랜섬웨어는 시스템 파일 암호화 기법과 전략이 끊임없이 발전하면서 사이버 공간에서 큰 발전을 이루었습니다. 지난 몇 년간 랜섬웨어는 PE(공격성) 방식에서 비PE(공격성) 방식, 그리고 독립형 페이로드로 진화하고, 다양한 컴파일러와 복잡한 패커를 사용하는 등 끊임없이 진화해 왔습니다. 이러한 변화에 대응하기 위해, 누구도 피할 수 없는 표적 공격을 목표로 하는 랜섬웨어의 활동은 행동 기반 탐지 및 랜섬웨어 방지 솔루션의 역할이 매우 중요합니다.
랜섬웨어 작성자는 이제 악성 페이로드를 Windows 정품 시스템 프로세스에 주입하기 시작했는데, 이러한 프로세스는 일반적으로 허용 목록에 포함되어 있으며 보안 솔루션을 우회하여 파일을 암호화합니다. 이들은 항상 취약한 구멍을 찾고 공개적으로 노출되는 순간 이를 악용하는 것으로 나타났습니다.
최근 우리는 프로세스 주입 및 최신 기술을 포함한 다양한 기술을 구현하여 기존 랜섬웨어 방지 솔루션을 회피하려는 유사한 랜섬웨어 변종(Thanos Ransomware로 명명됨)을 관찰했습니다. RIPlace 술책.
작년에 Nyotron의 연구원들은 개념 증명(POC) 랜섬웨어 방지 프로그램에 의해 식별되지 않고 잠재적으로 파일을 암호화할 수 있는 RIPlace 전술 엔드포인트 탐지 및 대응(EDR) 솔루션.
기술 분석
Thanos 랜섬웨어는 바이러스 백신(AV) 제품을 우회하기 위해 여러 기능을 사용하는 것으로 밝혀졌습니다.
감염 벡터는 아직 명확하지 않지만 PowerShell을 인라인 C# 코드가 포함된 또 다른 이중 Base64 인코딩 PowerShell을 포함하는 스크립트입니다. 첫 번째 스크립트는 포함된 PowerShell 스크립트를 실행하고 프로세스를 생성합니다. "노트패드" 숨김 모드에서 실행됩니다. 두 번째 스크립트에 있는 C# 코드는 기본적으로 Github에 있는 Sharp-Suite 프레임워크의 Urban Bishop 코드에서 가져온 것입니다. 생성된 메모장 프로세스의 PID가 이 C# 코드에 인수로 전달됩니다. 이후 스크립트는 네트워크에 연결된 모든 머신에 측면 배포됩니다.
함수 호출에는 Base64로 인코딩된 셸코드(그림 3 참조)가 포함되어 있으며 이 셸코드는 다음에 삽입됩니다. 메모장 프로세스. 셸코드에는 인코딩된 .Net 페이로드가 포함되어 있습니다. 이 페이로드는 대상 컴퓨터의 파일을 암호화하는 Thanos 랜섬웨어의 변종입니다.
Thanos 프레임워크에는 다양한 모듈이 있습니다. 흥미로운 모듈 중 일부는 다음과 같습니다.
1. 안티킬 – 그림 4에서 보여지는 것처럼, 다음과 같은 함수를 사용합니다. 나는 불멸자다() 프로세스 보안 설명자를 변경하여 프로세스를 영구적으로 만듭니다.
2. 분석 방지 – 디버거 또는 가상 환경의 존재를 식별하고, 발견되면 샘플을 종료하는 데 사용됩니다.
3. 안티 스니퍼 – 일반적으로 분석에 사용되는 프로세스를 따르지 않습니다.
4. 어웨이크미 – Wake-on-LAN 구현을 담당합니다. (Wake-on-LAN에 대한 자세한 설명은 다음에서 확인할 수 있습니다.) 이전 블로그에서)
5. 암호화 – AES-CBC 암호화, 복호화, 파일에서 데이터 읽기, 파일에 데이터 쓰기 등 암호화 관련 기능이 모두 포함되어 있습니다.
6. CryptographyHelper – RSA 암호화가 구현되었습니다.
7. 네트워크 확산 – Power Admin의 응용 프로그램을 다운로드합니다. exe를 (이를 통해 원격 컴퓨터에서 Windows 프로그램을 실행할 수 있습니다.) 그리고 원격 컴퓨터에서 현재 샘플을 실행합니다.
8. 뮤텍스헬퍼 – 샘플이 시스템에서 이미 실행되었는지 확인하기 위해 아래 뮤텍스가 있는지 확인합니다.
“Global\\3747bdbf-0ef0-42d8-9234-70d68801f407”
9. 프로세스 크리티컬 - 프로세스가 관리자 권한으로 실행되는지 확인합니다.
10. 안녕히 계세요 – 나중에 논의할 RIPlace 전술의 구현.
11. 바로 가기 – 랜섬웨어 메모를 %에 보관하여 대상 파일 이름으로 시작 폴더에 바로 가기를 만듭니다.온도% 폴더.
12. 웨이크온랜 – 현재 컴퓨터에 연결된 모든 컴퓨터의 IP 주소를 가져와서 Wake-on-LAN을 구현합니다.
이렇게 다양한 모듈이 포함되는 방식은 샘플마다 다릅니다.
최대한의 예방 조치를 취하고 다음 프로세스를 숨기려고 합니다.
Taskmgr
taskmgr을
프로세스해커
절차
자체 복사는 StartupFolder에도 삭제됩니다. 또한 시스템에서 실행 중인 다양한 AV와 관련된 다양한 서비스를 중지하려고 시도합니다. 넷.exe그림 6에 표시된 명령을 사용하여
또한 다음을 사용하여 섀도 복사본을 삭제합니다. vssadmin.exe, 휴지통을 포함하여 다른 드라이브에 있는 모든 백업 파일을 삭제합니다.
cmd.exe /c rd /s /q %SYSTEMDRIVE%\\$Recycle.bin
암호화
파일은 암호화되고 파일 이름에 확장자가 추가됩니다. '.잠김'. 암호화는 아래에 주어진 확장자를 가진 파일에 대해서만 수행됩니다.
bco, one, dat, txt, vib, vbm, vbk, jpeg, gif, lst, tbl, cdx, log, fpt, jpg, png, php, cs, cpp, rar, zip, html, htm, xlsx, xls, avi, mp4, ppt, doc, docx, sxi, sxw, odt, hwp, tar, bz2, mkv, eml, msg, ost, pst, edb, sql, accdb, mdb, dbf, odb, myd, php, java, cpp, pas, asm, key, pfx, pem, p12, csr, gpg, aes, vsd, odg, raw, nef, svg, psd, vmx, vmdk, vdi, lay6, sqlite3, sqlitedb, accdb, java, class, mpeg, djvu, tiff, 백업, pdf, cert, docm, xlsm, dwg, bak, qbw, nd, tlg, lgb, pptx, mov, xdw, ods, wav, mp3, aiff, flac, m4a, csv, sql, ora, mdf, ldf, ndf, dtsx, rdl, dim, mrimg, qbb, rtf, 7z
파일은 AES-CBC로 암호화되고, 암호화에 사용된 키는 RSA로 암호화되어 랜섬노트에 추가됩니다(그림 8 참조). 파일 크기가 10MB 미만이면 전체 파일이 암호화되고, 그렇지 않으면 10MB 이하의 파일 데이터만 암호화됩니다.
그러나 Thanos가 랜섬웨어 방지 솔루션을 회피하기 위해 사용하는 가장 중요하고 새로운 기술은 다음과 같습니다. RIPlace Microsoft Windows 파일을 자산화하는 전략 이름 바꾸기 기능성! 랜섬웨어가 최신 랜섬웨어 방지 솔루션으로부터 숨을 수 있도록 도와줍니다.
이 기술에서는 맬웨어가 호출할 수 있습니다. DefineDosDevice, 심볼릭 링크를 생성하고 대상/대상 파일 경로에 임의의 이름(예: 이 경우 'Resolve')을 지정할 수 있는 실제 함수입니다. 다음을 호출할 때 이름 변경 함수에서 필터 드라이버는 공통 루틴을 사용할 때 콜백 함수에서 대상 경로를 구문 분석하지 못합니다. FltGetDestinationFileNameInformation. 따라서 새로운 경로를 반환하는 대신 오류가 반환되지만 Rename 호출은 성공합니다.
이와 함께 더 나아가 Thanos는 MBR을 덮어쓰려고 시도하여 아래 메시지를 표시하려고 할 수 있습니다.
맺음말
랜섬웨어 계열은 안티 바이러스 제품을 조기에 회피하기 위해 여러 기법을 사용해 왔으며, 이를 통해 작업의 복잡성, 속도, 분석 도구의 종료 시간을 증가시켜 왔습니다. 하지만 이번에는 더욱 발전하여 안티 랜섬웨어 기술에 큰 어려움을 안겨주었습니다. 거의 모든 안티 분석 기법을 동원하고, 암호화된 파일의 새로운 확장자를 안티 랜섬웨어 솔루션에서 숨기는 것은 작업을 훨씬 더 어렵게 만듭니다.
IOC:
7BDD4B25E222B74E8F0DB54FCFC3C9EB
AF0E33CF527B9C678A49D22801A4F5DC
A15352BADB11DD0E072B265984878A1C
BE60E389A0108B2871DFF12DFBB542AC
98880A1C245FBA3BAE21AC830ED9254E
E01E11DCA5E8B08FC8231B1CB6E2048C
