■ SFMTA을 덮친 'HDDCryptor "
11 월 하순에"HDDCryptor "의 새로운 변종이 확산되고 있음을 확인했습니다. 분석 결과,이 변종은 SFMTA에 공격 에
이용 된 랜섬웨어 인 것으로 생각하고 있습니다. 이 변종은 "HDDCryptor"의 다른 버전과 마찬가지로, 전체 하드 드라이브 및 Windows 네트워크 공유 드라이브를 암호화하기위한 여러 도구를 만듭니다. 특히이 변종을 이용하는 공격자에 접촉하면 SFMTA가받은 것과 CSO 에서보고되는 메시지와 유사한 것이 회신 해 오는 것이 하나의 근거입니다.
그림 1 : 공격자의 대답. 가상 통화 "Bitcoin (비트 코인)"를 구하는 방법의 지침이 포함되어있다
이 2016 년에는 악성 프로그램 확산의 수단으로 메일을 통한 공격이 중심으로 확인되고 있습니다. 그러나 "HDDCryptor '을 확산시키기위한 악성 스팸 공격은 아직 확인되지 않았습니다. "HDDCryptor"를 이용하는 공격자는 먼저 공격 대상 시스템을 액세스 가능한 상태로 원격 조작으로 감염시키는 수법을 사용하고있는 것으로 생각됩니다. 이러한 원격 조작에는 백도어 악성 프로그램을 이용하는 외에도 일반적인 " 원격 데스크탑 프로토콜 (Remote Desktop Protocol, RDP)"을 이용하는 수법 이 확인되고 있습니다. 당사의 언더 그라운드 조사에서는 침해를받은 서버 인증서가 판매되고있는 실태가 밝혀지고있는 것도 감안하면 공격자는 자신의 네트워크에 침입하지 않고도 언더 그라운드에서 입수 한 서버의 인증 정보를 원격 조작에 이용하고있을 가능성도 있습니다.
이번 SFMTA의 사례에서도 마찬가지로, 아마도 PC에 존재하는 취약점을 이용한 공격에 의해 먼저 PC에 액세스 할 수 있도록 해두고, 그 후, 원격 조작에 의해 "HDDCryptor"를 감염시킨 것으로 추측하고 있습니다 . SFMTA 네트워크에서 감염을 확산 방법은 관리자의 인증 정보를 이용하여 특정 작업을 모든 기기에서 실행되도록 예약하여 감염시킨 것으로보고 있습니다.
■ 어떻게 "HDDCryptor"가 업데이트되었는지
당사는 "HDDCryptor"의 버전 차이를 분석하고 몇 가지 변경 사항을 확인했습니다. "HDDCryptor"의 첫 번째 버전은 Visual Studio 2012 에서 컴파일되어 있지만 SFMTA 공격에서도 사용 된 것으로 간주 최신 버전은 Visual Studio 2013 에서 컴파일되어 있습니다. 이 최신 변종은 SFMTA 공격에 이용 된 것과 동일한 협박장을 표시합니다.
"HDDCryptor"네트워크 공유 파일의 암호화 모듈의 일부인 "mount.exe"파일이 실행됩니다. 암호화 된 각 드라이브 이름과 암호가 인수로서 "mount.exe"에 전달되고 공유 파일의 암호화 활동이 실행됩니다.
초기 버전의 "HDDCryptor"는이 "mount.exe"프로그램 데이터베이스 (PDB) 내에 crp_95_ 02 _30_v3 문자열을 확인할 수 있습니다.
- c : \ users \ public.unkonw \ desktop \ crp_95_ 02 _30_v3 \ crp \ release \ mount.pdb
최신 버전의 "HDDCryptor '에서도 비슷한 CRP_95_ 08 _05_v3 문자열을 확인할 수 있습니다.
- C : \ Users \ public.Unkonw \ Desktop \ CRP_95 \ CRP_95_ 08 _05_v3 \ CRP \ Release \ Mount.pdb
이러한 시간의 타임 스탬프는 신뢰할 수있는 것이라고는 할 수 없지만, 최신 버전은 초기 버전의 "HDDCryptor '을 업데이트하고 코드를"개선 "하는 것의 표현들로 간주된다.
"개선"의 내용은 다양하지만 그 일례로 감지 회피 기능이 있습니다. 초기 버전 이외의 「HDDCryptor」에서는 자원 부분 (확장자 rsrc)에있는 데이터를 쉽게 암호화 방식을 이용하여 암호화되어 있습니다. 이것은 보안 제품에 의한 검출을면하기 위해서 자주 사용되는 수법입니다. 동시에 기본적인 샌드 박스 회피 디버깅 방지 기능 문자열의 인코딩 등 보안 제품 등에 의한 탐지를 피하기 위해 "개량"이 더 해지고 있습니다.
그림 2 : 자원 부분의 복호화 알고리즘. 자원을로드 한 후 주소 0x9922D0 복호가 시작된다
※ 검체 해시 값 "97ea571579f417e8b1c7bf9cbac21994"
지금까지의 「HDDCryptor "공격에서는 사용자 계정의 추가가 이루어지고있었습니다. 9 월의 시점에서 확인 된 사용자 이름은 "mythbusters"라는 것이 었습니다. 곧이어 사용자 이름 "ABCD"가 관찰되었지만, 이것은 탐지를 피하기 위해 작성자가 변경 한 것으로 간주합니다. 11 월 하순에 확인 된 최신 'HDDCryptor "는 사용자 계정을 추가하지 않고, 대신"C : \ Users \ WWW "라는 경로가 추가되어 로컬 하드 드라이브 및 네트워크 공유 파일 암호화의 실행에 필요한 파일이 거기에 작성됩니다.
그림 3 : "HDDCryptor"에 의해 생성되는 컴퍼넌트
"HDDCryptor"네트워크 공유 파일을 암호화 한 후 로컬 파일의 암호화에 필요한 모든 구성 요소를 만들고 시스템을 일단 다시 시작하고 다시 시작한 후 자신의 활동을 재개합니다.
그림 4 : 재부팅 후 실행되는 "HDDCryptor '의 악의적 인 활동 로그
그 후, 두 번째 다시 시작합니다. 그 때 "HDDCryptor '는'마스터 부트 레코드 (MBR) '을 무시하고 협박장을 표시합니다 (그림 5 참조). 협박장은 버전에 따라 E 메일 주소와 문구가 다르지만, 다른 하나는 마찬가지입니다.
그림 5 : "HDDCryptor"의 협박장
새로운 버전의 'HDDCryptor "파일 실행 중에 전달 된 인수는 해독 암호입니다. 이것은 초기 버전과 동일합니다.
"HDDCryptor」에서는 하드 디스크의 암호화를 위해 오픈 소스 데이터 암호화 소프트웨어"DiskCryptor "를 사용하고 있습니다 만, 사용되는"DiskCryptor "본체는 다시 컴파일되지 않을 수 분석에서 확인되고 있습니다. "HDDCryptor」에서는 초기 버전에서"dcapi.dll "파일을 수정하고 협박장의 표시를 추가했습니다.
■ "HDDCryptor"다음에 무슨 일이 예측되는지
이번 SFMTA 공격에서는 30GB 상당의 데이터를 절취하고 그것을 바탕으로 협박을 한 것으로되어 있습니다. 당사는 이러한 정보 유출에 대해 아직 확인하지 않지만 랜섬웨어가 수집 한 정보를 딥 Web이나 언더 그라운드에서 공개 · 판매하는 경향은 지금까지 당사가 예측 해왔다 랜섬웨어의 변화와 동일 할 수 있습니다. 랜섬웨어를 이용한 공격은 일반적으로 원래의 파일 대신 몸값이 파일의 소유주에 요구되는 것이고, 암호화 된 데이터 모두를 분별하고 거기에서 판매하는 가치있는 정보를 찾아 낸다 것은 현실적으로 매우 어려운 것입니다. 하지만 랜섬웨어가 데이터를 암호화하는 과정에서 데이터의 복사를 공격자의 전 전달한다는 것은 무리가없는 과정입니다. 사용자가 암호화 된 정보에 몸값 2BTC (18 만엔 전후)를 지불했다는 것은 그 암호화 된 데이터에 사용자에게 중요한 데이터가 있음을 의미합니다. 그러면 공격자는 사용자가 어떤 인물인가를 개별적으로 확인합니다. 만약 단순히 가족 사업 인 경우 몸값을받은 후 파일을 해독하기위한 정보를 전달합니다. 그러나 몸값을 지불 한 것이 SFMTA 같은 조직으로 판명 된 경우 공격자는 곧 몸값을 끌어 올려 추가 수단으로 파일 공개는 협박을 할 수 없습니다. 당사는이 수법은 내년 2017 년에는 더욱 두드러지게 될 것으로 예측하고 있습니다.
침입의 흔적 (Indicators of Compromise, IOC) 및 "RANSOM_HDDCryptor"관련 해시 값은 여기 를 참조하십시오.
'malware ' 카테고리의 다른 글
| 플래쉬 취약점 악용한 악성코드 (0) | 2016.12.13 |
|---|---|
| 피싱사이트 주의 (0) | 2016.12.13 |
| 주말을 기하여 deface된 사이트 관리자 조치 필요 (0) | 2016.12.11 |
| 제주 **도메인 디페이스 조치필요 (0) | 2016.12.10 |
| 악성코드 유포 주의 (0) | 2016.12.09 |
