[Malware] TeslaCrypt Analysis

TeslaCrypt

TeslaCrypt 랜섬웨어(Ransomware)는 2015년 1월 처음 발견된 악성코드로 기존의 CryptoLocker 랜섬웨어의 변종으로 알려져 있다. 시스템이 감염이 되었을 경우 존재하는 문서, 이미지, 미디어, CAD 등 185종의 다양한 확장자를 가진 파일을 암호화한다.

특히, 기존 랜섬웨어와는 다르게 Call of Duty, Star Craft 2, Minecraft 등의 50여종 게임 관련 파일을 타겟으로 삼았다. 

 

TeslaCrypt 는 계속해서 변종 및 더 강력한 버전으로 나오고 있으며, 버전에 따라 복호화 가능한 파일이 있다.

각 버전 정보는 이 사이트에서 간략하게 요약되어 있다.

http://sensorstechforum.com/remove-teslacrypt-rsa-4096-can-vvv-files-be-restored/ 

 

감염 경로

(1) 이메일 첨부 파일 실행

(2) 웹 사이트 접속 시 Angler EK, Nuclear EK, Sweet Orange EK 을 이용한 악성 웹 사이트로 리다이렉트

 

※ Exploit Kit 이란?

A. Exploit Kit 은 Exploit Pack 이라고도 불리며 Acrobat Reader, Adobe Flash Player, Web Browser 등의 어플리케이션 취약성을 이용하여 이메일, 웹 페이지 등으로 악성코드를 유포하기 위한 자동화 도구이다. 

 

 

감염 대상 파일

 

감염 대상 파일은 위 그림의 확장자 파일이며, 위 그림에는 없는 확장자가 더 있을 수 있다.

 

 

TeslaCrypt Analysis

분석 환경 : Windows XP Service pack 3

 

 

virustotal 에 올려보았다. 백신 엔진 56개 중 44개가 악성코드 임을 탐지했으며 이미 분석이 완료된 상태이다.

 

 

패킹 여부와 PE 정보를 분석해주는 툴을 이용한 결과는 위와 같다.

 

 

TeslaCrypt 랜섬웨어가 감염 시 시스템에 어떤 영향을 끼치는지 상세하기 알아보기 위해 직접 실행해보겠다..

혹여나 악성코드 분석을 하고자 하시는 분들은 반드시!! 가상머신에서 돌리기 바란다. VMware에 Snapshot 이라는 좋은 기능이 있다.

 

 

행위 분석 

악성코드를 실행하기 전에 Tcpview, Winalysis 도구를 사용하여 현재 레지스트리나 네트워크 정보들을 미리 저장해두었다.

 

 

악성코드를 실행하면 해당 확장자 파일을 모두 암호화한다. 그리고 확장자에 .ecc 가 붙는다.

암호화가 완료되면 위 그림의 프로그램이 피해자의 호스트에 실해된다.

위 프로그램에서는 RSA 암호를 사용하여 암호화했다고 하며, 파일을 복호화하기 위해서 비트코인을 요구한다.

 

 

배경화면도 바뀐 것을 확인할 수 있으며, 그림에서의 4개 파일이 생성되었다.

파일 이름은,

HELP_RESTORE_FILES.txt

HELP_RESTORE_FILES.txt

HELP_RESOTRE_FILES.bmp

Cryptolocker

라는 파일이 생성된다.

 

 

악성코드를 실행하면 원본 파일을 제거하고, tfsxvqe.exe 라는 프로그램을 실행한다. 파일이름은 랜덤한 문자를 가진다.

위에서 바탕화면에 생성된 CryptoLocker 파일은 tfsxvqe.exe 파일의 바로가기 파일이다.

이 파일의 위치는 C:\Documents and Settings\(유저명)\Application Data 이다. 이 위치에는 tfsxvqe.exe 파일 외에 log.html 파일과 key.dat 파일도 함께 있었다.

 

레지스트리 값 생성 및 변경

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 조작

 

프로세스 강제 종료

- procexp

- regedit

- msconfig

- cmd.exe

- ExEinfo PE

 

※ 악성코드 분석에 익숙하지 않기에 부족한 부분이 많다. 다른 자료도 함께 참조하기 바란다.

 

복구 방법

모든 TeslaCrypt 랜섬웨어에 대해서 복구할 수는 없다. 하지만 google, naver 검색을 통해 복구할 수 있는 툴을 다운받을 수 있으며, 방법을 소개하고 있다.

 

대응 방안

- 운영체제 및 각종 응용프로그램 최신 보안 업데이트

- 중요 문서 및 파일 주기적인 백업

- 신뢰할 수 없는 사이트 및 이메일 첨부 파일 실행 금지

- 사용자들의 보안 인식 개선 필수적!