팔로우 
요약
Kyber는 VMware ESXi 시스템과 Windows 파일 서버 전반의 데이터를 암호화하도록 설계된 플랫폼 간 랜섬웨어 위협입니다. 운영자들은 기본 유틸리티인 esxcli, PowerShell 및 vssadmin 을 이용해 가상 머신을 종료하고 섀도우 복사본을 제거하며 랜섬 노트를 영향을 받은 환경에 배포합니다. 2026년 3월, 연구원들은 ESXi를 타깃으로 한 ELF 바이너리와 Windows용 Rust 기반 PE 파일을 포함한 두 개의 관련 샘플을 복구했습니다. 두 변형은 Tor 기반 인프라와 공통 캠페인 식별자로 연결되었습니다.
조사
Rapid7은 ESXi와 Windows 페이로드를 모두 입수하여 정적 분석을 수행하여 그 동작을 더 잘 이해하였습니다. 연구는 악성코드가 RSA-4096 키 래핑과 결합된 ChaCha8을 사용한 맞춤형 암호화 루틴을 사용한다는 것을 보여주었으며, Windows 버전은 또한 Kyber1024 및 AES-CTR 암호화 방식을 결합하고 있었습니다. 조사자들은 타겟 파일 확장자, 랜섬 노트 배치, 서비스 종료 행위 및 Boomplay URL에 연결된 고유한 뮤텍스를 문서화했습니다.
완화
권장 방어 조치에는 가능하다면 SSH를 비활성화하고 다단계 인증을 적용하는 방식으로 ESXi 접근을 강화하고, 또한 네이티브 유틸리티에 대한 접근을 제한하는 것이 포함됩니다. vssadmin, wmic, 그리고 reg. 조직은 불변성을 통해 백업을 안전하게 하고 VMware 관리 파일의 변경 사항과 .#~~~ 파일 확장자의 출현에 대해 면밀히 모니터링해야 합니다. 추가 감지는 식별된 뮤텍스와 캠페인에 관련된 특정 랜섬 노트 파일 이름에 초점을 맞춰야 합니다.
대응
Kyber 활동이 감지되면, 영향을 받은 시스템을 즉시 격리하고, 악성코드 샘플을 보존하며 불변 백업을 사용하여 복구를 시작하십시오. 보안 팀은 캠페인 ID에 연결된 Tor 숨김 서비스를 차단하고, 뮤텍스를 제거하며 악성코드가 생성한 모든 랜섬 노트 파일을 삭제해야 합니다. 그런 다음 완전한 포렌식 검토를 통해 서비스 종료 이벤트, 레지스트리 변경 사항 및 관련 시스템 활동을 조사하고, 영향을 받은 가상 머신이나 호스트를 깨끗한 이미지에서 복구해야 합니다.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Nodes u2013 Actions action_initial_access["<b>Action</b> – <b>T1021.004 Remote Services: SSH</b><br/>Adversary gains initial access by SSH into ESXi hosts."] class action_initial_access action action_defacement["<b>Action</b> – <b>T1564.012 Hide Artifacts: File Path Exclusions</b><br/>Replace /etc/motd and VMware web UI pages with a ransom note."] class action_defacement action action_vm_enum["<b>Action</b> – <b>T1059.004 Unix Shell</b><br/>Use esxcli to enumerate virtual machines and softly terminate them."] class action_vm_enum action action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encrypt datastore files using ChaCha8 on Linux or AESu2011CTR with Kyber1024 on Windows."] class action_encryption action action_anti_recovery["<b>Action</b> – Multiple Techniques<br/>Stop backup services (T1489 Service Stop), delete VSS snapshots (T1485 Data Destruction), disable recovery environment (T1490 Inhibit System Recovery), impair defenses (T1562)."] class action_anti_recovery action action_cleanup["<b>Action</b> – <b>T1070.001 Indicator Removal: Clear Windows Event Logs</b><br/>Delete Windows event logs and remove execution artifacts."] class action_cleanup action %% Nodes u2013 Tools tool_ssh["<b>Tool</b> – <b>Name</b>: SSH<br/><b>Description</b>: Secure shell protocol for remote command execution."] class tool_ssh tool tool_esxcli["<b>Tool</b> – <b>Name</b>: esxcli<br/><b>Description</b>: ESXi commandu2011line utility for host and VM management."] class tool_esxcli tool tool_encryptor["<b>Tool</b> – <b>Name</b>: Custom Encryptor<br/><b>Description</b>: Implements ChaCha8 and AESu2011CTR with Kyber1024 to encrypt files."] class tool_encryptor tool %% Flow Connections action_initial_access –>|uses| tool_ssh action_initial_access –>|leads_to| action_defacement action_defacement –>|uses| tool_ssh action_defacement –>|leads_to| action_vm_enum action_vm_enum –>|uses| tool_esxcli action_vm_enum –>|leads_to| action_encryption action_encryption –>|uses| tool_encryptor action_encryption –>|leads_to| action_anti_recovery action_anti_recovery –>|leads_to| action_cleanup "
공격 흐름
탐지
의심스러운 Powershell 섀도우 복사본 참조 (cmdline 통해)
보기
의심스러운 Wbadmin 도구 활동 (cmdline 통해)
보기
IIS 프로세스 종료 시도 (cmdline 통해)
보기
의심스러운 Bcdedit 실행 (cmdline 통해)
보기
의심스러운 Wevtutil 사용으로 인한 방어 회피 가능 활동 (cmdline 통해)
보기
Powershell, CMD 또는 WMI를 통한 섀도우 복사본 생성 또는 삭제 (cmdline 통해)
보기
IOCs (HashSha256) 탐지: Kyber Ransomware Double Trouble: Windows와 ESXi 공격 설명
보기
Kyber Ransomware 안티 리커버리 PowerShell 및 Vssadmin 명령 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: 텔레메트리 및 기준선 사전 비행 점검을 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적군 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 설명은 식별된 TTP와 직접 반영되어 탐지 논리가 기대하는 정확한 텔레메트리를 생성해야 합니다.
-
공격 내러티브 및 명령어:
시뮬레이션된 공격자는 타협된 호스트에서 로컬 관리자 권한을 획득하고 파일을 암호화한 후 시스템 복구를 방지하려고 합니다. Kyber 랜섬웨어 행동을 따라, 공격자는 먼저 WMI를 통해 모든 기존 볼륨 섀도우 복사본을 나열하고 PowerShell 원라이너를 사용하여 각 복사본을 삭제합니다. 백업 계획으로 (또는 완료를 보장하기 위해), 공격자는 또한 실행합니다vssadmin.exe Delete Shadows /all /quiet. 두 명령어 모두 정확히 Sigma 규칙과 일치하는CommandLine필드를 생성하여 경고를 발생시킵니다. -
회귀 테스트 스크립트:
# ---------------------------------------------- # Kyber‑스타일 안티‑리커버리 시뮬레이션 # ---------------------------------------------- # 1. PowerShell VSS 삭제 (정확히 일치) $psCmd = 'powershell -ep bypass -nop -c "Get-WmiObject -Class Win32_ShadowCopy | ForEach-Object { $_.Delete() }"' Write-Host "PowerShell VSS 삭제 실행 중..." Invoke-Expression $psCmd # 2. vssadmin 삭제 (정확히 일치) $vssCmd = 'vssadmin.exe Delete Shadows /all /quiet' Write-Host "vssadmin 삭제 실행 중..." & $vssCmd Write-Host "시뮬레이션 완료." -
정리 명령어:
# 이 스크립트는 지속적인 아티팩트를 생성하지 않습니다. # 수정된 경우 PowerShell 실행 정책을 원래 상태로 재설정: Set-ExecutionPolicy -Scope Process -ExecutionPolicy Restricted -Force Write-Host "정리 완료."