목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Similar documents
2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Windows 8에서 BioStar 1 설치하기

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

ActFax 4.31 Local Privilege Escalation Exploit

*2008년1월호진짜

³»Áö_1È£_0107L

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

SMB_ICMP_UDP(huichang).PDF

The Pocket Guide to TCP/IP Sockets: C Version

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

RHEV 2.2 인증서 만료 확인 및 갱신

TGDPX white paper

4 꼬부랑 이라는 말이 재미있습니다. 5같은 말이 반복이 되어서 지루합니다. 4 꼬부랑 은 굽은 모양을 재미있게 흉내 낸 말입니다. 꼬부랑 을 빼고 읽는 것보다 넣어서 읽 으면 할머니와 엿가락, 강아지의 느낌이 좀 더 실감 나서 재미가 있습니다. 국어2(예습) / 1.

Ç×°ø¾ÈÀüÁ¤º¸³×Æ®¿öÅ©±¸Ãà¹æ¾È¿¡°üÇÑ¿¬±¸.hwp

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

PowerPoint 프레젠테이션

08_spam.hwp

Windows Server 2012

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

bn2019_2

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

ThinkVantage Fingerprint Software

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

슬라이드 1

#WI DNS DDoS 공격악성코드분석

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

ìœ€íŁ´IP( _0219).xlsx

EQST Insight_201910

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

2. 워너크라이국내확산및피해현황 공격시기 : 2017년 5월 12일 ( 금 ) 전후 국내피해현황 : 구분피해대상피해내용감염경로 글로벌 제조업 제조공정서버및 PC 감염 공장일부 가동중지 글로벌 본사 대기업보안관제센터모니터링 PC 감염 PC 운영중단및포맷인터넷 의료기관대형

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

untitled

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

-. Data Field 의, 개수, data 등으로구성되며, 각 에따라구성이달라집니다. -. Data 모든 의 data는 2byte로구성됩니다. Data Type는 Integer, Float형에따라다르게처리됩니다. ( 부호가없는 data 0~65535 까지부호가있는

07_alman.hwp

Microsoft PowerPoint - 10Àå.ppt

OnTuneV3_Manager_Install

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

SRC PLUS 제어기 MANUAL

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

1. SNS Topic 생성여기를클릭하여펼치기... Create Topic 실행 Topic Name, Display name 입력후 Create topic * Topic name : 특수문자는 hyphens( - ), underscores( _ ) 만허용한다. Topi

개요 최근사용자들이인터넷을사용하던중에 CVE (Java), CVE (IE), CVE (Flash), CVE (IE) 취약점을이용한 sweet orange exploit kit 가전파되어이를연구하였으 며,

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Secure Programming Lecture1 : Introduction

Install stm32cubemx and st-link utility

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

System Recovery 사용자 매뉴얼

The Pocket Guide to TCP/IP Sockets: C Version

PowerPoint 프레젠테이션

PowerPoint Template

UI TASK & KEY EVENT

ISP and CodeVisionAVR C Compiler.hwp

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

?뗡뀶?믟뀱?솽꼶?듄꼮??

5th-KOR-SANGFOR NGAF(CC)

슬라이드 1

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

No

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

슬라이드 1

Tablespace On-Offline 테이블스페이스 온라인/오프라인


Microsoft Word - src.doc

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론


untitled

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

H3250_Wi-Fi_E.book

취약점분석보고서 [CyberLink Power2Go name attribute (p2g) Stack Buffer Overflow Exploit] RedAlert Team_ 강동우

pdf

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3


SKINFOSEC_TECH_005_China Bot_가칭_ 악성코드 분석_v0.3.doc

TTA Journal No.157_서체변경.indd

이상한 나라의 앨리스.pages

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

컴퓨터관리2번째시간

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

The Pocket Guide to TCP/IP Sockets: C Version

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

JDK이클립스

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

월간악성코드분석보고서 ( ) 국내맞춤형랜섬웨어 갠드크랩 2.1 수산 INT 기술연구소 (CERT) 본문서는국내를대상으로노리는유포되는랜섬웨어갠드크랩 2.1을분석한보고서입니다. 실제침해사고내용을중심으로작성된보고서입니다. 본문서는수산아이앤티

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

쉽게 풀어쓴 C 프로그래밍

*금안 도비라및목차1~9

Transcription:

MALWARE ANALYSIS REPORT WannaCry 랜섬웨어분석 #2 SMB 취약점분석

목차 1. 개요... 3 1.1 배경... 3 1.2 파일정보... 3 2. 상세분석... 4 2.1 SMB 취약점공격흐름... 4 2.2 특징적인행위... 11 3. 대응... 12-2 -

1. 개요 1.1 배경 2017년 5월 17일배포한 WannaCry 분석보고서에도언급되었듯이, WannaCry 랜섬웨어의경우 SMB 취약점을이용하여웜과같이다른 PC로확산되어추가감염을발생시키고있다. 또한, Check Payment 등의외부서버와통신이필요한경우에는 Tor 네트워크를이용하는특징이있으며, 랜섬웨어내부리소스에서 Tor 프로그램을생성하여사용한다. 이에소만사악성코드분석센터에서는 SMB 취약점에관하여자세히분석하여보고서를작성하게되었다. 본보고서에는 WannaCry 랜섬웨어에서사용하는 SMB 취약점공격의동작흐름과, 대상이되는 PC에서감염이어떤방식으로이루어지는지기술한다. [ 참고 ] 2017 년 5 월 17 일배포한월간악성코드리포트 1.2 파일정보 Name Type Size Sha256 Behavior Description mssecsvc.exe Windows 실행파일 3,723,264 바이트 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c WannaCry Ransomware SMB 취약점공격및 tasksche.exe 생성 Name Type Size Sha256 Behavior Description tasksche.exe Windows 실행파일 3,514,368 바이트 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa WannaCry Ransomware 파일암호화 - 3 -

2. 상세분석 WannaCry 랜섬웨어의가장큰특징인 SMB 원격코드실행취약점을이용한전파기능의전체적 인동작흐름에대해서기술한다. SMB(Server Message Block) 도스나윈도우에서파일이나디렉터리및주변장치들을공유하는데 사용되는메시지형식이다. WannaCry 랜섬웨어는 SMB 메시지를대상 PC 에전송하여취약점을 공격하고, 랜섬웨어를전파한다. 2.1 SMB 취약점공격흐름 [ 그림 1] SMB 취약점공격흐름 WannaCry 랜섬웨어의취약점공격흐름은대상 PC 의취약여부를확인후취약하다고판단되면 shellcode 를전송하여취약점공격및악성코드감염을시도한다. 1) 대상 PC의취약여부확인 SMB Message Value Description SMB_COM_NEGOTIATE 0x72 서버와클라이언트간 SMB 연결을시작한다. SMB_COM_SESSION_SETUP_ANDX 0x73 SMB 세션을구성하는데사용된다. SMB_COM_TREE_CONNECT_ANDX 0x75 서버공유에대한클라이언트연결을설정한다. SMB_COM_TRANSACTION 0x25 서버에서메일슬롯및 namedpipe를생성 [ 취약여부판단에사용되는 SMB 메시지 ] - 4 -

WannaCry 랜섬웨어는대상 PC의취약여부를판단하기위해 SMB_COM_NEGOTIATE 메시지를시작으로하는일반적인 SMB 연결과정을거치고, SMB_COM_TRANSACTION 메시지의 response 값을참조한다. 해당메시지는서버에서메일슬롯및 Namedpipe를생성하기위해사용하는메시지이다. [ 그림 2] SMB_COM_TRANSACTION Request Message (0x25) 대상 PC 에 send 함수를이용하여 [ 그림 2] 의 SMB 메시지를전송하고 response 메시지를받는다. [ 그림 3] Response 값의 NTSTATUS 값확인 (0xC0000205) Response 메시지의 NTSTATUS 값을확인하여 0xC0000205 와일치하면대상이되는 PC 는취약 (SMB 취약점에대한업데이트가되지않은경우 ) 하다고판단한다. (0xC0000205 : STATUS_INSUFF_SERVER_RESOURCES) - 5 -

2) 대상 PC 손상확인 SMB Message Value Description SMB_COM_NEGOTIATE 0x72 서버와클라이언트간 SMB 연결을시작한다. SMB_COM_SESSION_SETUP_ANDX 0x73 SMB 세션을구성하는데사용된다. SMB_COM_TREE_CONNECT_ANDX 0x75 서버공유에대한클라이언트연결을설정한다. SMB_COM_TRANSACTION2 0x32 서버에서특정작업실행 ( 디렉토리검색등 ) [ 손상여부확인에사용되는 SMB 메시지 ] 대상 PC 가취약하다고판단되면해당시스템이이미손상되었는지확인하기위하여 SMB_COM_TRANSACTION2 Request 메시지를전송한다. [ 그림 4] SMB_COM_TRANSACTION2 Request Message (0x32) [ 그림 5] Response 값의 Multiplex ID 값확인 해당메시지의 Response 값에서 Multiplex ID 값을확인하여대상 PC 의손상여부를확인한다. 이미손상된 PC 는 0x51 이반환되고, 손상되지않은 PC 에서는 0x41 이반환된다. - 6 -

3) 대상 PC의취약점공격 SMB Message Value Description SMB_COM_NEGOTIATE 0x72 서버와클라이언트간 SMB 연결을시작한다. SMB_COM_SESSION_SETUP_ANDX 0x73 SMB 세션을구성하는데사용된다. SMB_COM_TREE_CONNECT_ANDX 0x75 서버공유에대한클라이언트연결을설정한다. SMB_COM_NT_TRANSACT 0xA0 서버에작업을지정하는데사용한다. SMB_COM_TRANSACTION2_SECON DARY 0x33 SMB_COM_TRANSACTION2 요청에의해시작된데이터전송을완료하는데사용된다. SMB_COM_ECHO 0x2B 서버와클라이언트간전송계층연결테스트 [ 취약점발생유도에사용되는 SMB 메시지 ] 대상 PC 가손상되지않았다고판단되면취약점공격을발생시키는메시지를전송한다. 메시지 에는쉘코드가포함되어있으며, 해당쉘코드가실행되면대상 PC 에서취약점공격이실행된다. [ 그림 6] SMB_COM_TRANSACTION2_SECONDARY Request Message (0x33) 상기메시지전송이완료되면 2) 대상 PC 손상확인동작을다시실행하여대상시스템이손상된 것을확인하고랜섬웨어전파동작으로넘어간다. 4) 악성코드전파 SMB Message Value Description SMB_COM_NEGOTIATE 0x72 서버와클라이언트간 SMB 연결을시작한다 SMB_COM_SESSION_SETUP_ANDX 0x73 SMB 세션을구성하는데사용된다 SMB_COM_TREE_CONNECT_ANDX 0x75 서버공유에대한클라이언트연결을설정한다 SMB_COM_TRANSACTION2 0x32 서버에서특정작업실행 ( 디렉토리검색등 ) [ 악성코드전파에사용되는 SMB 메시지 ] - 7 -

[ 그림 7] SMB_COM_TRANSACTION2 Request Message (0x32) 최종적으로악성 DLL 파일이포함된 SMB 메시지를대상 PC 에전송한다. 대상 PC 에서 DLL 파일 이실행되면 WannaCry 랜섬웨어에감염되게된다. 5) 대상 PC 에서악성코드실행 악성코드는 DLL 형태의실행파일이며대상 PC 로전송시암호화되어전송된다. 복호화되면 launcher.dll 로생성되어악성동작을하게된다. [ 그림 8] 대상 PC 감염동작 취약점발생코드에의해패치된 SMB 드라이버 Srv.sys 에의해서유저모드에서실행중인 lsass.exe 에 launcher.dll 이인젝션되게된다. 인젝션후해당 launcher.dll 에존재하는 Export 함수인 PlayGame 이실행된다. - 8 -

[ 그림 9] lsass.exe 에인젝션된 launcher.dll [launcher.dll PlayGame 함수 ] [ 그림 10] 내부리소스의 mssecsvs.exe 생성 Launcher.dll 의 Export 함수인 PlayGame 을살펴보면내부리소스에서 PE 실행파일을로드하여 mssecsvc.exe 이름으로생성한다. - 9 -

[ 그림 11] Ransomware 메인실행 생성된 mssecsvc.exe 를 CreateProcessA 를호출하여실행시킨다. 해당프로세스가실행되면시스템 의감염은완료된다. [ 감염확인 ] [ 그림 12] 대상 PC 감염 대상 PC 에서감염동작을확인하면 lsass.exe 하위로 mssecsvc.exe 가실행되는것을확인할수 있다. 이후로파일암호화동작및추가감염동작이실행된다. [ 그림 13] 랜섬노트실행 파일암호화가완료되면위와같이바탕화면을변경하고, 랜섬노트를실행한다. - 10 -

2.2 특징적인행위 [Tor 를이용한외부통신 ] WannaCry 랜섬웨어는디코딩및추가동작을위하여외부서버와통신을해야할경우 Tor 네트 워크를이용한다. [ 그림 14] Tor 파일확인 아래의경로에서 Taskhsvc.exe 파일이존재하는지확인한다. 해당파일은 tor 파일을이름만변경 한것으로네트워크통신시이파일을사용한다. [ 그림 15] Tor 프로세스실행 해당파일이존재하지않으면다시생성하고, CreateProcessA 를호출하여해당파일을프로세스로 실행한다. - 11 -

[ 그림 16] 로컬 9050 포트 Listening Tor 프로세스는 9050 포트를열고접속대기한다. 해당포트는랜섬웨어가외부통신을할경우 로컬프록시역할을한다. [ 그림 17] Check Payment 실행시의 Tor 를이용한외부서버와의통신 랜섬노트에서 Check Payment 버튼을눌렀을때 Tor 프로세스가생성한프록시를통해외부서버 와통신한다. 3. 대응 1. 시스템을네트워크와분리후방화벽설정에서 SMB 관련포트를차단한다. 관련포트 : 137, 138, 139, 445 2. MS에서제공하는보안업데이트를진행한다. (MS17-010) 랜섬웨어의전파는 SMB 취약점을이용하는것으로취약점발생의원인이되는취약한시스템에대한보안업데이트를진행하는것이근본적인해결방안이다. [Update Link] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 궁금하신점이나문의사항은 malware@somansa.com 으로해주세요. 본자료의전체혹은일부를소만사의허락을받지않고, 무단개제, 복사, 배포는엄격히금합니다. 만일이를어길시에는민형사상의손해배상에처해질수있습니다. 본자료는악성코드분석을위한참조자료로활용되어야하며, 악성코드제작등의용도로악용되어서는안됩니다. 소만사는이러한오남용에대한책임을지지않습니다. Copyright(c)2017 소만사 All rights reserved. - 12 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원