일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- commandline
- NumPy Unicode Error
- pytest
- mock.patch
- idapython
- debugging
- x64
- Analysis
- hex-rays
- Rat
- idapro
- MySQL
- 포인터 매핑
- idb2pat
- Injection
- error fix
- h5py.File
- Ransomware
- javascript
- data distribution
- why error
- svn update
- ida pro
- Python
- malware
- ida
- ecma
- TensorFlow
- error
- open office xml
- Today
- Total
13 Security Lab
[Ransom] Locky Ransomware Infection Tech 1 본문
Ransomware Infection Techniques
1. 실제 Locky 동작 시 내부에 있는 인코딩 된 PE를 풀어내기 위해 커맨드라인으로 받은 인자 값을 사용
(인자 없이 dll 제대로 동작 X)
[분석 샘플]
JS MD5 : 7513c6a1557829a074cb3ce547b81c92
DLL MD5 : 1906b171a386a1a9db87ea6ac002ff52
실행 인자 "qwerty 323"
관련 Ref. : https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/
< Cryptor : 내부 PE 삽입시 인코딩 할 키를 주어 암호화 삽입 >
2. 하드디스크, USB 외에 네트워크 공유 리소스 접근 암호화 수행
APIs
WnetOpenEnumW,
DWORD WNetOpenEnum(
_In_ DWORD dwScope,
_In_ DWORD dwType,
_In_ DWORD dwUsage,
_In_ LPNETRESOURCE lpNetResource,
_Out_ LPHANDLE lphEnum
);
dwScope
1 : CONNECTED - 현재 연결된 자원을 검색
2 : GLOBALNET - 네트워크의 모든 자원을 검색
3 : REMEMBERED - 저장된 자원을 검색
WNetEnumResourceW,
WNetAddConnection2W
Ref 1. "…as well as network resources. Network shares are mapped using WNetAddConnection2 " ( from Ref.1 )
[[VM 테스트]]
Result : 네트워크 매핑 함수를 쓰기 때문에 기존에 사용자의 행위를 통한 네트워크 프로파일이 없더라도 암호화를 수행하고, 암호화를 수행하는 PC의 네트워크 공유 설정관계없이 네트워크 내 공유 된 자원에 대한 접근이 가능하면 암호화 시키는 것 같다.
이미 작성 된 네트워크 프로파일이 있더라도 타겟이 현재 자신의 네트워크를 노출 시키지 않는 설정 상태라면 접근&감염시키지 않음
3. 볼륨쉐도우 삭제
1) 쉘 명령어 vssadmin.exe Delete Shadows /All /Quiet
2) vssapi.dll 의 Export 함수(CreateVssBackupComponetsInternal, VssFreeSnapshotPropertiesInternal ) 의 주소를 얻어 온 후 COM Object객체(CVssBackupComponents: DeleteSnapshots)를 사용
Ref. 1 : https://blog.malwarebytes.com/threat-analysis/2016/03/look-into-locky/
Ref. 2 : https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
Ref. 3 : https://blog.fortinet.com/2016/02/17/a-closer-look-at-locky-ransomware-2