[Malware analysis] Netwalker 랜섬웨어, 코로나 바이러스 피싱

[Malware analysis] Netwalker 랜섬웨어, 코로나 바이러스 피싱

분석 참조 
- Netwalker 랜섬웨어, 코로나 바이러스 피싱 통해 사용자 감염시켜
 > https://blog.alyac.co.kr/2851?category=750247

- 샘플 파일 다운로드
 > https://app.any.run/tasks/f9fbd0e2-f8eb-4a42-accb-8494b9f50dce/

코로나 바이러스(COVID-19) 피싱 이메일

"CORONAVIRUS_COVID-19.vbs"라는 첨부파일로 (그림 1)와 같이 난독화된 코드를 확인 할 수 있다.

[그림 1 - 난독화된 .vbs]

해당 난독화된 코드를 디코딩 시 (그림 2)와 같은 걸 확인 할 수 있다. 

디코딩된 코드를 살펴보면 임시디렉토리에 Netwalker 랜섬웨어 실행파일을 생성하고 실행하는 것을 확인 할 수 있다.

[그림 2 - 디코딩 .vbs]

Path : C;\Users\username\AppData\Local\Temp

파일명 : qeSw.exe

[그림 3 - 파일생성 및 프로세스 실행]

(그림 4)을 살펴보면 흐름을 알 수 있다.

Wscript.exe "C;\CORONAVIRUS_COVID-19.vbs" 

   ➡ qeSw.exe

       ➡ vssadmin.exe "delete shadows /all /quiet"

볼륨 섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업파일을 삭제한다.

윈도우 제공 vssadmin.exe & wbadmin.exe

vssadmin.exe (볼륨 섀도 복사본 서비스 관리 명령줄 도구)

wbadmin.exe (백업 명령줄 도구)

CoronaVirus 랜섬웨어 수행 명령들

vssadmin.exe Delete Shadows /ALL /Quiet ➡ 볼륨섀도우 복사본 삭제

wbadmin.exe delete backup -keepVersions:0 -quiet

wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet ➡ 시스템 상태 백업을 0개 남기고 모두 삭제

[그림 4 - 볼륨 섀도우 삭제 시도]

qeSw.exe 프로세스로 특정 디렉토리 경로 및 확장자등을 제외하고 파일 암호화를 진행하는 것을 확인 할 수 있었다.

➡ 암호 확장자 : .(랜덤한 6개)

➡ 예외 확장자 : .wsf, .dll, .bat, .exe, .js 등

➡ 예외 파일명 : iconcache.db, gdipfont*.dat, boor.ini 등

➡ 예외 경로 : C:\windows, C:\windows\ststem32, C:\Program File\Common Files\Oracle\Java\javapath 등

[그림 5 - 파일 암호화 및 랜섬노트]