10만원. 싼맛에 복호화 하렴 Erebus 랜섬웨어

malwares.com 코드분석팀 분석 자료


<부제 : Erebus 랜섬웨어 >


1. 개요 - 


2017년 2월, 랜섬웨어로 인한 감염은 계속되고 있으며, 값은 지속적으로 오르고있다. 그로 인해 비트코인 시장까지 활성화 되어 1년동안 비트코인의 가치는 2배가 뛰었다. 이번에 한국에 등장한 Erebus 랜섬웨어는 $90(10만원 상당) 을 요구해 "저가형 랜섬웨어" 로 불리고 있다. 타 랜섬웨어와 다른점이 가격말고 무엇이 있을지 분석해보았다.


2. 분석 정보 



< Figure0. 메인 함수 >


프로그램에서는 제일 먼저 가상환경을 탐지해낸다. 3가지 방법으로 탐지를 시도해내고 있으며 탐지 될 경우, 종료한다. 이로 인해 행위 분석으로는 결과가 나오지않을 수 있다.


 

< Figure1. 가상 환경 탐지 함수 >


  • VMDetect
    ->0x5658 포트에서 값을 읽어서 "VMXh" 일 경우, 탐지해낸다. 대표적으로 Vmware을 이용할 경우 탐지된다.
  • VMDetect2
    ->VirtualPC에서 읽을 수 없는 명령어를 실행해 Try~Catch로 탐지한다. 대표적으로 VirualBox을 이용할 경우 탐지된다.
  • VMDetect3
    ->SbieDll.dll의 존재 유무로 탐지해낸다. 이 라이브러리는 샌드박스 라이브러리로 일반적인 PC에서는 로드되지 않는다.



< Figure2. Tor 다운로드 >



< Figure3. Tor 다운로드2 >


최근까지 나오던 랜섬웨어는 Tor를 받아 접속을 해야했으나, 내부에 다운로드하는 코드가 포함되어 있었다. 다시 실행해 패킷을 캡쳐했을때, 다른 버전의 Tor를 다운로드 하고 있었다. 이를 통해 매번 버전은 달라질 수 있다는것을 알 수 있었다.



< Figure4. 감염정보 >

  • 암호화 키1 : E!%X6w=-8*VXDdd!

  • 암호화 키2 : EKvc649wR*QzFt+2m-d5_QhYDzmJW+fu

  • 암호화 함수: 0040FAE0 (BASE : 00400000)

하드웨어,아이피,비밀키,공개키등을 이용해 하나의 데이터로 만든 후, 암호화 함수에서 키 2개를 이용해 암호화 한다.

ECB방식으로 길이의 변화가 없다. 


< Figure5. 데이터 전송 >


  • 서버 주소 : http://erebus5743Inq6db.onion

암호화한 데이터를 서버주소로 전송하는 동작을 확인할 수 있었다.  서버 주소는 "onion"을 쓰고 있었는데 이 도메인은 크롬이나 익스플로러같은 브라우저로는 접속이 불가능하다. Tor를 통해 시도해보았더니 접속이 가능했다.(2017년 2월 22일)


< Figure6.  javascript를 이용한 메시지박스 >


감염이 완료되면 메시지박스로 감염사실을 알리며 종료된다. "README.html" 같은 랜섬노트도 작성되므로 다른 방법으로도 랜섬웨어 감염여부를 알 수 있다.



.ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p7b, .p7c, .p12, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

< Figure7.  감염 대상 확장자 >



3. 파일 정보 


< Figure8.  MAX-AntiVirus 결과 >



MD5    : 0CED87772881B63CAF95F1D828BA40C5

SHA-1  : 6E5FCA51A018272D1B1003B16DCE6EE9E836908C

SHA-256: ED3A685CA65DE70B79FAF95BBD94C343E73A150E83184F67E0BDB35B11D05791

이 글을 공유하기

댓글

Designed by JB FACTORY