-
WannaCry Ransomware카테고리 없음 2020. 1. 3. 10:07반응형
워너크라이
-> 웜 형태와 같이 자기자신을 복재하여 네트워크로 전파하는 특징이 존재함
임의의 IP를 생성한 후에 해당 IP를 대상으로 SMB 포트(445)에 대한 스캔을 하여 취약점이 존재할 경우 자기 자신을 복사 후 실행시키는 과정을 반복하는 방식으로 감염을 확산시킨다.
OS 취약점을 이용한 랜섬웨어이기 때문에 전파가 빠르게 진행되었음.
워너크라이 전파를 무력화하는 킬 스위치를 찾았으나
이 후 킬 스위치가 없는 워너크라이 2.0 버전이 나와 속수무책이었음.
국내에서는 과학기술정보통신부, 한국인터넷진흥원, 통신사, 백신업체와 함께 침해사고 비상대응체계를 구성함
국내외 랜섬웨어 악성코드 246개 확보 및 분석
위 분석결과를 바탕으로 국내 백신(하우리, 이스트시큐리티, 안랩, 잉카인터넷) S/W에 워너크라이 랜섬웨어 패턴 전달 및 업데이트 지원
대응방법: 국내 비상대책회의 -> 랜섬웨어 분석결과를 제공하여 국내 백신사 소프트웨어에 업데이트 ->
국외 CERT, 국내 외 인텔리전스로부터 수집된 악성코드, C&C 등의 정보를 C-TAS를 통해 공유
국내에서는 위와 같은 절차를 통해 KISA와 민간 기업들이 하나가 되어 선제적으로 대응한 덕분에 피해가 상대적으로 적음
감염증상
- 확장자가 .wannacry로 변경됨
- 파일 데이터가 암호화된다.
- 배경화면이 변경된다.
특징
- 워너크라이 변종이 다양함
- 해커가 수동으로 복호화 키를 전송함
- 특정 시간안에 복호화 하지 않을경우 금액이 올라감
- 변종 상당 수가 몸값을 어떤 PC에서 지불하였는지에 대한 식별정보가 없으며, 자동으로 복호화 되지 않는다.
- KISA에서 분석한 국내의 랜섬웨어에 감염된 피해시스템들은 모두 SMB(445) 서비스를 실행하였으며, SMB 취약점 보안 업데이트 또한 적용하지 않은 상태였다.
- Windows 낮은버전들이 국내에서 감염됨
- SMB 취약점에 의해 악성코드가 설치 실행되었으며, 악성코드(mssecsvc.exe, tasksche.exe)가 윈도우 서비스로 등록되어 있었다.
- Mssecsvc.exe: 시스템 취약점 스캔 및 암호화 악성코드 드랍퍼
- Tasksche.exe: 파일 암호화 악성코드 드랍퍼
시스템이 재부팅 시 악성코드가 자동적으로 구동될 수 있도록 설정
랜섬웨어 생성 위치 : C:\Windows -> 워너크라이 메인 악성코드, 파일 암호화 악성코드 드랍퍼
43종 파일 : C:\ProgramData\랜덤생성폴더,
특징
- 악성코드 역할이 나뉘어져있다,
워너크라이 구성요소
1. 악성코드 mssecsvc.exe : 킬 스위치 체크, 익스플로잇 탐색, 악성코드 확산, tasksche.exe 생성
2. Tasksche: 7종의 악성코드 드랍퍼
3. 악성코드 : 암호화, 복호화, 토르접속, 라이브러리 등 7종
4. 랜섬웨어 추가파일(36종): 언어설정, 키파일, 안내문 등
킬 스위치란 종료기능 및 자폭장치 -> 악성코드가 특정도메인으로 연결이 가능하다면 더 이상 동작하지 않고 스스로 종료하게 만드는 코드이다.
감염을 확산시키기 위해 감염된 악성행위가 진행되는 것과 동시에 백그라운드로 네트워크단에서는 SMB취약점이 존재하는지 스캔한 후 취약점이 존재할 경우 랜섬웨어를 전파한다.
랜섬웨어 악성코드는 전파와 관련하여 내부망과 외부망을 대상으로하는 2가지 공격이 있다.
내부망 공격방식: 감염시스템IP와 NetMask 정보를 이용하여 동일 대역에 위치한 공격 대상 IP를 계산하여 배열을 생성하고 해당 IP들을 대상으로 순차적 공격을 진행한다.
유사한 공격 형태: SKB DNS DDoS 당시 Dalloz 리눅스 웜, KT DDoS Mirai 악성코드
(주변 전파 방식)
외부 네트워크 스캔 범위
A 클래스 대역 ~ C 클래스 대역 까지 공격
# A클래스 1.0.0.1 ~ 126.255.255.254
# B클래스 128.0.0.1 ~ 191.255.255.254
# C클래스 192.0.0.1 ~ 223.255.255.254
Taskdl.exe : 비트코인 송금 기간 만료 시 파일을 삭제하는 모듈
토르를 이용하여 키를 해커에게 넘기는방식임
드라이브 개수를 샌다.
삭제
- 특정 디렉토리를 조회
- .wncrypt 확장자를 확인하고, 삭제
복호화
- 파일 헤더를 확인하여 암호화 여부 확인
- 암호화 파일 일 경우 파일 데이터안에 저장된 AES 키를 .dky 파일을 이용해 복호화한다.
일단 추후에 문서로 다듬을 예정이다.
반응형