테슬라크립트 3.0 랜섬웨어 소개

테슬라크립트(TeslaCrypt)는 근래 사이버세계를 뒤흔들고 있는 또다른 랜섬웨어다. 테슬라크립트는 주로 스피어피싱 이메일과 Angler 취약점악용을 통해 배포된다. Angler는 어도비 플래시 취약점을 악용하며 해킹에 성공할 때 테슬라크립트 변종을 다운로드한다. 테슬라크립트 3.0은 암호화화된 파일을 일반적인 방법으로는 복구 불가능하게 만드는 여러 면에서 성능이 향상됐다.

 <참고: 랜섬웨어 차단 AVG 유료안티바이러스>

 

감염 징후

 

테슬라크립트 감염기기는 대체로 거의 모든 디렉토리에 다음과 같은 파일을 포함하게 된다.

∘ +REcovER+[Random]+.html

∘ +REcovER+[Random]+.txt

∘ +REcovER+[Random]+.png

이들 파일에서 암호화된 파일에 대한 복구방법을 볼 수 있다.

테슬라크립트 랜섬웨어 메시지

 

상세분석

주: 본 분석에 사용된 파일의 MD5 해시값은 1028929105f1e6118e06f8b7df0b3381이다.

테슬라크립트는 우선 자신이 본래 목적한 디렉토리에 침투했는지 확인하며 본 샘플의 경우 자신이 Documents 디렉토리에 들어갔는지 확인한다. 디렉토리가 맞지 않는다면 원래 예정된 디렉토리로 자신을 복제한 다음 그 위치에서 사본을 실행시키게 된다. 사본을 실행시키고 나면 스스로를 삭제시킨다.

 

테슬라크립트는 여러 쓰레드를 생성하여 다음과 같은 작업을 실행한다.

 

∘ 프로세스를 모니터링하면서 아래 스트링을 포함한 프로세스 종료

∘ taskmg

∘ regedi

∘ procex

∘ msconfi

∘ cmd

∘ 명령제어(C&C) 서버와 연락하여 시스템정보 및 고유 시스템ID 등 정보 전송

∘ 파일암호화

 

위장

테슬라크립트는 구형 맬웨어의 코드를 재활용한다. 최초 코드는 압축된 바이너리의 암호화다. 테슬라크립트는 복호화 시점에서 RtlDecompressBuffer API를 요청하고 압축을 푼 데이터를 자체 메모리에 기록한다.

 

RtlDecompressBuffer API 요청

 

테슬라크립트는 또한 API 명칭의 해시값을 활용하고 이를 API 주소를 수신하는 함수에 전달함으로써 API 요청을 은폐하는 수법을 사용한다.

 

테슬라크립트는 API 해시값을 API 절차주소를 산출하는 함수에 전달한다.

 

<>동일한 코드가 역어셈블러(disassembler)로 표시된 모습

 

파일암호화

테슬라크립트는 AES 암호화를 사용하며 암호화키 일부를 C&C 서버로 전송하기 때문에 자체적으로 파일 복구가 불가능한 상태가 된다. 테슬라크립트는 시스템이 이미 자체적인 복구키를 보유하고 있는지 확인한다. 복구키가 없음이 확인되면 필요한 암호화키를 생성하기 시작하며 이들 키는 암호화과정에 사용된다.

 

테슬라크립트는 복구키의 존재여부를 확인하여 없을 경우 복구키를 생성한다.

 

테슬라크립트는 모든 고정/원격/분리 드라이브에 접근하여 다음과 같은 확장자를 가진 파일을 찾는다.

.3FR .7Z .ACCDB .AI .APK .ARCH00 .ARW .ASSET .AVI .BAK .BAR .BAY .BC6 .BC7 .BIG .BIK .BKF .BKP .BLOB .BSA .CAS .CDR .CER .CFR .CR2 .CRT .CRW .CSS .CSV .D3DBSP .DAS .DAZIP .DB0 .DBA .DBF .DCR .DER .DESC .DMP .DNG .DOC .DOCM .DOCX .DWG .DXG .EPK .EPS .ERF .ESM .FF .FLV .FORGE .FOS .FPK .FSH .GDB .GHO .HKDB .HKX .HPLG .HVPL .IBANK .ICXS .INDD .ITDB .ITL .ITM .IWD .IWI .JPE .JPEG .JPG .JS .KDB .KDC .KF .LAYOUT .LBF .LITEMOD .LITESQL .LRF .LTX .LVL .M2 .M3U .M4A .MAP .MCMETA .MDB .MDBACKUP .MDDATA .MDF .MEF .MENU .MLX .MOV .MP4 .MPQGE .MRWREF .NCF .NRW .NTL .ODB .ODC .ODM .ODP .ODS .ODT .ORF .P12 .P7B .P7C .PAK .PDD .PDF .PEF .PEM .PFX .PKPASS .PNG .PPT .PPTM .PPTX .PSD .PSK .PST .PTX .PY .QDF .QIC .R3D .RAF .RAR .RAW .RB .RE4 .RGSS3A .RIM .ROFL .RTF .RW2 .RWL .SAV .SB .SID .SIDD .SIDN .SIE .SIS .SLM .SNX .SQL .SR2 .SRF .SRW .SUM .SVG .SYNCDB .T12 .T13 .TAX .TIFF .TOR .TXT .UPK .VCF .VDF .VFS0 .VPK .VPP_PC .VTF .W3X .WALLET .WB2 .WMA .WMO .WMV .WPD .WPS .X3F .XF .XLK .XLS .XLSB .XLSM .XLSX .XXX .ZIP .ZTMP

 

파일이 recove라는 스트링을 포함하거나 다음과 같은 디렉토리에서 발견된 경우는 예외다.

 

∘ %WINDIR% (C:\Windows)

∘ %PROGRAMFILES% (C:\Program Files)

∘ %COMMONAPPDATA% (C:\Documents and Settings\All Users\Application Data for Windows XP and C:\ProgramData for Windows Vista and above)

∘ %LOCALAPPDATA%\Temporary Internet Files (C:\Documents and Settings\[USERNAME]\Local Settings for Windows XP and C:\Users\[USERNAME]\AppData\Local for Windows 7 and above)

 

고정/원격/분리 드라이브 확인

 

파일에 대한 확장자 확인이 끝나면 암호화가 개시된다. 본 분석의 테슬라크립트 변종은 우선 암호화 헤더를 통해 암호화 여부를 확인하고 나서 암호화를 진행한다. 암호화된 파일의 헤더에는 전체복구키, 전체공개키, 원본파일용량, 암호화된 데이터 자체 등의 데이터를 포함된다.

 

암호화 파일 샘플

 

C&C 서버

테슬라크립트는 아래 도메인에 대한 접속을 시도한다.

∘ hxxp://naturstein-schubert.de

∘ hxxp://csskol.org/wp-content

∘ hxxp://casasembargada.com

∘ hxxp://mahmutersan.com.tr

∘ hxxp://forms.net.in

∘ hxxp://kknk-shop.dev.onnetdigital.com

 

서버 접속에 성공하고 나면 인코딩된 데이터를 가지고 POST 요청을 전송한다. 전송되는 데이터에는 다음 사항이 포함된다.

∘ The shared key for the encryption

∘ Bitcoin address

∘ OS version

∘ TeslaCrypt version

∘ Unique ID for the infected system

 

암호화된 데이터를 동반한 HttpSendRequest

 

기타

테슬라크립트는 하나의 인스턴스만 실행되도록 하기 위해 8_8_8_8 뮤텍스를 생성한다.

CreateMutex 함수

 

또한 매 부팅시마다 실행이 되도록 자동시작 레지스트리 입력을 생성한다.

Autostart 레지스트리

 

그리고 네트워크드라이브에 대한 승인제한을 제거하는 내용의 정책을 레지스트리에 추가하며 이를 통해 모든 사용자가 이들 네트워크 드라이브에 접근할 수 있게 된다.

 

EnableLinkedConnections 레지스트리값

 

흥미롭게도 최근 테슬라크립트의 배후세력이 생각을 바꿔 전체 복호화키를 공개한 것으로 보인다. 아래에 나타난 결제사이트는 비트코인으로 최소 500달러를 요구했으며 현재는 폐쇄된 상태다.

 테슬라크립트 결제페이지

 

본 분석에 쓰인 솔루션과 같은 지능형 위협방지수단을 통해 랜섬웨어 감염을 방지할 수 있다. 지능형 솔루션은 신종위협이 위해를 가하기 전에 이를 잡아낼 수 있다. 이메일과 네트워크라는 양대 축을 통해 방어대책을 마련할 수 있다. 

<ThreatTrack 보안솔루션 제품소개>

ThreatSecure Email과 같은 지능형 이메일보안솔루션은 전통적인 보안대책을 회피하는 맬웨어를 잡아내도록 설계돼 있다. 지능형 이메일보안은 피싱링크와 랜섬웨어를 배포하는 취약점악용을 탐지함으로써 사이버공격을 막을 수 있는 대책이다. 이러한 솔루션을 통해 테슬라크립트와 같은 랜섬웨어의 데이터 암호화 및 탈취를 방지할 수 있다. 다음으로 네트워크 보안을 강화해야 한다. 알려진 위협과 네트워크 이상활동을 식별 및 연관시키는 지능형 보안솔루션은 데이터보안에 아주 유용한 수단이다. 예를 들어 ThreatTrack의 ThreatSecure Network는 엔드 간 네트워크 가시성과 실시간 탐지를 통해 랜섬웨어 배포 및 C&C와 관련이 있다고 알려진 악성 IP를 거치는 트래픽을 잡아낼 수 있다.

ThreatTrack Security Labs, A Close Look at TeslaCrypt 3.0 Ransomware, 6. 8. 2016.

https://blog.threattrack.com/close-look-teslacrypt-3-0-ransomware/

 

번역: madfox

참고링크 

<유료안티바이러스 제품소개>