안티포렌식 기능이 적용된 랜섬웨어 분석보고

안티포렌식 기능이 적용된 랜섬웨어 분석을 시작하겠습니다!!

 

1. 악성행위 및 침해사고분석내용 요약

1) 실행 시 분석중인지 확인 후 분석되고 있다면 종료

[그림1] 실행 시 분석중인지 확인 후 분석되고 있다면 종료

 

▶ 분석환경에서 동작하지 않도록 하는 기술을 적용해 분석이 어렵도록 제작

 

 

2) 레지스트리 변경(UAC 설정)

[그림2] 레지스트리 변경(UAC 설정)

▶ 새 프로세스를 관리자권한으로 실행하기위해 UAC(사용자계정컨트롤)설정을 해제하도록 레지스트리 변경

 

 

3) 암호화할 파일정보 얻어 파일 읽기

[그림3/그림4] 암호화할 파일정보 얻어 파일 읽기

▶ C:\부터 순회하며 파일식별정보를 얻은 후 암호화할 파일의 내용을 읽기

 

4) 데이터 암호화 및 덮어쓰기

[그림5/그림6] 데이터 암호화 및 덮어쓰기

▶ 스스로 암호키를 생성하여 읽은 파일 내용을 암호화 한 후 저장

 

 

5) 암호화 전/후 파일명 및 암호화 시간

[그림7] 암호화 전/후 파일명 및 암호화 시간

 

 

[그림8] 랜섬노트 작성

▶ 바탕화면에 랜섬노트 생성 후 감염된파일복구를 위한 복호화금액 요구

▶ 디스크복구가 불가능하도록 볼륨섀도우를 삭제하는 안티포렌식기법을 적용

 

 

6) 전체내용 요약

▶ 불특정다수를 대상으로 랜섬웨어가 포함된 악성메일을 유포

▶ 랜섬웨어는 암호화 후 볼륨섀도우사본(VSS) 삭제하는 안티포렌식 적용

 

 

2. 대응

1) NAC차단정책을 이용한 통신차단, 해당 PC 랜선제거

2) C&C서버(경유포지) IP/URL 차단