□ 개요
- 도메인 : MDS.HONDA.COM
- IP : 170.108.71.15
다음과 같은 쿼리를 이용하여 AD 서버인지 체크하여 랜섬노트를 생성하고, AD 서버가 아니라면 뮤텍스를 생성하고 암호화를 진행한다.
AD(Active Directory)는 마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발된 인트라넷 자원 공유 서비스 기능이다.
- 쿼리 : select DomainRole FROM Win32_ComputerSystem
- 뮤텍스 값 : Global\EKANS
AD 서버인 경우 랜섬노트를 생성하고 암호화를 진행하지 않으며, AD 서버가 아닌 경우 랜섬 행위를 수행하지만 별도의 랜섬노트를 생성하지 않는다.
- 생성 경로 1 : %root%\Decrypt-Your-Files.txt
- 생성 경로 2 : (바탕화면)\Decrypt-Your-Files.txt
감염되기 전 방화벽의 inbound와 outbound를 켠다.
- netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound
파일 암호화에 사용되는 AES Key 를 암호화하는데 사용되는 공격자의 공개키가 하드코딩 되어있다.
[그림 4] 공격자의 공개키
특정 서비스와 프로세스를 종료시킨다.
[그림 5] 종료할 서비스 목록 일부
감염된 문서 뒤에 암호화에 사용된 정보와 마커를 추가한다.
- 마커 : “EKANS” (파일의 뒤 5 바이트 값)
- 암호화 정보 크기 값 : 0x17E (마커의 앞 4 바이트 값)
- 암호화 정보 (암호화 정보 크기 값의 앞 0x17E 바이트 값)
- 암호화된 데이터 (나머지 부분)
암호화가 완료된 파일은 랜덤 영문 5 자리를 확장자 뒤에 추가한다.
- 파일명.확장자(랜덤영문 5 자리)
[그림 8] 확장자 변경
암호화가 진행되지 않는 폴더 및 파일은 다음과 같다.
특정 폴더에서는 확장자를 검사하여 감염시키지 않는다. 해당 폴더 외 다른 폴더에서는 모든 파일이 암호화된다.
감염이 완료된 후 방화벽을 해제한다.
- netsh advfirewall set allprofiles state off
□ 바이로봇 업데이트 내역
Trojan.Win32.S.SnakeRansom.3965952