Marlboro 랜섬웨어
- 보안 정보/악성코드 관련 정보
- 2017. 1. 12. 11:32
malwares.com 코드분석팀 분석 자료
<부제 : 계속되는 랜섬웨어 >
1. 개요 -
https://www.bleepingcomputer.com/news/security/emsisoft-website-hit-by-ddos-attack-as-company-releases-ransomware-decrypter |
< Figure0. emsisoft 관련 기사 >
< Figure1. 암호화 방식 ※출처: Wikipedia "Block_cipher_mode_of_operation" >
암호화에는 대표적으로 ECB,CBC가 있는데 ECB는 암호문이더라도 하나의 블록이 분석이 된다면, 전체를 파악할 수 있어 큰 단위에 부적합하다.
< Figure2. 랜섬웨어 감염 확장자 >
Marlboro 랜섬웨어에서는 사용자의 문서, 음악, 사진, 소스코드, 백업파일 분야를 가리지 않고 암호화 대상으로 삼고 있다.
일부 확장자에서는 파일의 데이터가 1Byte라도 손실되면 파일을 열 수 없는 확장자도 존재한다.
< Figure3. 암호화 코드 >
위 코드에서 XOR를 이용해 암호화를 진행하는것을 확인하였고 키 테이블을 알고있다면 복호화가 가능하다고 추측했다.
< Figure4. 키 테이블 >
키 테이블은 200Byte 로 이루어져있었으나, 감염자마다 다른 키 테이블이 생성되므로 같은 키로 다른 사용자의 파일 복호화는 불가능하다.
< Figure5. 원본 텍스트 >
< Figure6. 암호화 된 텍스트 >
0x24 0x20 0x2d 0x26 0x20 0x2d 0x20 0x29 암호문 0x61 0x61 0x61 0x61 0x61 0x61 0x61 0x61 평문 ------------------------------------------------- XOR 0x45 0x41 0x4c 0x47 0x41 0x4c 0x41 0x48 키 |
원본 텍스트에서 44byte만큼의 "a" 문자열을 써둔 상태에서 랜섬웨어가 동작한 뒤, 8자리의 문자가 반복되는것을 볼 수 있었다. 이것을 통해서 하나의 블록이 8자리 임을 추측 할 수 있다. 우리는 XOR의 특징을 이용해 8자리의 키를 찾아냈다.
하지만 암호화 된 파일을 통해 마지막 7바이트 이하는 손실된다는 점을 확인했다. 파일을 복원하더라도 무결성에 어긋나게 되서 실행이 되지 않는 파일들이 있을 수 있다.
< Figure8. 암호화 된 텍스트 >
다른 암호화 된 파일이다. 이 파일에 대해서 원본파일을 가지고 있지 않지만 다른 파일에서 얻어낸 키를 사용할 수 있다면, 문제가 되지 않을 것이다.
< Figure9. 복호화 코드 >
위에서 얻어낸 키로 복호화 코드를 작성해서 테스트 해보았다. 결과로 복호화 된 문자열이 나온다면, 해당 컴퓨터내에서 암호화 된 파일이 같은 키를 이용한다는 사실을 유추해낼 수 있다.
< Figure10. 복호화 된 텍스트 >
정상적으로 복호화가 이루어졌다. 하지만 마지막 문자는 "blog" 가 되었어야 했지만 8자리 단위로 잘려 있기에, 한자리가 손실되었다. 압축파일이였다면 실행이 되지 않을 수도 있으니 감염되지 않도록 주의하도록 해야 할것같다..
< Figure11. 랜섬웨어 노트 >
- 다국어 지원 : X
- 지불 금액 : 0.2BTC - 한화 20만원 (2017년 1월 17일 기준)
'보안 정보 > 악성코드 관련 정보' 카테고리의 다른 글
| 10만원. 싼맛에 복호화 하렴 Erebus 랜섬웨어 (0) | 2017.02.20 |
|---|---|
| 목적을 알 수 없는 봇넷 (0) | 2017.02.15 |
| 케르베르 (Cerber) 랜섬웨어 (1) | 2017.01.02 |
| 대북 관련 APT 악성코드 (0) | 2016.11.18 |
| 금융권 파밍 악성코드 (0) | 2016.11.14 |
