ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • WannaCry Ransomware
      카테고리 없음 2020. 1. 3. 10:07
      반응형

      워너크라이

      -> 웜 형태와 같이 자기자신을 복재하여 네트워크로 전파하는 특징이 존재함

      임의의 IP를 생성한 후에 해당 IP를 대상으로 SMB 포트(445)에 대한 스캔을 하여 취약점이 존재할 경우 자기 자신을 복사 후 실행시키는 과정을 반복하는 방식으로 감염을 확산시킨다. 

      OS 취약점을 이용한 랜섬웨어이기 때문에 전파가 빠르게 진행되었음.

       

      워너크라이 전파를 무력화하는 킬 스위치를 찾았으나

      이 후 킬 스위치가 없는 워너크라이 2.0 버전이 나와 속수무책이었음.

       

      국내에서는 과학기술정보통신부, 한국인터넷진흥원, 통신사, 백신업체와 함께 침해사고 비상대응체계를 구성함

       

      국내외 랜섬웨어 악성코드 246개 확보 및 분석

      위 분석결과를 바탕으로 국내 백신(하우리, 이스트시큐리티, 안랩, 잉카인터넷) S/W에 워너크라이 랜섬웨어 패턴 전달 및 업데이트 지원

       

      대응방법: 국내 비상대책회의 -> 랜섬웨어 분석결과를 제공하여 국내 백신사 소프트웨어에 업데이트 ->

      국외 CERT, 국내 외 인텔리전스로부터 수집된 악성코드, C&C 등의 정보를 C-TAS를 통해 공유

      국내에서는 위와 같은 절차를 통해 KISA와 민간 기업들이 하나가 되어 선제적으로 대응한 덕분에 피해가 상대적으로 적음

       

       

      감염증상

      -       확장자가 .wannacry로 변경됨

      -       파일 데이터가 암호화된다.

      -       배경화면이 변경된다.

       

      특징

      -       워너크라이 변종이 다양함

      -       해커가 수동으로 복호화 키를 전송함

      -       특정 시간안에 복호화 하지 않을경우 금액이 올라감

      -       변종 상당 수가 몸값을 어떤 PC에서 지불하였는지에 대한 식별정보가 없으며, 자동으로 복호화 되지 않는다.

      -       KISA에서 분석한 국내의 랜섬웨어에 감염된 피해시스템들은 모두 SMB(445) 서비스를 실행하였으며, SMB 취약점 보안 업데이트 또한 적용하지 않은 상태였다.

      -       Windows 낮은버전들이 국내에서 감염됨

      -       SMB 취약점에 의해 악성코드가 설치 실행되었으며, 악성코드(mssecsvc.exe, tasksche.exe)가 윈도우 서비스로 등록되어 있었다.

      -       Mssecsvc.exe: 시스템 취약점 스캔 및 암호화 악성코드 드랍퍼

      -       Tasksche.exe: 파일 암호화 악성코드 드랍퍼

      시스템이 재부팅 시 악성코드가 자동적으로 구동될 수 있도록 설정

       

      랜섬웨어 생성 위치 : C:\Windows -> 워너크라이 메인 악성코드, 파일 암호화 악성코드 드랍퍼

      43종 파일 : C:\ProgramData\랜덤생성폴더,

       

      특징

      -       악성코드 역할이 나뉘어져있다,

       

      워너크라이 구성요소

      1.     악성코드 mssecsvc.exe : 킬 스위치 체크, 익스플로잇 탐색, 악성코드 확산, tasksche.exe 생성

      2.     Tasksche: 7종의 악성코드 드랍퍼

      3.     악성코드 : 암호화, 복호화, 토르접속, 라이브러리 등 7

      4.     랜섬웨어 추가파일(36): 언어설정, 키파일, 안내문 등

       

      킬 스위치란 종료기능 및 자폭장치 -> 악성코드가 특정도메인으로 연결이 가능하다면 더 이상 동작하지 않고 스스로 종료하게 만드는 코드이다.

       

      감염을 확산시키기 위해 감염된 악성행위가 진행되는 것과 동시에 백그라운드로 네트워크단에서는 SMB취약점이 존재하는지 스캔한 후 취약점이 존재할 경우 랜섬웨어를 전파한다.

       

      랜섬웨어 악성코드는 전파와 관련하여 내부망과 외부망을 대상으로하는 2가지 공격이 있다.

       

      내부망 공격방식: 감염시스템IPNetMask 정보를 이용하여 동일 대역에 위치한 공격 대상 IP를 계산하여 배열을 생성하고 해당 IP들을 대상으로 순차적 공격을 진행한다.

       

      유사한 공격 형태: SKB DNS DDoS 당시 Dalloz 리눅스 웜, KT DDoS Mirai 악성코드

      (주변 전파 방식)

       

      외부 네트워크 스캔 범위

       

      A 클래스 대역 ~ C 클래스 대역 까지 공격

      # A클래스 1.0.0.1 ~ 126.255.255.254

      # B클래스 128.0.0.1 ~ 191.255.255.254

      # C클래스 192.0.0.1 ~ 223.255.255.254

       

       

      Taskdl.exe : 비트코인 송금 기간 만료 시 파일을 삭제하는 모듈

       

      토르를 이용하여 키를 해커에게 넘기는방식임

       

      드라이브 개수를 샌다.

       

       

      삭제

      -       특정 디렉토리를 조회

      -        .wncrypt 확장자를 확인하고, 삭제

      복호화

      -       파일 헤더를 확인하여 암호화 여부 확인

      -       암호화 파일 일 경우 파일 데이터안에 저장된 AES 키를 .dky 파일을 이용해 복호화한다.

       

      일단 추후에 문서로 다듬을 예정이다.

      반응형
    Designed by Tistory.

    티스토리툴바