Wanacrypt 랜섬웨어는 어떻게 작동합니까?

Wanacrypt는 웜과 유사한 기능을 가지고 있어 네트워크를 통해 확산됩니다. 이를 위해이 취약점을 패치하지 않은 모든 컴퓨터로 확산하려는 의도로 Eternalblue 익스플로잇 (MS17-010)을 사용합니다.

목차 색인

Wanacrypt 랜섬웨어는 어떻게 작동합니까?

이 랜섬웨어 의 관심을 끄는 것은 영향을받는 시스템의 로컬 네트워크 내에서 검색 할 뿐만 아니라 인터넷에서 공개 IP 주소를 스캔하는 것입니다.

이러한 모든 작업은 ramsonware 자체가 실행 후 설치되는 서비스에 의해 수행됩니다. 서비스가 설치되고 실행되면 다른 시스템에 대한 복제 프로세스를 담당하는 2 개의 스레드가 작성됩니다.

분석에서 해당 분야의 전문가들은 NSA에서 사용하는 것과 정확히 동일한 코드를 어떻게 사용하는지 관찰했습니다. 유일한 차이점은 DoublePulsar 익스플로잇을 사용할 필요가 없다는 것입니다. 왜냐하면 그들의 의도는 단순히 LSASS (Local Security Authority Subsystem Service) 프로세스에 자신을 주입하기 때문입니다.

LSASS가 무엇인지 모르는 사용자 는 Windows 보안 프로토콜이 올바르게 작동하는 프로세스이므로이 프로세스를 항상 실행해야합니다. 알다시피, EternalBlue 페이로드 코드는 변경되지 않았습니다.

기존 분석과 비교하면 opcode가 opcode와 어떻게 동일한 지 확인할 수 있습니다…

opcode 란 무엇입니까?

opcode 또는 opcode는 수행 할 작업을 지정하는 기계어 명령어의 일부입니다.

우리는 계속…

그리고이 랜섬웨어는 마지막으로 LSASS 프로세스에서 전송 된.dll 라이브러리를 주입하고 공격 된 시스템에서 감염 프로세스를 다시 시작하는 "PlayGame"기능을 실행하기 위해 동일한 함수를 호출합니다.

커널 코드 악용을 사용하면 맬웨어에 의해 수행되는 모든 작업에 SYSTEM 또는 시스템 권한이 있습니다.

컴퓨터의 암호화를 시작하기 전에 랜섬웨어는 시스템에 두 개의 뮤텍스가 있는지 확인합니다. 뮤텍스는 상호 배제 알고리즘으로, 프로그램의 두 프로세스가 중요한 섹션 (공유 리소스를 수정할 수있는 코드)에 액세스하지 못하게합니다.

이 두 뮤텍스가 존재하면 암호화를 수행하지 않습니다.

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

랜섬웨어는 암호화 된 각 파일에 대해 고유 한 임의의 키를 생성합니다. 이 키는 128 비트이며 AES 암호화 알고리즘을 사용합니다.이 키는 랜섬웨어가 모든 암호화 된 파일에 추가하는 사용자 정의 헤더에서 공개 RSA 키로 암호화 된 상태로 유지됩니다.

파일 암호 해독은 파일에 사용 된 AES 키를 암호화하는 데 사용되는 공개 키에 해당하는 RSA 개인 키가있는 경우에만 가능합니다.

AES 임의 키는 알려진 취약점이나 취약점이 포함되어 있지 않은 현재 Windows 기능 "CryptGenRandom" 을 사용하여 생성되므로 현재 공격 중에 사용 된 RSA 개인 키를 몰라도 이러한 파일의 암호를 해독하는 도구를 개발할 수 없습니다.

Wanacrypt 랜섬웨어는 어떻게 작동합니까?

이 모든 프로세스를 수행하기 위해 랜섬웨어는 컴퓨터에서 여러 실행 스레드를 생성 하고 문서의 암호화를 수행하기 위해 다음 프로세스를 수행하기 시작합니다.

1. 원본 파일을 읽고 확장명.wnryt를 추가하여 복사하십시오. 임의의 AES 128 키 생성 AESA로 복사 한 파일 암호화 키로 암호화 된 AES 키로 헤더 추가

   이 암호화 된 복사본으로 원본 파일을 덮어 씁니다. 마지막으로 확장자가.wnry 인 원본 파일의 이름을 바꿉니다. 랜섬웨어가 암호화를 완료 한 각 디렉토리에 대해 동일한 두 파일을 생성합니다.

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Windows 10에서 Windows Defender를 사용해야 하는 주된 이유를 읽는 것이 좋습니다.