하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

특정 기업 타깃 SNAKE 랜섬웨어
등록일 :
2020.06.19

□ 개요​

 

감염된 PC 의 파일들을 암호화시키는 랜섬웨어다

□ 내용

특정 도메인의 IP 주소 값을 확인하고 악성코드에 하드코딩 되어있는 IP 주소 값과 비교한다. 

-​ 도메인 : MDS.HONDA.COM

- IP : 170.108.71.15​

 

​[그림 1] IP 주소 확인

 

​다음과 같은 쿼리를 이용하여 AD 서버인지 체크하여 랜섬노트를 생성하고, AD 서버가 아니라면 뮤텍스를 생성하고 암호화를 진행한다.

AD(Active Directory)는 마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발된 인트라넷 자원 공유 서비스 기능이다.

​- 쿼리 : select DomainRole FROM Win32_ComputerSystem

- 뮤텍스 값 : Global\EKANS​

 

[그림 2] AD 서버 확인

 

​AD 서버인 경우 랜섬노트를 생성하고 암호화를 진행하지 않으며, AD 서버가 아닌 경우 랜섬 행위를 수행하지만 별도의 랜섬노트를 생성하지 않는다.​

​- 생성 경로 1 : %root%\Decrypt-Your-Files.txt

- 생성 경로 2 : (바탕화면)\Decrypt-Your-Files.txt​

 

 

[그림 3] 랜섬노트

 

감염되기 전 방화벽의 inbound와 outbound를 켠다.

- netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound

- netsh advfirewall set allprofiles state on​

​파일 암호화에 사용되는 AES Key 를 암호화하는데 사용되는 공격자의 공개키가 하드코딩 되어있다.​

 

 

[그림 4] 공격자의 공개키 

 

특정 서비스와 프로세스를 종료시킨다.

 

 

[그림 5] 종료할 서비스 목록 일부 

 

 

[그림 6] 종료할 프로세스 목록 일부

 

​감염된 문서 뒤에 암호화에 사용된 정보와 마커를 추가한다. 

- 마커 : “EKANS” (파일의 뒤 5 바이트 값) 

- 암호화 정보 크기 값 : 0x17E (마커의 앞 4 바이트 값) 

- 암호화 정보 (암호화 정보 크기 값의 앞 0x17E 바이트 값) 

- 암호화된 데이터 (나머지 부분)​ ​  

 

​[그림 7] 감염된 문서

 

암호화가 완료된 파일은 랜덤 영문 5 자리를 확장자 뒤에 추가한다.

- 파일명.확장자(랜덤영문 5 자리)​ 

 

[그림 8] 확장자 변경 

 

암호화가 진행되지 않는 폴더 및 파일은 다음과 같다. 

 

[표 1] 감염 제외 폴더 및 파일

 

​특정 폴더에서는 확장자를 검사하여 감염시키지 않는다. 해당 폴더 외 다른 폴더에서는 모든 파일이 암호화된다.​ 

 ​

​[표 2] 확장자 검사 폴더 및 예외 확장자

 

감염이 완료된 후 방화벽을 해제한다.

- netsh advfirewall set allprofiles state off

 

 

​□ 바이로봇 업데이트 내역 

 

Trojan.Win32.S.SnakeRansom.3965952 

 

 

 

 

 

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top