Summary(TeslaCrypt Ransomware Time table
pestudio를 통한 사전 분석
# compiler-stamp를 보면 1970년.. ? 말이안된다. 의도적으로 변형시킨것을 확인할 수 있다.
# 정적분석을 통해 확인해야 하겠지만, 위와같은 위험한 함수들을 사용하고 있다.
Symptoms of compromise
# 랜성웨어를 실행하면 위와 같이 돈을 요구함.
# 바탕화면(왼쪽), 파일암호화(오른쪽) 및 바탕화면에 파일 생성.
Analysis tool
1. sysmon
2. regshot, Autoruns
3. wireshark
4. procmon
1. sysmon
1). Process create
|
TeslaCrypt.exe(SHA1=51B4EF5DC9D26B7A26E214CEE90598631E2EAA67) UtcTime: 2018-02-11 05:46:27.068 ProcessId: 2852 Image: C:\Users\kimhy\Desktop\malware\Ransomware.TeslaCrypt\TeslaCrypt.exe CommandLine: "C:\Users\kimhy\Desktop\malware\Ransomware.TeslaCrypt\TeslaCrypt.exe" ParentProcessId: 1968 |
|
UtcTime: 2018-02-11 05:46:27.131 ProcessId: 3928 Image: C:\Users\kimhy\Desktop\malware\Ransomware.TeslaCrypt\TeslaCrypt.exe CommandLine: C:\Users\kimhy\Desktop\malware\Ransomware.TeslaCrypt\TeslaCrypt.exe ParentProcessId: 2852 ▶ TeslaCrypt.exe self copy. |
|
UtcTime: 2018-02-11 05:46:27.302 ProcessId: 3160 Image: C:\Users\kimhy\AppData\Roaming\hxmnoet.exe ▶ 복제한 TeslaCrypt.exe가 hxmnoet.exe를 copy. |
|
UtcTime: 2018-02-11 05:46:27.349 ProcessId: 2392 |
|
UtcTime: 2018-02-11 05:46:27.396 ▶ hxmnoet.exe self copy |
|
UtcTime: 2018-02-11 05:46:28.145 ProcessId: 2684 ▶ copied hxmnoet.exe --> "C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet |
# "C:\Windows\System32\vssadmin.exe" delete shadows /all /Quiet ?? 뭘까
delete /all /Quiet 즉, 볼륨 섀도우 복사본을 모두(all) 안보이게(Quiet) 지우라는 명령어다.
즉, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것이다.
|
UtcTime: 2018-02-11 05:46:54.540 ProcessId: 3780 |
2). Network Connection
- network connection에서 추출한 ip 정보로 wireshark 분석.
|
UtcTime: 2018-02-10 06:26:05.642 Protocol: tcp DestinationIp: 216.239.34.21 |
|
UtcTime: 2018-02-10 06:26:06.922 ProcessId: 2916 Image: C:\Users\kimhy\AppData\Roaming\hxmnoet.exe Protocol: tcp DestinationIp: 194.150.168.74 DestinationPort: 443(https) |
|
UtcTime: 2018-02-10 06:26:07.647 ProcessId: 2916 Protocol: tcp DestinationIp: 119.207.64.90 |
|
UtcTime: 2018-02-10 06:26:12.226 ProcessId: 2916 DestinationIp: 194.150.168.74 |
|
UtcTime: 2018-02-10 06:26:32.809 ProcessId: 3780 |
2. regshot, Autoruns.exe
1). Autoruns.exe
# Autoruns.exe의 결과. msconfig 레지스터가 추가된것을 확인.
2). regshot
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msconfig: "C:\Users\kimhy\AppData\Roaming\hxmnoet.exe"
# regshot의 결과. msconfig 레지스터가 추가된것을 확인.
3. wireshark, www.malware.com
[sysmon 추출 ip]
DestinationIp: 216.239.34.21
DestinationIp: 194.150.168.74
# let's encrypt...
DestinationIp: 119.207.64.90
# let's encrypt...
DestinationIp: 194.150.168.74(www.tor2web.org)
DestinationIp: 204.79.197.200
4. Procmon
#copy hxmnoet.exe
create files(RECOVERY_KEY.TXT, log.html, key.dat)
#log.html에는 암호화한 파일을 나열해주고 있다. procmon에서 확인한 결과 암호화 후에 일일이 log.html에 write하는 것을 확인 할 수 있었다.
# RECOVERY.KEY.TXT가 실제로 있는 것을 확인 했다.
Encrypt filese
# 암호화된 파일은 .ecc가 된다. 원본은 delete.
Create HELP_RESTORE_FILES.txt file all directory
'Malware Analysis > - Ransomware Analysis' 카테고리의 다른 글
| Satana Ransomware Analysis (0) | 2018.02.23 |
|---|---|
| Cerber Ransomware Analysis (0) | 2018.02.21 |
| Jigsaw Ransomware analysis (1) | 2018.02.05 |
