13 Security Lab

[Ransom] Locky Ransomware Infection Tech 1 본문

Computer Security/Analysis

[Ransom] Locky Ransomware Infection Tech 1

Maj0r Tom 2016. 9. 20. 14:33

Ransomware Infection Techniques


1. 실제 Locky 동작 시 내부에 있는 인코딩 된 PE를 풀어내기 위해 커맨드라인으로 받은 인자 값을 사용

(인자 없이 dll 제대로 동작 X)


[분석 샘플]

JS MD5 : 7513c6a1557829a074cb3ce547b81c92

DLL MD5 : 1906b171a386a1a9db87ea6ac002ff52

실행 인자 "qwerty 323"


관련 Ref. : https://blog.malwarebytes.com/threat-analysis/2015/12/malware-crypters-the-deceptive-first-layer/



< Cryptor : 내부 PE 삽입시 인코딩 할 키를 주어 암호화 삽입 >



2. 하드디스크, USB 외에 네트워크 공유 리소스 접근 암호화 수행 

APIs

WnetOpenEnumW, 

DWORD WNetOpenEnum(

  _In_  DWORD         dwScope,

  _In_  DWORD         dwType,

  _In_  DWORD         dwUsage,

  _In_  LPNETRESOURCE lpNetResource,

  _Out_ LPHANDLE      lphEnum

);


dwScope

1 : CONNECTED - 현재 연결된 자원을 검색

2 : GLOBALNET - 네트워크의 모든 자원을 검색

3 : REMEMBERED - 저장된 자원을 검색


WNetEnumResourceW,

WNetAddConnection2W


Ref 1. "as well as network resources. Network shares are mapped using WNetAddConnection2 " ( from Ref.1 )



[[VM 테스트]]



Result : 네트워크 매핑 함수를 쓰기 때문에 기존에 사용자의 행위를 통한 네트워크 프로파일이 없더라도 암호화를 수행하고, 암호화를 수행하는 PC의 네트워크 공유 설정관계없이 네트워크 내 공유 된 자원에 대한 접근이 가능하면 암호화 시키는 것 같다.


이미 작성 된 네트워크 프로파일이 있더라도 타겟이 현재 자신의 네트워크를 노출 시키지 않는 설정 상태라면 접근&감염시키지 않음


3. 볼륨쉐도우 삭제

1) 쉘 명령어 vssadmin.exe Delete Shadows /All /Quiet

2) vssapi.dll Export 함수(CreateVssBackupComponetsInternal, VssFreeSnapshotPropertiesInternal ) 의 주소를 얻어 온 후 COM Object객체(CVssBackupComponents: DeleteSnapshots)를 사용

 



Ref. 1 : https://blog.malwarebytes.com/threat-analysis/2016/03/look-into-locky/ 

Ref. 2 : https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky

Ref. 3 : https://blog.fortinet.com/2016/02/17/a-closer-look-at-locky-ransomware-2

Comments