티스토리 뷰

728x90
반응형

[Malware analysis] 류크(Ryuk) 랜섬웨어


르메스(Hermes) 랜섬웨어 변종으로 분류되는 류크 랜섬웨어는 표적형 랜섬웨어로 알려져 있다.

특정 조직 및 기업을 대상으로 유포하는 특징이며, 헤르메스 랜섬웨어와 유사하다. 또한, 확장자를 변경하지 않는 것을 확인할 수 있다. 

살펴보자.


1. 원본 파일 삭제 및 파일 생성

루프문을 통해 C: (0x43 0x3A)을 복사 후 해당 문자열 뒤에 \users\public을 추가 복사하는 것을 확인할 수 있다.


해당 루틴을 통해 파일명(vWQql.exe)을 생성한 후 .exe 확장자를 복사하는 것을 확인할 수 있다. 파일명은 매번 랜덤하게 생성되는 것을 확인할 수 있다. 


이후 메모리에 저장한 후 CreateFile()을 이용하여 C:\users\public\ 경로에 vWQql.exe 파일을 생성하는 것을 확인할 수 있다. 


2. 윈도우 bit 확인 후 데이터 저장 및 레지스트리 저장
LoadLibrary()을 이용하여 kernel32.dll 로드 후 GetProcAddress()을 통해 IsWow64Process() 주소를 얻어 OS bit 환경을 체크하는 것을 확인할 수 있다. 이후 해당 환경 bit에 맞는 Sample1에 있는 악성 데이터를 쓰는 것을 확인할 수 있다.

아래와 같이 커맨드 명령어를 통하여 시작 프로그램에 등록하는 것을 확인할 수 있다. 추가적으로 각 옵션이 붙는 걸 확인할 수 있는데 /v 이름 설정, /t reg 타입 설정, /d 입력할 값 기입, /f 확인 절차를 건너뛰고 작업 진행 옵션을 확인할 수 있다.

Cmd line : "C:\Windows\System32\cmd.exe" /C REG  ADD "HKEY_CURRENT_USE

R\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "svchos" /t REG_SZ /d "C:\Users\Public\vWQql.exe" /f


3. 권한 상승 및 대상 프로세스 선정

LookupPrivilegeValue()을 이용하여 특정권한을 검색하는 것을 확인할 수 있는데 SeDebugPrivilege의 권한을 찾는 것을 확인할 수 있다. 이후 AdjustTokenPrivileges()을 이용하여 얻은 권한을 활성화하는 것을 확인할 수 있다. 



대상 프로세스를 찾은 후 csrss.exe, explorer.exe, lsaas.exe 프로세스는 제외를 하는 것을 확인할 수 있으며, 해당 조건이 충족하면 0x30002370을 진행하는 것을 확인할 수 있다. 

4. CreateRemoteThread()을 이용한 Injection 
OpenProcess(), GetmoduleHandle()을 이용하여 해당 프로세스의 핸들을 얻은 뒤 Virtualallocex()을 이용해 다른 프로세스의 메모리 즉, taskhost.exe의 새로운 메모리 공간을 확보를 하는 것을 확인할 수 있다. 
Taskhost.exe 프로세스는 고정이 아니라 환경마다 달라질 수 있으며, 분석 당시 환경에서는 taskhost.exe의 새로운 메모리 공간을 확보하였다.

WriteProcessMemory()을 이용하여 대상 프로세스에 데이터를 쓰는 것을 확인할 수 있으며, 이후 CreateRemoteThread()을 이용해 악성 행위를 하는 것을 확인할 수 있다.

728x90
반응형
댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
250x250