Cerber 랜섬웨어 - 콜홈없이 안정적인 파일의 암호화

Cerber제작자는 WSF 파일을 이메일을 통하여 멀웨어 전달

Posted by Nicholas Griffin on May 17, 2016

https://blogs.forcepoint.com/security-labs/cerber-actor-distributing-malware-over-e-mail-wsf-files

지난주 우리는 윈도 스크립트 파일(WSF) 내부에 이중 압축 파일을 배포 한 흥미로운 이메일 활동을 추적하였습니다. 실행되면, 이 WSF는 Cerber 암호화 랜섬웨어를 다운로드하였습니다. 이전의 Cerber는 doc 파일의 macro를 사용하여 이메일 또는 취약점 공격 도구를 통하여 배포됐습니다. 이것은 우리가 WSF를 사용하여 배포된 처음 발견한 Cerber 사례입니다.

이메일 유인

이메일 유인은 일반적인 인보이스 또는 청구서와 관련된 주제를 따르고 있습니다.

WSF는 윈도 wscript.exe를 유틸리티로 실행되는 실행 파일 형식으로 윈도에서 작동되며 JScript, VBScript, 또는 둘 모두를 포함할 수 있습니다. 이 스크립트는 악의적인 활동을 수행하기 위해 ActiveX 개체를 만들 수 있습니다. WSF 파일 형식에 대한 더 많은 정보는 마이크로소프트의 웹 사이트에서 찾을 수 있습니다. https://msdn.microsoft.com/library/15x4407c(v=VS.84).aspx

WSF를 포함하는 이중 압축 파일의 흔치 않은 사용으로 기계 학습 및 / 또는 휴리스틱에 의존하는 일부 보안 솔루션을 속일 수 있습니다. 합법적으로 보이는 콘텐츠와 수신 거부 링크를 포함하여 일반적인 "송장"과 "청구서"를 주제로 한 유인을 포함한 공격자의 다양한 노력으로 휴리스틱을 회피할 수 있습니다.

WSF 파일 자신이 다음과 같은 난독화 JScript 코드를 포함하고 있습니다:

hxxp://188.225.36.90/label.bro로부터 다운로드하는 페이로드를 분석한 샘플은 Cerber 암호화 랜섬웨어로 밝혀졌습니다.

Cerber 설정&파일 암호화

Cerber는 고도로 최적화된 암호화 랜섬웨어로 파일의 복호화를 위하여 지급을 요청합니다. SenseCy의 블로그에서는 러시아 지하 포럼에 랜섬웨서 서비스(ransomware-as-a-service - RaaS)모델로 판매되고 있음을 시사합니다. RaaS는 공격자에게 공격자의 멀웨어 샘플 및/또는 인프라가 서로 영향을 주지않도록 서로 분리된 서비스를 제공합니다. 또한, 멀웨어 제작자에게 추가 수익을 제공합니다. 이와 같이, Cerber를 사용하는 특정 공격자가 아니라 다른 방법으로 구축한 그들의 Cerber를 유포하는 여러 공격자가 존재합니다. 예를 들어, 일반적으로 Cerber는 이메일을 통하여 유포되지만, 일부 샘플은 취약점 공격 도구를 통하여 배포됩니다.

RC4 & RSA 파일 암호화

멀웨어는 주로 파일의 암호화에 RC4를 사용하고, 각각의 파일은 고유의 RC4 키로 암호화된다. Cerber 또한 암호화에 사용된 RC4 키, 원본 파일 이름과 파일 시스템 시간과 원본 파일의 시작 부분의 몇 바이트와 같은 정보를 포함한 파일의 시작부분에 헤더를 추가합니다. 이 헤더는 그다음에 Cerber가 처음에 시스템을 감염시켰을 때 생성한 RSA 공개키로 암호화를 합니다. 키가 생성되면 해당 개인 키 지수는 글로벌 RSA 공개 키로 암호화되어 레지스트리에 저장됩니다. 파일의 복호화를 위하여, 파일 헤더의 암호화에 사용된 RSA 개인 키를 알기 위하여 이 레지스트리 키를 복호화할 수 있어야 합니다. 여기에서 파일의 암호화에 사용된 RC4 키를 알 수 있습니다.

암호화 약점
Cerber가 사용하는 암호화 방식은 안정적으로 파일을 암호화하기 위한 콜홈이 필요 없습니다. 그러나 Cerber의 상세한 분석 후 부분적으로 파일 복구를 위해 허용 암호화 적용에서 일부 약점이 있는 것으로 확인되었습니다. 우리는 신뢰할 수 있는 소수의 파트너와 비밀리에 연구를 공유하고 공개적으로 이 정보를 발표할 의도는 없습니다.

고객 보호

Forecepoint 고객은 이러한 위협으로부터 공격의 다음 단계에서 TRITON® ACE를 통하여 보호됩니다.

• 2 단계(유인) – 이메일 유인의 탐지와 차단
• 3 단계(리다이렉트) – 이메일 본문의 악의적인 URL의 탐지와 차단
• 5 단계(드로퍼 파일) – 악의적인 WSF를 식별하여 차단

요약

Cerber는 최근에 우리가 발견한 암호화 랜섬웨어의 새로운 변종의 하나에 불과하지만, 콜홈없이 파일을 안정적으로 암호화 할 수 있는 능력이 흥미롭습니다. 여러 공격자가 다른 방식으로 멀웨어를 유포할 가능성이 있는 방법에 따라서 RaaS(ransomware-as-a-service) 모델의 판매가 가능합니다. Cerber의 위협이 취약점 공격 도구로부터 드라이브 바이 다운로드 뿐만 아니라, 이메일을 통해서도 존재합니다. 이메일을 통해 멀웨어를 유포하는 공격자는 보안 솔루션을 우회하기 지속해서 위해 자신의 기술을 변화하고 있습니다. 관측된 피해자의 숫자가 낮을지라도, 대부분은 현재 영국 내에 나타나고 있습니다. 그러나, 이것은 시간이 지남에 따라 변경 될 수 있습니다

이메일, 특히 그 안에 포함된 첨부파일과 링크를 열 때, 우리가 모두 바짝 경계를 유지하는 것이 중요합니다.

침해 지표(Indicators of Compromise)

이 이메일 활동의 침해 지표는 아래와 같습니다.

악성 파일(Malicious Files)

0x90_315_kspc.zip - 444FC88BB139F0729FD54542666AC95D33FAB7DE

 

4x94_182_qfx.wsf - 03D84211C2FA968B7737B37A5968B716259848A2

 

1x91_426_cedu.zip - D797EE6794769FD8520586DA844728CF2600D764

 

4x94_447_xih.wsf - 7BE42FFAAC461BB87B39098706A0A4022CC78517

 

4x94_300_l.zip - C08C59EF13874CDB23EC7EB4DE4CD76AF131DC7A

 

5x95_323_ofxh.wsf - 8A34DA2DB8A079C4CD5050EBD29A73A351EDE832

 

4x94_175_g.zip - 36AFE469B1CA6BC122414D94B814222B7887D80F

 

1x91_449_dcro.wsf - E69FD09F846C999C95CDF43A6CF114D73FE618F8

악성 웹사이트(Malicious Sites)

Fake unsubscribe link redirect - hxxp://vetdoctor[.]su/go.php

 

Malicious ZIP with WSF downloader - hxxp://content.screencast[.]com/users/invoice1619/folders/Default/media/a21db752-f6f0-4389-9419-0c5040c54e61/0x90_170_cxz.zip

 

Cerber payload - hxxp://188.225.36[.]90/label.bro