세르베르(Cerber)는 2016년 초에 처음 발견된 랜섬웨어 변종입니다. 피해자의 파일을 암호화하고 파일 잠금 해제에 필요한 복호화 키에 대한 몸값을 요구하는 악성코드 유형입니다. 다른 많은 랜섬웨어 변종과 마찬가지로 세르베르는 일반적으로 개인과 조직을 표적으로 삼아 파일을 암호화하고 복호화 키에 대한 몸값(보통 비트코인과 같은 암호화폐)을 요구합니다.
기술적 분석 :
Cerber 랜섬웨어의 주요 페이로드는 맞춤 패키징된 샘플이므로 처음에는 코드를 읽을 수 없습니다. 샘플 패키징을 해제한 후 실제 페이로드인 376165CCD556CD74658AFEA9F6F428F9를 발견했습니다. 그림 1과 같습니다.
그림 1: Cerber의 풀기
때 페이로드 실행될 때 특정 뮤텍스를 확인합니다. 뮤텍스가 발견되면 악성코드는 실행을 중단합니다. 뮤텍스 문자열을 사용하는 이 검증 메커니즘은 랜섬웨어 코드에 내장되어 있어 동일한 컴퓨터를 재감염시키지 않도록 합니다.
그림 2: 뮤텍스 생성
또한, 다음 정보가 포함된 CryptoAPI를 사용하여 데이터를 해독합니다.
- 차단된 파일 확장자 및 폴더
- 언어 ID를 기준으로 제외된 국가
- 타겟팅된 확장
- HTML 형식의 Base64 암호화된 공개 RSA 키 및 랜섬웨어 메모
- TXT 형식의 랜섬웨어
그림 3: 복호화된 데이터
랜섬웨어는 여러 국가를 공격에서 제외하기로 결정했습니다.아르메니아, 아제르바이잔, 벨로루시, 조지아, 키르기스스탄, 카자흐스탄, 몰도바, 러시아, 투르크메니스탄, 타지키스탄, 우크라이나, 우즈베키스탄).
그림 4: 제외된 확장자, 폴더 및 국가 코드
그런 다음 복호화된 데이터를 탐색하고 해당 값을 추가 암호화 프로세스에 사용합니다.
그림 5: 데이터 탐색
회피 기술:
Cerber는 설치된 방화벽, 바이러스 백신, 스파이웨어 방지 제품의 실행 파일에서 발생하는 아웃바운드 트래픽을 차단하기 위해 Windows 방화벽 규칙을 식별하고 구성하는 고급 기능을 보여줍니다. 이 전략은 이러한 보안 도구의 통신 및 기능을 방해하여 랜섬웨어가 감염된 시스템에 지속적으로 남아 탐지를 회피할 수 있는 능력을 강화하는 것을 목표로 합니다. 이러한 정교한 수법은 Cerber의 진화하는 특성을 잘 보여주며, Cerber의 영향에 대응하려는 사이버 보안 조치에 심각한 어려움을 야기합니다.
그림 6: AV 서비스 비활성화
C2 연결:
Cerber 랜섬웨어는 구성 설정에서 CIDR로 지정된 IP의 포트 6893에 연결합니다. 통신 패킷 시작 시 머신 GUID(MD5_KEY)가 접두사로 붙은 해시 값을 사용합니다. 패킷은 PARTNER_ID, OS 세부 정보, IS_X64(시스템 64비트 여부), IS_ADMIN(관리자 권한), COUNT_FILES(시스템 파일 수), STOP_REASON(중단 사유), STATUS(상태 정보) 등의 매개변수로 끝납니다. 이 통신 프로토콜은 지정된 IP와 데이터를 교환하는 수단으로 사용되며, 랜섬웨어가 감염된 시스템 내에서 정교한 상호작용 및 제어 방식을 취한다는 것을 보여줍니다.
통신 패킷은 Machine GUID: {MD5_KEY}로 구성된 해시로 시작하고 {PARTNER_ID}{OS}{IS_X64}{IS_ADMIN}{COUNT_FILES}{STOP_REASON}{STATUS}로 끝납니다.
IP는 ip”:[“93.107.12.0/27″,”95.1.200.0/27″,”87.98.176.0/22”]와 같이 다양합니다.
그림 7: C2 연결
암호화:
RSA 키가 포함된 두 개의 파일을 삭제하는데, 이 키는 암호화 과정에 사용됩니다.
그림 8: tmp 파일에 키의 일부 추가
그림 9: tmp 파일에 키의 일부 추가
그림 10: Crypto API 사용
그림 4에서 언급된 것처럼 암호화 루틴에 RSA 및 RC1800 알고리즘을 구현하고 CryptoAPI를 사용합니다. CryptoAPI는 처음 12바이트를 읽고 건너뛰고 나머지 내용을 암호화하여 파일에 다시 쓰는 별도의 함수입니다.
암호화 과정 후, 랜섬웨어는 ".a769" 확장자를 추가하고 파일 이름을 [0-9a-zA-Z_-]{10} 패턴의 무작위로 생성된 문자열로 변경합니다. 아래 그림은 암호화된 파일과 파일 이름 및 확장자의 변경 사항을 보여줍니다.
그림 11: 암호화된 파일
그림 12: 헤더에서 1800바이트 건너뛰기
몸값 메모:
"__R_E_A_D__T_H_I_S__.html"이라는 이름의 암호화된 파일과 TXT 형식의 파일이 있는 폴더에 랜섬 노트가 생성됩니다. 이 랜섬 노트에서 위협 행위자(TA)는 피해자에게 TOR 웹사이트를 통해 연락하라고 지시합니다. 또한, 랜섬웨어 공격 후 30일 이내에 연락하지 않을 경우 피해자의 기밀 데이터를 언론 매체와 웹사이트에 공개하겠다고 경고합니다.
그림 13: TXT 형식의 삭제된 랜섬웨어 메모
그림 14: HTML 파일에 저장된 랜섬웨어 메모
그림 15: 변경된 데스크탑 배경화면
암호화 후:
감염 후, 랜섬웨어는 ShellExecuteA() API 함수에 특정 인수를 사용하여 손상된 시스템에서 자신의 파일을 제거합니다. 이를 통해 맬웨어는 실행 파일을 제거하고 암호화된 파일과 그에 따른 랜섬 노트만 남깁니다. 이러한 의도적인 자가 삭제 메커니즘은 랜섬웨어가 자신의 존재를 은폐하려는 시도를 나타내며, 감염 후 분석 및 제거 작업을 복잡하게 만드는 동시에 암호화된 파일과 관련 랜섬 요구의 지속성을 보장합니다.
그림 16: ShellExecuteA 함수를 사용한 자체 삭제
Cerber 랜섬웨어 예방
Cerber 랜섬웨어는 피해자의 파일을 암호화하고 복호화 키에 대한 대가를 요구하는 악성코드입니다. Cerber 랜섬웨어, 또는 일반적인 랜섬웨어로부터 자신과 컴퓨터 시스템을 보호하려면 다양한 예방 조치를 취하는 것이 필수적입니다. 위험을 최소화하기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.
정기적으로 데이터를 백업하십시오:
중요한 데이터를 정기적으로 외부 장치나 클라우드 서비스에 백업하세요. 이렇게 하면 파일이 암호화되더라도 몸값을 지불하지 않고도 복구할 수 있습니다.
소프트웨어를 최신 상태로 유지하세요:
운영 체제와 바이러스 백신 프로그램을 포함한 모든 소프트웨어가 최신 상태인지 확인하세요. 랜섬웨어는 오래된 소프트웨어의 알려진 취약점을 악용하는 경우가 많습니다.
강력하고 고유한 비밀번호를 사용하세요.
모든 계정과 기기에 강력하고 복잡한 비밀번호를 사용하세요. 신뢰할 수 있는 비밀번호 관리자를 사용하여 강력한 비밀번호를 생성하고 저장하는 것을 고려해 보세요.
이중 인증(2FA) 활성화:
온라인 계정에는 가능하면 2FA를 활성화하세요. XNUMXFA는 보안을 한층 강화하여 공격자가 계정에 접근하기 어렵게 만듭니다.
이메일 사용 시 주의 사항:
특히 출처가 불분명하거나 예상치 못한 이메일 첨부 파일과 링크에 주의하세요. 랜섬웨어는 피싱 이메일을 통해 전파될 수 있습니다.
안정적인 바이러스 백신 프로그램을 설치하십시오.
신뢰할 수 있는 바이러스 백신 또는 맬웨어 방지 소프트웨어를 설치하고 정기적으로 업데이트하세요. 실시간 검사 및 랜섬웨어 방지 기능이 포함되어 있는지 확인하세요.
방화벽 사용:
좋은 방화벽은 유입되는 위협을 차단하고 위협 발생 가능성을 줄이는 데 도움이 될 수 있습니다. 악성 코드 감염.
정기적으로 업데이트 및 패치:
시스템과 소프트웨어를 최신 상태로 유지하세요. 많은 랜섬웨어 공격이 오래된 소프트웨어의 취약점을 악용하므로 이러한 취약점을 패치하는 것이 필수적입니다.
네트워크 보안 :
침입 탐지 시스템 등의 네트워크 보안 조치를 구현하고, 비정상적인 활동이 있는지 네트워크 트래픽을 정기적으로 감사합니다.
의심스러운 활동 모니터링:
컴퓨터나 네트워크에서 이상하거나 의심스러운 활동이 발견되면 주의 깊게 살펴보세요. 조기에 감지하면 감염 확산을 막는 데 도움이 됩니다.
정기적으로 백업을 테스트하세요:
정기적으로 백업을 테스트하여 성공적으로 복구할 수 있는지 확인하세요.
SEQRITE 보호:
랜섬.세르베르.S443347
랜섬.세르베르.S126609
랜섬.세르베르.S22591
랜섬.세르베르.S1538045
결론 :
2016년에 처음 발견된 세르베르 랜섬웨어는 고도로 정교한 위협과 고도화된 회피 기법을 갖추고 있습니다. 윈도우 방화벽 규칙을 설정하고, 특정 국가를 공격 대상에서 제외하며, 감염된 시스템에 대한 지속성을 유지할 수 있습니다. 암호화 과정에서 RSA와 RC4 알고리즘을 결합하고, 감염 후 자가 삭제 메커니즘을 사용합니다.
MITRE ATT&CK TTP:
| 명령 및 스크립팅 해석기 | T1059 |
| 시스템 복구 억제 | T1490 |
| 파일 및 디렉토리 검색 | T1083 |
| 시스템 정보 검색 | T1082 |
| 영향력을 위해 암호화된 데이터 | T1486 |
| 서비스 중지 | T1489 |
IOC:
FE1BC60A95B2C2D77CD5D232296A7FA4
376165CCD556CD74658AFEA9F6F428F9
저자 :
소우멘 버마
바이바브 크루슈나 빌라데
