[1] Information

파일명 : eafaa42673af89821d56bd7fc848a88f

크기 : 13,312 bytes

MD5 : eafaa42673af89821d56bd7fc848a88f

 

 

[2] Analysis

LockCrypt 코드 내부에는 프로세스 화이트리스트가 존재한다. 아래 표 이외의 프로세스는 모두 종료한다. 

 

 

랜섬노트와 랜섬웨어 실행 파일을 Windows OS 가 시작될 때마다 자동으로 실행되도록 한다.

orsa 와 rsa 키에는 각각 RSA 공개키와 암호화 된 개인키를 보관한다. 공격자가 생성한 공개키로 암호화 되었다.

그리고 EnableLUA 외 2개의 사용자 계정과 관련된 레지스트리 값을 생성 및 설정한다.

 

# HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run     // How To Decode Fileshta, searchfileexe 등록 

# HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DateTime   // orsa, rsa 키 생성 및 값 추가

# HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\policies\system

// EnableLUA, PromptOnSecureDesktop, ConsentPromptBehaviorAdmin(0) 키 생성

 

 

파일을 암호화 할 때는 AES, 키를 암호화할 때는 RSA 암호화 알고리즘을 사용한다.

파일 암호화 시 확장자는 .BadNews 로 변경한다. 

 

 

랜섬노트는 아래와 같으며, 랜섬노트 안에는 파일 복호화에 필요한 식별 값과 공격자의 메일 정보 등이 담겨있다.

 

 

마지막으로 공격자는 아래의 명령어들을 실행하여 VSS(Volume Shadow Copy Service) 삭제 및 관리 이벤트 로그를 삭제한다.

 

# cmd.exe /c vssadmin delete shadows /all

# c:\windows\clerlog.bat

 

 

 

'malware analysis' 카테고리의 다른 글

LockCrypt Ransomware  (0) 2018.09.04
GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

[1] Infomation

파일명 : [임의의 파일명].exe

크기 : 131,584 bytes

MD5 : 9f1aeca41d2da7ef2a441961077474f1

 

[2] GandCrab v4.3

GandCrab v4.3 에서는 이전의 버전과 아래와 같은 차이를 보인다.

 

GandCrab v4.1.2 에 대한 암호화 차단 방법(Kill-Switch)을 배포한데 따른 아래와 같이 보복성 메시지를 담고 있다.

추가적으로, Ahnlab V3 Lite 제품을 대상을 대상으로 0day exploit 을 이용해 DOS 공격이 가능하다는 메시지도 함께 담고 있다.

hxxp://memesmix[.]net/media/created/dd0doq.jpg


 

 

코드 내부에서도 아래와 같이 V3 Lite 제품을 공격하는 코드가 추가된 것으로 확인된다.

V3 Lite 최신 버전부터는 해당 공격에 영향을 받지 않는다고 한다.

 

 

 

'malware analysis' 카테고리의 다른 글

LockCrypt Ransomware  (0) 2018.09.04
GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu

기존의 파밍 악성코드는 DNS 서버 주소와 사용자 PC의 "C:\Windows\System32\drivers\etc" 경로에 있는 hosts 파일과 hosts.ics 파일을 변조하여 사용자를 금융 기관 사이트로 위장한 웹 페이지로 유도했다.

 

2015, 2016년 무렵에 발견된 파밍 악성코드는 백신 제품의 탐지를 우회하고자 PAC(Proxy Auto-Config)를 이용하고 있다.

PAC 스크립트는 웹 캐시에 대한 정보를 브라우저에 설정하지 않고 별도의 파일에 저장하여 특정 서버에 업로드 한 후, PAC 스크립트 경로를 지정하여 사용할 수 있다.

 

파밍 악성코드는 사용자가 특정 URL 에 접속했을 경우, 금융 기관 사이트로 위장한 웹 페이지로 유도하는 PAC 스크립트를 이용한다.

 

※ hosts.ics

ics 파일은 인터넷 연결 공유(ICS : Internet Connection Sharing) 시 해당 시스템의 네트워크 주소를 강제로 지정하는 기능.

hosts.ics 파일은 hosts 파일보다 우선 순위가 높다. 따라서 hosts. 파일을 변조하지 않고, 파밍 기능을 수행할 수 있다.

 

※ PAC(Proxy Auto-Config)란,

: 별도의 프록시 서버 설정없이 특정 URL 에 대해 자동으로 프록시 설정을 해주는 스크립트이다.

 

'malware analysis' 카테고리의 다른 글

LockCrypt Ransomware  (0) 2018.09.04
GandCrab v4.3 Ransomware  (0) 2018.08.28
PAC(Proxy Auto-Config)를 이용한 파밍  (0) 2018.08.12
Process Hollowing 기법  (0) 2018.08.05
[Malware] BoSSaBot  (0) 2018.05.06
[Malware] TeslaCrypt Analysis  (0) 2016.02.02
Posted by woodonggyu