티스토리 뷰

Reversing/Malware analysis

[Malware analysis] WastedLocker 랜섬웨어

정뚱띵 2020. 7. 27. 10:18
728x90
반응형

[Malware analysis] WastedLocker 랜섬웨어 


참조

https://www.zdnet.com/article/garmin-services-and-production-go-down-after-ransomware-attack/

https://usf.app.box.com/s/z4fljmzgc2291ivv2u9prw3sh0apch17

https://asec.ahnlab.com/11


참조 블로그 뉴스를 살펴보면 웨어러블 제조업체인 가민(Gamin)은 랜섬웨어로 인하여 여러 서비스를 중단한 상태라는 것을 확인할 수 있다.

WastedLocker라고 불리는 랜섬웨어로 추정이 되고 있는 상태라고 한다. 변형된 랜섬웨어 일수도 있지만 WastedLocker_IOC에 있는 하나를 분석할 것 이다.


(그림 1)에서 WastedLocker 랜섬웨어 파일을 확인할 수 있다.

해당 파일은 "Launchy"라는 빠르게 사용할 수 있는 도구 파일로 위장한 악성 파일인 것을 확인할 수 있다.

(그림 1)


해당 파일 분석 시 인코딩 된 데이터를 디코딩 루프를 통해 API를 호출하는 것을 확인할 수 있다.

(그림 2)


다음으로 인코딩 된 악성파일 즉, WastedLocker 랜섬웨어의 페이로드를 확인할 수 있는데 (그림 3)과 같이 인코딩 된 데이터는 디코딩 루프(그림 4)를 통하여 디코딩을 확인할 수 있다.

(그림 3)

(그림 4)



해당 추출한 WastedLocker 랜섬웨어 페이로드를 확인하여 행위를 살펴볼 것 이다.

(그림 5)


페이로드 스트링 확인 시 GetDriveType(), GetFileAttributes(), GetLogicalDriveStrings() 등 랜섬웨어 관련된 API를 확인할 수 있다.

(그림 6)


.bss 섹션을 로딩한 후 디코딩을 진행하는 것을 확인할 수 있다.

(그림 7)


계속 진행 시 현재 파일의 핸들을 얻은 뒤 확장자의 위치를 찾는 것을 확인할 수 있는데, 이후 %Temp% 경로를 얻어 해당 파일명의 minidump(_00220000.dmp)를 생성하는 것을 확인할 수 있다.

해당 부분에 SetUnhandledExceptionFilter()가 있어 안티디버깅을 확인하나 싶었지만 호출 시 FFFFFFFF 값이 아닌 0을 받는 것을 확인할 수 있었다.

(그림 8)


C:\Windows\System32 해당 폴더에 *.exe, *,dll 파일을 (그림 9)와 같이 검색하는 것을 확인할 수 있다.

(그림 9)


%appdata% 경로를 얻은 뒤 (그림 9)에서 얻은 랜덤한 파일(정상파일)을 Hivelist(랜덤명) 파일에 복사하는 것을 확인할 수 있다.

(그림 10)


이후 ADS(Alternate Data Stream)이란 데이터를 숨길 수 있는 영역을 이용하여 (그림 11)와 같이 숨겨진 것을 확인할 수 있다(ADSSpy). 먼저 (그림 12)을 보면 악성 데이터를 쓰는 것을 확인 할 수 있는데 해당 부분 분석 시 (그림 13)와 같이 ShellExecuteEx()을 이용하여 암호화를 수행하는 것을 확인할 수 있었다.

이후 사용자가 시스템 복원 기능을 통해 파일을 복구할 수 없도록 시스템 복원을 무력화하는 걸 확인할 수 있다.

(그림 11)

(그림 12)

(그림 13)


(그림 14)을 보게되면 이전 악성 데이터의 스트링을 확인하여 암호화 확장자 목록을 확인할 수 있었다.

(COM;EXE;BAT;CMD;VBS;VBE;JS;JSE;WSF;WSH;MSC;PY;PY;ps1;msu;ani;wpx;hlp;ocx;com;cpl;adv;cmd;lnk;drv;sys;icl;nls;cab;bat;theme;bin;key

;themepack;msi;icns;ics;idx;hta;scr;msstyles;diagcfg;diagcab;nomedia;msc;cur;mod;shs;rtp;rom;msp;ini;dat;sdi;wim;dll;exe;)

(그림 14)


(그림 15)와 같은 확장자로 암호화가 이루워지는 것을 확인할 수 있다.

(그림 15)


마지막으로 랜섬노트를 확인할 수 있다.

(그림 16)





728x90
반응형
저작자표시

'Reversing > Malware analysis' 카테고리의 다른 글

[Malware analysis] 폼북(Formbook) Malware  (0) 2020.07.31
[Malware analysis] 5개월만에 돌아온 Emotet Malware  (0) 2020.07.27
[Malware analysis] 매크로를 이용한 워드 파일 Emotet Malware  (0) 2020.07.23
[Malware analysis] '결백' 영화 파일로 위장한 백도어 악성코드  (0) 2020.07.22
[Malware analysis] Black Ball SMBGhost 취약점 공격  (0) 2020.07.20
댓글
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today