보안 위협 분석

온라인 문의

Medusa Locker 분석 보고서

악성코드 분석        2021-06-22

 



 


1. 개요

 

해당 랜섬웨어는 대상 PC내에 있는 파일만 암호화 하지 않고 연결 된 공유 네트워크까지 파악하여 암호화 대상에 적합하다면 공유폴더 까지 암호화를 진행한다. 그리고 윈도우 작업 스케쥴러에 정상파일로 위장하고 등록하여 15분마다 반복 실행하여 더 많은 파일에 대해서 암호화 시도를 하고 있다 

 

 


2. 상세분석

 


 

 

2.1 KR.exe 분석

 

해당 악성코드는 RDP(원격 데스크톱 서비스) 취약점을 이용하여 타겟PC에 악성코드를 실행시키고 감염된 파일의 확장자는 .krlock로 변경 되고 감염된 경로에 랜섬노트가 생성 된다.

 

 

 

 


 

[그림] 1 랜섬노트

 

  

악성코드는 악성행위를 시작하기 전에 뮤텍스 값{8761ABBD-7F85-42EE-B272-A76179687C63}을 확인하여 똑같은 프로세스가 실행 중인지 확인하고 똑같은 뮤텍스가 확인 된다면 악성코드는 자동으로 종료하게 된다.

 

 

  

 

[그림] 2 뮤텍스 확인

 

  

뮤텍스 값을 확인하고 난 뒤 악성코드는 관리자 권한으로 실행 중인지 일반 사용자 인지 확인한다.

 

 

  

 

[그림] 3 권한 확인

 

 

  

사용자에게 관리자 권한으로 실행하는 작업 승인 메시지를 띄우지 않고 관리자 권한으로 실행시키는 방식을 사용하기 COM Interface를 통해 UAC Bypass를 하게 된다.

 

 

  


[그림] 4 권한 상승

 

 

  

 

레지스트리에 새 키를 생성하여 악성코드 파일 이름을 저장한다. 해당 레지스트리 값 MDSLK는 MedusaLocker로 확인된다. 


 

[그림] 5 레지스트리 생성

 

 

  

샘플이 실행되면 RSA 공개키와 같은 파일 암호화에 필요한 정보를 읽어온다. 이 키 값은 AES 알고리즘에 사용 되는 키 값을 암호화 하는데 사용된다. 악성코드는 AES 암호화 알고리즘과 RSA-2048의 조합을 사용하여 파일 암호화 작업을 수행한다.

 

 

  


[그림] 6 암호화 정보

 

 

   

악성코드는 자기 자신을 C:\Users\사용자\AppData\Roaming\ 경로에 svhost.exe 이름의 파일로 복사한다.


파일을 복사한 뒤에는 작업스케줄러에 복사한 파일을 등록하여 15분마다 반복 실행 하도록 한다.

 

 


 

[그림] 7 자가 복제




 

[그림] 8 스케줄러 등록

 

 

 

 

악성코드는 정상적인 암호화 행위를 수행 하는데 있어서 방해가 되는 서비스 및 프로세스들을 확인하고 해당 목록들이 실행중인 상태라면 서비스 및 프로세스를 종료 시키고 있다

 

  

 


[그림] 9 실행중인 프로세스 확인 및 종료

 

 

 



[그림] 10 실행 중인 서비스 확인 및 종료

 

 

 

 

 해당 랜섬웨어는 특정 확장자를 가진 파일에 대해서도 암호화 대상에서 제외하고 있다.

 

 

  

 

 


 

[그림] 11 암호화 제외 특정 확장자 파일

 

 

 

 랜섬웨어의 대부분의 경우와 마찬가지로 Medusa Locker는 윈도우 명령어를 이용하여 시스템을 쉽게 복구하지 못하도록 하고있다 이 샘플 또 한 마찬가지로 vssadmin과 WMI를 이용하여 모든 볼륨 섀도우 복사본을 제거하고 bcdedit을 이용하여 복구 모드로 부팅 되는 것을 막고 있다.

 

 

 


 

[그림] 12 복구 옵션 및 백업 삭제

 

 

 

 또 이 악성코드는 SHEmptyRecycleBinW API를 이용하여 윈도우 휴지통을 비우고 있다.

 

 

  

 

 [그림] 13 휴지통 삭제

 

 

 

 

 악성코드는 HKEY_LOCAK_MACHINE SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System에 저장된 EnableLinkedConnections의 값을 1으로 설정하여 로컬 SMB공유 폴더에 대한 액세스를 값을 변경하고 있다.

 

 

 





 

[그림] 14 레지스트리 값 설정

 

 

 

 

 악성코드는 파일 암호화를 할 때 특정 확장자를 가진 파일 외에도 특정 경로는 파일 암호화를 하지 않고 있다.

 

 

 


 

[그림] 15 암호화 제외 경로

 

 

  

AppData, ProgramData, PROGRAMFILES(x86), Program Files, Application Data, intel, nvidia, \Users\All Users, \Windows, \Program Files\Microsoft\Exchange Server, 

\Program Files (x86) \Microsoft\Exchange Server, \Program Files\Microsoft SQL Server, \Program Files\Microsoft SQL Server.

  

 

악성코드는 파일 암호화를 위해 현재 사용중인 파일에 대해서도 Restart Manager API를통해 파일에 액세스 할 수 있도록 시도한다 더 많은 파일을 암호화 하기 위한 작업을 하고 있다

 

  

 

 [그림] 16 윈도우 재설정 관리자

 

 

 

  

악성코드는 네트워크의 원격 시스템에 대한 연결을 설정하고 SMB 공유 네트워크를 찾기 위해 ICMP Ping을 이용하여 응답하는 네트워크를 찾는다

 

  

 

 


 

[그림] 17 ICMP Ping

  

  

 

그 다음으로 시스템에서 열려있는 공유폴더에 대해 API NetShareEnum을 이용하여 로컬 네트워크의 공유 정보를 수집한다.

 

 

  

 

 [그림] 18 네트워크 공유정보 수집

 

  

  

마지막으로 악성코드는 파일 암호화를 수행하고 공유폴더 또한 암호화 대상에 적합하다면 암호화 행위를 수행한다.

 

 


 

 [그림] 19 파일 암호화

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  • 목록

이 페이지 공유하기