Schadelijke malware met onder meer IsaacWiper en de HermeticWizard

Highly malicious malware including IsaacWiper and the HermeticWizardFoto: © Ed Hardie

Schadelijke malware met onder meer IsaacWiper en de HermeticWizard

Onderzoekers van het antivirusbedrijf ESET hebben een nieuw en vernietigde malware gevonden dat op dit moment erg actief is in Oekraïne. Deze malware heeft de werknamen IsaacWiper, HermeticWiper, HermeticWizard en HermeticRansom gekregen. In dit artikel vertel ik meer over deze malware en hoe dit actief kan worden binnen een geïnfecteerde computer, laptop of systeem.

Opmerking: Dit artikel is geschreven met dank aan het ESET onderzoeksrapport van deze malware. De credits behoren dan ook volledig toe te schrijven aan We Live Security, onderdeel van ESET, die deze ontdekking heeft gepubliceerd. Daarnaast heb ik aanvullend gebruik gemaakt van de bronnen Reuters, Symantec, AVAST (Tweet) en de ESET GitHub.

Sinds de oorlog tussen Rusland en Oekraïne is er ook een digitale oorlog gaande. Zo worden veel bedrijven digitaal geraakt door zogeheten DDoS-aanvallen, waardoor een website nauwelijks of niet bereikbaar is. Ook andere platformen, zoals televisiestations, radiostations en telecommunicatie worden door DDoS- en hackaanvallen verstoord. Zowel in Rusland als in Oekraïne. Door de start van deze oorlog hebben ESET onderzoekers ook een grote ontdekking gedaan. Op dit moment lijkt de nieuwe malware vooral te bevinden in Oekraïne, maar ESET maakt ook haar zorgen over de uitbreiding naar andere (Europese) landen.

Hoe is deze malware ontstaan?

Rond de klok van 14:52 (UTC) op 23 februari 2022 kwamen de eerste acties tegen Oekraïense organisaties met het HermeticWiper malware in actie. Een aantal uur later dan de invasie van het Russische leger die Oekraïne was binnengevallen. Een dag later, 24 februari 2022, werd er een tweede aanval gemaakt met het wissende malware IsaacWiper. Hierdoor worden systemen dusdanig beschadigd waardoor de computer niet meer gebruikt kan worden. Met enige geluk zou je een computer nog kunnen gebruiken door een andere harde schijf erin te plaatsen. Dit betekend dus dat alle data die op de eerdere harde schijf stonden permanent vernietigd zijn!

De eerste tekenen zijn volgens onderzoekers van ESET begonnen met de code-signing certificaten van Hermetica Digital Ltd die op 13 april 2021 zijn uitgegeven. Gelukkig heeft DigiCert, die de bijbehorende CA certificaten heeft uitgegeven, op verzoek van ESET de betreffende CA certificaten op 24 februari 2022 ingetrokken.

Het betreffende SSL Certificaat | Foto: © We Live Security (embedded)

Volgens Reuters zouden deze certificaten niet gestolen zijn van het bedrijf Hermetica Digital Ltd, maar zich voor hebben gedaan als het bedrijf om de CA certificaten van DigiCert te kunnen ontvangen. Daarom gaan de onderzoekers van ESET ervan uit dat de getroffen organisaties al ruim voor de Russische invasie besmet waren met deze malware en de geïnfecteerde beveiligingscertificaten geïnstalleerd hadden. Dit zou bevestigd worden doordat de HermeticWiper PE van 28 december 2021 afkomstig is, dat de code-signing certificaat afkomstig is van 13 april 2021, en dat de onderzoekers suggereren dat het HermeticWiper malware via default domain policy vooraf toegang had tot de Active Directory servers van de getroffen slachtoffers.

Ondanks dat het erop lijkt dat vooral het Hermetica Digital certificaat de malware binnen heeft kunnen laten, word er door de ESET onderzoekers aangegeven dat er via meerdere manieren toegang is verkregen. Deze aanvallen zouden dan al maanden van ten voren gepland zijn, waarvoor op dit moment nog geen dader aangewezen kan worden. Daarom kan het dus niet hard gemaakt worden of deze malware een relatie heeft met de invasie op Oekraïne of dat de gebeurtenissen op toeval berusten.

Soorten malware

Ondanks dat de IsaacWiper en de HermeticWizard de bekendste vormen zijn, worden er op dit moment door ESET onderzoekers verschillende manieren aangeduid die de malware toegang geven tot de systemen. Ik zal deze soorten hieronder kort toelichten.

HermeticWiper

Hoe deze malware precies toegang krijgt tot een systeem van een organisatie is op dit moment nog niet geheel duidelijk. Het vermoeden is dat de HermeticWiper toegang krijgt via de default domain policy. Hiervoor zal dan het pad van een specifiek bestand worden aangeroepen. Daardoor kan de hacker gebruik maken van de Active Directory server, waardoor de controle bij de hacker komt te liggen. Daarnaast is het mogelijk dat er gebruik word gemaakt van de Impacket functie waardoor de HermeticWiper gebruikt kan worden. Volgens Symantec was het ook mogelijk door een bepaalde command line uit te voeren op een geïnfecteerde computer.

Deze malware zorgt ervoor dat computers niet meer werken en dat de data in deze systemen corrupt worden gemaakt. ESET onderzoekers hebben deze vorm van malware al op honderden systemen aangetroffen binnen vijf verschillende Oekraïense organisaties.

Deze HermeticWiper maakt gebruik van vier Windows uitvoerbare drivers, die ook gebruikt worden door de EaseUS Partition Master software. Deze software is gesigneerd door Chengdu YIWO Tech Development Co. Doordat er gebruik gemaakt word van deze drivers, worden er low-level disk operations uitgevoerd. Dit is volgens het onderzoeksteam erg opvallend.

Deze drivers bevinden zich dan in de drivers map van een Windows computer, waarop een nieuwe service is aangemaakt. Hierdoor kan het HermeticWiper malware de Volume Shadow Copy Service uitschakelen en beginnen met het verwijderen van bestanden. ESET onderzoekers hebben ontdekt dat hierdoor de anti-verwijdering protocol en analyse van Windows word omzeild, waardoor de malware door kan gaan. Hiervoor word dan wederom, net zoals bij de IsaacWiper, gebruik gemaakt van de DeviceIoControl service.

Door een Windows API functie te gebruiken zal deze malware ook andere bestanden verwijderen. Waaronder de master boot record (MBR), master file table (MFT), $Bitmap en $LogFile van alle drivers, Windows Register sleutels NTUSER* en de Systems32 winevt logs. Daarnaast worden ook gewone Windows mappen verwijderd zoals Windows, Program Files, Program Files (x86), PerfLogs, Boot, System Volume Information en AppData.

Wanneer dit allemaal is gebeurd zal het apparaat opnieuw opstarten. Normaal gesproken start Windows dan op, waarbij er gebruik zal worden gemaakt van de master boot record (MBR) en de, zoals hierboven beschreven, mappen zoals die van Windows in combinatie met Windows BIOS. In gevallen waarbij de Windows map beschadigd is, word er geprobeerd om Windows te herstellen, Windows te repareren of in de ergste gevallen Windows opnieuw te installeren. Maar omdat deze bestanden ook zijn verwijderd, word er alleen maar een blauw scherm weergegeven (in het beste scenario). De harde schijf kan dan gedemonteerd en weggegooid worden. Het is niet mogelijk om dergelijke harde schijven nog te herstellen, aldus de ESET onderzoekers.

HermeticWizard

Om met het HermeticWiper malware een computer mee te kunnen infecteren is het HermeticWizard nodig. Dit lijkt misschien onschuldig, maar dat is verre van. Via geïnfecteerde systemen kan het HermeticWizard malware zich makkelijk verspreiden. Het maakt daarbij gebruik van (lokale) netwerken zoals WMI spreader en SMB spreader. Hierover zal ik later in dit artikel nog een korte toelichting geven wat dit precies is.

Via de uitgegeven Hermetica Digital Ltd code-signing certificaten is deze nieuwe malware HermeticWizard gevonden. Deze malware zit vooral in de .dll bestanden en in de coderingstaal van C++. Deze bestanden zijn dan ook versleuteld en gecodeerd met de hardcode value 0x4A29B1A3. Door middel van een command line zal het HermeticWizard gestart worden. Als dit proces gestart word dan zal het eerst kijken naar andere computers en apparaten op het (lokale) netwerk. IP-adressen worden daarvoor gebruikt die bepaalde Windows services uitvoeren.

Als er andere apparaten gevonden worden zal de wizard zich proberen te verbinden met deze apparaten. Dit zal gedaan worden door middel van een bestand in combinatie met een command line, het scannen van IP-adressen en het openen van TCP connecties. Hiervoor worden poorten zoals 20 (ftp), 21 (ftp), 22 (ssh), 80 (http), 135 (rpc), 137 (netbios), 139 (smb), 443 (https), en 445 (smb) gebruikt. De volgorde van van het gebruik van deze poorten gebeurt willekeurig. Daarin is geen vaste patroon te herkennen.

Bij een detectie van een nieuw apparaat zullen bepaalde functies worden uitgeschakeld. Op deze manier kan het HermeticWizard worden overgedragen op andere apparaten. Dit proces zal dan opnieuw uitgevoerd worden op de net nieuw besmette computers. Op het al geïnfecteerde apparaat zal de malware geactiveerd en uitgevoerd worden.

IsaacWiper

Hoe IsaacWiper op dit moment binnenkomt is volgens ESET nog niet bekend. De meest voor de hand liggende manier is door middel van de Impacket functie van een computer. Maar het zou ook goed kunnen dat het IsaacWiper malware terecht komt door middel van de remote access tool RemCom.

Deze malware is door de onderzoekers gevonden in Windows .dll en in .exe bestanden, zonder dat daarvoor een authenticatie code of handtekening voor nodig is. De eerste ontdekking van deze malware werd gedaan op 24 februari 2022, maar bevat ook tijdsindicaties van 19 oktober 2021. Ondanks deze tijdsindicatie sluit het onderzoeksteam niet uit dat de malware nog eerder terecht is gekomen op Oekraïense computers.

Opvallend is dat de IsaacWiper malware geen gelijkenissen heeft in de codering als dit vergeleken word met de malware zoals HermeticWiper en HermeticWizard. IsaacWiper maakt gebruik van .dll bestanden. Deze bestanden kunnen dan vooral gevonden worden in de System32 map van Windows computers.

Als de malware eenmaal gesetteld is word er een oproep gedaan naar de harde schijven van de computer. Dit gebeurd door middel van de DeviceIoControl. Hierdoor worden apparaat nummers verkregen en begint het wissen van bestanden. Niet alleen de C-schijf (vaak de hoofdschijf van de computer) word hiermee geraakt, maar ook andere geïnstalleerde schrijven in een computer worden slachtoffer.

De ESET onderzoekers hebben daarbij geconcludeerd dat het verwijderen van bestanden in een single thread gebeurd, waardoor het veel tijd kost om een grote schrijf te wissen. Daarbij komt ook nog dat ESET onderzoekers erin geslaagd zijn om te achterhalen dat er op 25 februari 2022 een nieuwe versie van het IsaacWiper is gelanceerd. Er werden debug logs gevonden waardoor het erna uitziet dat hackers bepaalde doelen niet konden wissen. Doordat de hackers een log hadden laten genereren konden zij precies zien wat er allemaal verkeerd is gegaan. Systemen die getroffen zijn met het IsaacWiper malware zouden volgens de ESET onderzoekers niet geïnfecteerd zijn met het HermeticWiper malware. Een eventuele link tussen de malware is nu in onderzoek door ESET.

HermeticRansom

HermeticRansom malware is geschreven in de coderingstaal Go die in dezelfde periode van de eerder genoemde malware is geactiveerd. De eerste ontdekking werd gedaan door AVAST op 24 februari 2022. Ondanks dat deze ransomware op een veel kleinere schaal is geactiveerd dan de andere malware, worden er om deze ransomware wel zorgen gemaakt. Deze ransomware zou volgens ESET geactiveerd worden met een specifieke Windows service. Er word op dit moment dan ook gedacht dat deze ransomware een verhulling is om de HermeticWiper te activeren en op de achtergrond te laten draaien.

Opvallend is wel dat de ESET onderzoekers gezien hebben dat de hackers een referentie maken naar President Biden en het Witte Huis in Amerika. Als de bestanden eenmaal versleuteld zijn krijgen de gebruikers een melding te zien op het scherm. Daarin staat dat er niet geprobeerd moet worden om de bestanden te ontsleutelen en dat het slachtoffer via e-mail contact op moet nemen via een genoemde e-mailadres.

Voorbeeld van de betreffende melding om te e-mailen | Foto: © We Live Security (embedded)

Wat is de WMI spreader?

In het bovenstaande verhaal spreek ik enkele keren over de WMI spreader, maar wat is dat eigenlijk? De WMI spreader is een .dll bestand die eigenlijk twee taken heeft. De eerste taak is het vinden van het IP-adres. Een tweede taak is om een bestand te kopiëren en uit te voeren op een apparaat.

Door middel van een Windows service zal er met een administrator account verbinding worden gemaakt. Daarna zullen er bestanden worden gekopieerd, die een willekeurige naam krijgen. Bijvoorbeeld aB123F4A68.dll. Vervolgens zal er door middel van een DCOM functie verschillende processen geactiveerd worden.

In bepaalde gevallen zal het niet lukken om deze procedure uit te voeren. Helaas zal dit de wizard niet weerhouden om de (lokale) netwerken opnieuw te scannen en zo andere apparaten proberen te vinden. In dit geval zal er geprobeerd worden om een nieuwe Windows service te openen. Eenmaal geslaagd zal de wizard in slaapstand komen en een .dll bestand downloaden. Het komt dan in actie wanneer de aanval ingezet zal gaan worden.

Wat is de SMB spreader?

Naast de WMI spreader spreek ik ook een aantal keer over de SMB spreader, maar wat is dat eigenlijk? De SMB spreader is te herkennen aan de romance.dll bestand, die dezelfde twee argumenten overneemt als de WMI spreader. De eerste taak is het vinden van het IP-adres. Een tweede taak is om een bestand te kopiëren en uit te voeren op een apparaat. De naam van dit .dll bestand is volgens de ESET onderzoekers te verwijten aan de ExternalRomance exploit, ondanks dat het misschien helemaal geen exploit zal hebben of uitvoeren.

Via de poort 445 zal er geprobeerd worden om in bepaalde processen en connecties te komen, die in bepaalde gevallen erg gevoelig zijn. Deze spreader heeft een lijst van gecodeerde credentials die worden gebruikt om zichzelf te authentiseren. Voorbeelden van gebruikersnamen zijn guest, test, admin, user root en administrator. Voorbeelden van wachtwoorden zijn 123, Qaz123 en Qwerty123.

ESET onderzoekers vinden het daarbij wel opvallend dat deze inloggegevens verassend kort zijn. Zij zeggen dan ook dat deze credentials bij vele netwerken, ook (erg) slecht beveiligde netwerken, niet zullen werken. Mocht het toch geslaagd zijn, dan zal er een verbinding worden gemaakt en een bestand worden gedownload. De bestandsnaam zou, net zoals bij de WMI spreader, automatisch worden gegenereerd.

Conclusie

De onderzoekers van ESET hebben hiermee een hele belangrijke ontdekking gedaan die, helaas vandaag de dag, al systemen in Oekraïne hebben aangevallen. Ondanks dat Oekraïne ver weg lijkt te liggen, stoppen hackers niet bij de landsgrenzen en kunnen wereldwijd opereren.

Met deze verschillende malware kunnen complete systemen platgelegd worden of zelfs op afstand vernietigd worden. Dit heeft niet alleen gevolgen voor (inter)nationale bedrijven, maar kan de Nederlandse en Europese maatschappij dan ook flink treffen. Als deze malware terechtkomt in belangrijke (cruciale) systemen, dan zouden de gevaren wel eens erg groot kunnen zijn. Het is daarom dan ook geen doemdenkerij van mij, maar hierdoor zou Nederland wel potentieel gevaar kunnen oplopen. Zeker als je je bedenkt dat wij na zoon wiper aanval mogelijk niet meer op ‘papier’ bestaan.

Ondanks dat het onderzoek van ESET (na deze bevindingen) nog steeds in ontwikkeling is, werden er geen directe relaties gelegd tussen de HermeticWiper, HermeticWizard, HermeticRansom en de IsaacWiper malware. Het is daarom dan ook goed dat Nederland (en andere (Europese) landen) goed blijven monitoren op verdachte activiteiten op onze systemen. Niet alleen in onze privésfeer, maar ook op het werk en in cruciale sectoren zoals ziekenhuizen of bij de overheid.

Tot zover is deze malware alleen nog aangetroffen in Oekraïne en op Windows computers, maar de kans is reëel dat dit uit gaat breiden naar andere landen. Maar ook naar Apple computers of zelfs webservers. Waakzaamheid, monitoring en observatie is dan van groot belang. Zo kunnen wij alert blijven totdat de bekende antivirus programma’s, zoals ESET, een oplossing heeft gevonden om ons te bewapenen tegen deze malware.

Mochten er nieuwe ontwikkelingen zijn rondom deze malware, dan zal ik deze nieuwe ontwikkelingen in dit artikel vermelden. Het volledige rapport, inclusief technische details over deze malware, kan je vinden op de website van ESET.

Opmerking: Dit artikel is geschreven met dank aan het ESET onderzoeksrapport van deze malware. De credits behoren dan ook volledig toe te schrijven aan We Live Security, onderdeel van ESET, die deze ontdekking heeft gepubliceerd. Daarnaast heb ik aanvullend gebruik gemaakt van de bronnen Reuters, Symantec, AVAST (Tweet) en de ESET GitHub.