namun, ini juga berarti bahwa ransomware yang dapat dieksekusi secara otomatis digunakan di seluruh infrastruktur.

Tugas yang dijadwalkan bernama SystemUpdate dibuat pada beberapa host di seluruh jaringan, termasuk pengontrol domain, untuk menjalankan biner ransomware dari saham Netlogon.

Pada salah satu mesin pengguna, aktor ancaman membuat tugas yang dijadwalkan bernama “Ijhcekag”. Tugas menjalankan perintah cmd.exe /c netsh firewall set jenis layanan = remotedesktop mode = enable> windows temp sjyfxb 2> & 1 Untuk mengaktifkan akses protokol desktop jarak jauh melalui firewall Windows.

Saat diluncurkan, Ransomware Executable menjalankan perintah tertanam berikut dalam upaya untuk menonaktifkan pemulihan pada titik akhir:

cmd.exe /c vssadmin hapus bayangan /semua /tenang

Catatan tebusan itu sendiri terkandung dalam biner ransomware sebagai string encoded base64.

Isi catatan tebusan: 

  Good day! Your company has failed a simple penetration test.    >> Your network has been completely encrypted by our software.    Our ransomware virus uses advanced cryptography technology that will make it very difficult for you to recover your information.    >> All information has been stolen.    We have stolen all information from all devices on your network, including NAS. The data includes but is not limited to: employee passport details, internal documentation, financial documents, and so on.    >> You have about 240 hours to respond.    If there is no response, all stolen information will be distributed.    We are waiting for you to decide to write to us, and we will be happy to negotiate a ransom price with you. By paying the ransom, you will also receive:    1) a report on how we infiltrated your network    2) instructions + software that decrypts all files    3) our assistance in recovery, if needed.    >> They will not help you; they are your enemies.    Recovery agencies, the police, and other services will NOT HELP you. Agencies want your money, but they do not know how to negotiate.    If you think you can restore your infrastructure from external backups that we did not access, we warn you:    1) The laws of any country impose huge fines on companies for information leaks.    2) Playing against us will not work in your favor. We will gladly wipe every one of your servers and computers.    When you write to us, we expect to hear from you who you are and what your relationship to the company is.    Your ID: [REDACTED]    TOX: [REDACTED]    Blog: hxxp://xxx[.]onion/    Obscura. 2025.

Analisis Teknis

Saat biner diluncurkan, ia akan memeriksa status variabel lingkungan yang disebut Daemon. Jika nilainya 1, biner akan menjatuhkan uang tebusan dan melanjutkan dengan enkripsi. Jika tidak ada atau memiliki nilai 0, itu akan menjalankan serangkaian fungsi untuk menyiapkan kotak untuk enkripsi.

Itu Main_run () fungsi dijalankan dalam mode daemon dengan Daemon = 1 mengatur. Ini mengambil kunci publik 32-byte aktor ancaman dengan mendekode string basis 64 yang tertanam di dalam yang dapat dieksekusi, kemudian melakukan pengintaian sistem dengan menyebutkan semua perangkat penyimpanan dan menghitung kapasitas mereka untuk membuat peta komprehensif dari semua drive yang tersedia dan ukuran penyimpanan mereka untuk enkripsi.

  • Ransomware mendekode catatan tebusan yang dikodekan basis64 dari data tertanam dan menulisnya ke C: ReadMe-Obscura.txt. Jika decoding gagal, itu mencetak “Gagal mendekode catatan: %s”Dan keluar.

Gambar 1: Catatan Tebusan Basis64

Itu Main_windows_api_isrunasadmin () Fungsi melakukan pemeriksaan hak istimewa Windows menggunakan dua panggilan API Windows berurutan untuk menentukan apakah proses saat ini memiliki hak administratif.

Fungsi Panggilan Pertama AlocateandinitializesId () untuk membuat pengidentifikasi keamanan untuk grup administrator lokal menggunakan Security_builtin_domain_rid (32) Sebagai otoritas, Domain_alias_rid_admins (544) sebagai subauthority, dan jumlah otoritas 2.

Mengikuti kreasi SID yang sukses, fungsi panggilan CheckTokenMembership () Untuk memverifikasi apakah token proses saat ini milik kelompok administrator, mengembalikan nilai boolean yang menunjukkan status administrasi. Jika salah satu panggilan API gagal, fungsi mengembalikan pesan kesalahan deskriptif seperti “AllocateAndInitializesId Gagal: %V “atau” Kekurangan Kekurangan Kehipsat: %V “.

Ketika pemeriksaan hak istimewa menentukan prosesnya tidak memiliki hak administrasi, cetakan ransomware “[!!!] pengguna bukan admin. KELUAR [!!!]“Dan segera mengakhiri eksekusi.

Ini mewakili persyaratan sulit tanpa mekanisme bypass, karena ransomware membutuhkan hak administratif untuk mengakhiri proses sistem, menghapus Volume Shadow Copy (cmd.exe /c vssadmin hapus bayangan /semua /tenang), dan akses API yang diperlukan untuk deteksi domain dan pembuatan proses daemon.

Gambar 2: Cuplikan Main_Windows_api_isrunasadmin yang mengonfigurasi konstanta keamanan windows (2, 32, 544) untuk membuat grup administrator SID untuk pemeriksaan hak istimewa

Setelah mengkonfirmasi hak administratif, ransomware mengumpulkan informasi sistem penting dengan menelepon Getsysteminfo () melalui Windows API. Itu secara khusus mengekstraksi DWNumberofProcessors nilai, yang menunjukkan jumlah core CPU yang tersedia pada sistem dan digunakan untuk mengoptimalkan strategi threading selama fase enkripsi.

Fase persiapan sistem berlanjut dengan penghentian proses agresif yang menargetkan aplikasi keamanan dan basis data yang mungkin mengganggu proses enkripsi.

Panggilan ransomware Main_windows_api_killprocesses ()yang beralih melalui daftar 120 proses target yang telah ditentukan. The ‘*‘Ditemukan dalam beberapa nama proses digunakan untuk menunjukkan wildcard untuk pencocokan string.

Lekok

MsMpEng

Mpcmdrun

CSFalConservice

Sentinelagent

bdagent

McAfee

AVP

Symcorpui

CCSVCHST

Amservice

Emsisoft*

csrss_guard

Perangkap*

Cyserver

Cytray

ESA

elastis-endpoint*

F-Secure*

fsav*

360Tray

360SD

ksafe

Avguard

Rata -rata

Avast*

Crowdstrike*

Falcon-Sensor

Glasswire *

Zonealarm

nyaman*

Veeam*

VeeeamTransportsvc

Veeambackupsvc

ACRSCH2SVC

AFCDPSRV

Acronisagent

Acronibackupagent

Altar*

Nakivo*

Iperius *

Macriumservice

EASEUS*

CrashPlanService

Veritas*

Netbackup*

Backupexec

Bedatabase

Mendongkrak

Commvault*

CVD

Galaksi*

Snapman

StorageCraft*

Druva*

rubrik*

Synmedia*

Cloudberry *

Dbagent

Datto*

Siragent

Mssql*

Sqlserveragent

SQLWRITER

Sqlbrowser

Oracleservice*

Oraclevsswriter

Oraclexetnslistener

Postgresql*

PG_CTL

mysql

mysqld

Mariadb

Mariadb

Percona *

ccbackup*

cbrestore*

Abbservice

Splunkd

Splunkforwarder

Ossec *

wazuh*

agent_m*

Zabbix*

Nagios

Nrpe

prtg*

SolarWinds *

Greylog*

Nxlog

Winlogon

Eventlog

Sysmon*

Vmwarehostd

VMWareAuthDService

Vmwarenatenservice

VMwareUsBarbzService

vmware-hostd

Vboxsds

Vboxheadless

Vbox*

VMM

Vmicheartbeat

Vmickvpexchange

Vmicrdv

vmicshutdown

com.docker.service

pelari gitlab

Jenkins*

TeamCity*

bambu*

gurita*

Rundeck*

ansible*

Salt-minion

Activebackup*

Syno*

SynologyDrive

SynologyquickConnect

Ketika nama proses cocok dengan pola target di atas, fungsi mengeksekusi urutan terminasi dengan menelepon OpenProcess (Process_Terminate, False, ProcessID) Untuk mendapatkan pegangan ke proses target dengan hak penghentian.

Jika pegangan berhasil diperoleh, itu menelepon TEMANPINEPROCESS (Proses_Handle, 1) Untuk secara paksa mengakhiri proses dengan Kode Keluar 1 dan mencetak pesan sukses yang menunjukkan ID proses dan nama dalam format “[+] membunuh pid %d ( %s)”. Jika penghentian gagal, fungsi mengembalikan pesan kesalahan yang menyatakan“Gagal Menghentikan Proses”Tetapi terus membunuh proses target lainnya.

Ransomware menggunakan Windows API DSrolegetPrimaryDomaininformation untuk menentukan peran komputer dalam domain. Ini dilakukan di Main_Windows_API_GetPcroL () fungsi, yang memetakan peran domain windows ke nilai internal.

Terlepas dari peran domain yang terdeteksi, setiap cabang menjalankan urutan yang sama dari memuat pesan string spesifik peran dan menampilkan pesan status yang sesuai sebelum segera melanjutkan ke fase pembuatan daemon.

Pesan -pesan ini menunjukkan kemampuan propagasi jaringan yang dimaksudkan yang tidak pernah sepenuhnya diimplementasikan atau mewakili pengembangan yang tidak lengkap, karena kode aktual tidak mengandung fungsionalitas gerakan lateral di luar rutin enkripsi lokal.

  • PC mandiri: tampilan [+] Mendeteksi PC mandiri. menunjukkan sistem tidak terhubung ke domain

  • PC di domain: pertunjukan [+] Mendeteksi PC di domain. Jalankan transfer ke DC. menyarankan transfer ke pengontrol domain

  • Pengontrol Domain Cadangan: pertunjukan [+] Mendeteksi BDC. Jalankan transfer ke PDC.menyiratkan propagasi kepada pengontrol domain primer

  • Pengontrol domain primer: tampilan [+] Mendeteksi PDC. Jalankan transfer ke semua PC di domain. menunjukkan penyebaran ke semua komputer domain

Ada beberapa strategi enkripsi yang dipilih biner dari: Dienkripsi atau EncryptPart. Kedua fungsi tersebut memanfaatkan encryptFileRange () berfungsi dengan argumen yang berbeda.

Keputusan terjadi dengan pemeriksaan ukuran file sederhana yang membandingkan setiap file dengan ambang 1 GB. Untuk file yang 1 GB atau lebih kecil, panggilan biner ransomware Enkripsi ()yang mengenkripsi seluruh file dari awal hingga akhir. Untuk file yang lebih besar dari 1 GB, itu menelepon EncryptPart ()yang hanya mengenkripsi 25% pertama dari file menggunakan rasio hardcoded.

Mereka memiliki kunci publik sebaya (Curve25519) dan selama enkripsi akan menghasilkan kunci pribadi yang fana menggunakan Main_Windows_API_GenerateEphemeralkeyPair ().

Ini digunakan untuk menghasilkan kunci xchacha20 yang saya S kemudian digunakan untuk enkripsi file. Untuk mencapai hal ini, mereka menggunakan multiplikasi skalar (x25519) antara kunci pribadi dan kunci publik mereka untuk menghasilkan rahasia bersama 32 byte.

Rahasia bersama itu bersama dengan nonce acak 24 byte digunakan sebagai parameter untuk enkripsi file chacha.

Sebelum menulis file terenkripsi kembali ke disk, mereka menambahkan footer 64 byte yang terdiri dari:

  • OBSCURA!

  • Kunci publik 32 byte

  • 24 byte nonce

Gambar 3: Sampel file terenkripsi

Karena mereka memiliki kunci pribadi peer, mereka dapat menggunakan footer ini untuk menderiarkan kunci Chacha20 yang digunakan untuk mengenkripsi file.

Ransomware obscura mengimplementasikan mekanisme pemfilteran file yang dirancang untuk memaksimalkan kerusakan pada data pengguna sambil menjaga fungsionalitas sistem.

Sistem penyaringan beroperasi melalui Main_hasexcludedExtension () Fungsi, yang melakukan pencocokan ekstensi case-sensitif terhadap daftar eksklusi hardcoded. Fungsi mengekstrak ekstensi file dan dibandingkan dengan 15 ekstensi yang telah ditentukan:

Sistem Eksekusi dan Perpustakaan:

  • .exe – aplikasi yang dapat dieksekusi

  • .dll – pustaka tautan dinamis

  • .msi – paket penginstal microsoft

  • .sys – file driver sistem

Komponen boot dan firmware:

  • .efi – file firmware uefi

  • .Boot – File Konfigurasi Boot

  • .iso – file gambar disc iso

  • .rom – file firmware rom

  • .bin – file sistem biner

Konfigurasi dan Utilitas Sistem:

  • .ini – file konfigurasi

  • .cfg – file konfigurasi

  • .lnk – file pintasan windows

  • .hosts – file konfigurasi jaringan

  • .swapfile – file memori virtual windows

Proteksi diri ransomware:

  • .obscura – file terenkripsi dengan ekstensi ransomware

Obscura dan varian ransomware baru lainnya

Obscura adalah salah satu dari beberapa varian ransomware yang lebih baru yang dilihat Huntress bermunculan dalam beberapa bulan terakhir, termasuk Crux ransomware Dan Cephalus Ransomware. Ini bisa disebabkan oleh beberapa faktor. Aktor ancaman terus mengubah citra dan meluncurkan varian ransomware baru setelah gangguan penegakan hukum berdampak pada ekosistem.

Selain itu, karena basis pelanggan kami terus tumbuh, kami terus mendapatkan lebih banyak visibilitas menjadi lebih banyak varian ransomware.

Terlepas dari itu, apa yang disajikan dalam posting ini hanyalah salah satu cara untuk menggunakan ransomware. Organisasi harus memantau pengontrol domain mereka dengan cermat dan mencari penambahan file baru, serta modifikasi file yang ada, termasuk GPO.

Administrator juga harus memantau pengontrol domain, serta titik akhir lainnya (server, workstation) untuk akses yang tidak biasa atau mencurigakan.

Pertahankan kesadaran situasional – daftar untuk Tradecraft Selasa

Tradecraft Selasa memberi para profesional cybersurity analisis mendalam tentang aktor ancaman terbaru, vektor serangan, dan strategi mitigasi.

Setiap sesi mingguan menampilkan panduan teknis dari insiden terbaru, gangguan komprehensif tren malware, dan indikator kompromi terkini (IOC).

Peserta mendapatkan:

  • Briefing terperinci tentang kampanye ancaman yang muncul dan varian ransomware

  • Metodologi pertahanan yang didorong oleh bukti dan teknik remediasi

  • Interaksi langsung dengan analis huntress untuk wawasan respons insiden

  • Akses ke intelijen ancaman dan panduan deteksi yang dapat ditindaklanjuti

Maju postur defensif Anda dengan kecerdasan waktu nyata dan pendidikan teknis yang dirancang khusus untuk mereka yang bertanggung jawab untuk menjaga lingkungan organisasi mereka.

Daftar untuk Tradecraft Selasa →

IOC

Indikator

Keterangan

[company name].exe

Sha256:

C00A2D757349BFFFFF4D7E0665446101D2AB46A1734308CB3704F93D20DC7AAC23

Ransomware dapat dieksekusi

Readme_obscura.txt

Catatan tebusan (isi di bawah)

C: windows sysvol sysvol [domain].local Scripts

Folder Ops Aktor Ancaman

Desktop-xnbshkj2

Kemungkinan nama workstation aktor ancaman

Disponsori dan ditulis oleh Lab Huntress.

Post Views: 63

Read Also

Exit mobile version