참고 사이트 :
- [ITPro] What's Automated Deployment Services (ADS)?
Buster Sandbox Analyzer를 이용한 분석 (1)
[ Analysis.txt ]
분석 환경 : Windows 7
Report generated with Buster Sandbox Analyzer 1.88 at 00:52:32 on 21/05/2016
Detailed report of suspicious malware actions:
Aanalysis는 전반적인 분석에 대한 내용이 들어 있다. 알파벳 순서대로 나타나 있기 때문에 실제 발생 순서와는 다르다.
또한 현재 분석된 Analysis의 경우, 후에 풀이한 분석 결과들과는 달리 새롭게 돌린 내용이기 때문에 아래와 같은 점이 다르다.
|
(1)에서의 명칭 |
이 후의 분석에서의 명칭 |
자가 복제된 랜섬웨어 |
sexsxnh.exe |
kxntfwr.exe |
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasapi32\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasapi32\filedirectory = %windir%\tracing
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasapi32\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasapi32\maxfilesize = 00100000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasmancs\consoletracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasmancs\filedirectory = %windir%\tracing
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasmancs\filetracingmask = ffff0000
Automated Deployment Services (ADS) change: machine\software\microsoft\tracing\wupextt_rasmancs\maxfilesize = 00100000
Automated Deployment Services; ADS ADS is a feature pack for Windows Server 2003, Enterprise Edition, and Windows 2003, Datacenter Edition, that lets you deploy Windows server OSs onto "bare-metal" servers over large installations. ADS consists of three services and also relies on DHCP to let PXE clients obtain IP address. The first, the Controller service, is the core service of ADS. The second service, the NBS, works with DHCP to help the PXE client locate the NBS server. |
Changed file attributes: C:\BSA\CONFIG\APIExclude.TXT
Changed file attributes: C:\BSA\CONFIG\RegistryExclude.TXT
Changed file attributes: C:\BSA\CONFIG\WindowMessages.TXT
(생략)
파일의 속성들이 변경된 것을 확인할 수 있다. .TXT였던 확장자 뒤에 .ezz가 붙었다. 실제 이 파일들을 열어보고자 하면 파일을 열 수 없다는 경고 문구가 뜬다. 파일 확장자 .ezz를 지운 다음 실행시키면 파일 내용이 깨져서 나온다.
이와 같이 컴퓨터 내의 모든 파일들의 확장자를 변경 및 내용의 암호화를 시킨다.
Checked for debuggers
Connected to WWW
Defined file type created: C:\Users\kitri\AppData\Roaming\log.html
Defined file type created: C:\Users\kitri\AppData\Roaming\sexsxnh.exe
C:\Users\kitri\AppData\Roaming 폴더의 내부를 확인하면 아래와 같다. sexsxnh.exe 실행 파일과 log.html 파일이 생성된 것을 확인할 수 있다.
log.html 파일을 살펴보면 아래와 같다. 암호화된 파일의 목록을 나열해 놓았다.
프로세스 sexsxnh.exe는 랜섬웨어가 자가복제한 파일이다. 이 때 랜섬웨어의 이름은 새로 실행할 때마다 랜덤으로 나타난다. 변경된 파일에 대한 자세한 내용은 랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff에서 확인할 수 있다.
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9QTJIV4J\jquery[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9QTJIV4J\xbanner[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\analytics[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\bootstrap-3.2.0.min[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\broker[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\broker-config[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\ClientBiSettings.Wol[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\dltrack[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\json2.min[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\lightbox.min[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\topojson.v1.min[1].js
Defined file type modified: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\021OVEPD\trk[1].js
Defined file type modified: C:\Users\kitri\Desktop\99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29.bin\99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29.exe
(생략)
Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\AVrSvc = C:\Users\kitri\AppData\Roaming\sexsxnh.exe
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\AVrSvc = C:\Users\kitri\AppData\Roaming\sexsxnh.exe
레지스트리의 자동 실행 (AutoStart) 위치에 자가 복제한 랜섬웨어 sexsxnh.exe를 등록시킨다.
Error reporting dialog change: machine\software\microsoft\windows\windows error reporting\dontshowui = 00000001
Hid file from user: C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
Internet connection: C:\Program Files\Sandboxie\SandboxieCrypto.exe Connects to "178.255.83.2" on port 80 (TCP - HTTP)
Internet connection: C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\sexsxnh.exe Connects to "104.16.27.216" on port 80 (TCP - HTTP)
Internet connection: C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\sexsxnh.exe Connects to "38.229.70.4" on port 443 (TCP - HTTPS)
Internet connection: C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\sexsxnh.exe Connects to "54.183.37.222" on port 80 (TCP - HTTP)
SandboxieCrypto.exe 프로세스 (샌드박스 위에서 실행시켰기 때문에 이러한 이름이다) 가 178.255.83.2 IP 주소의 80포트로 연결을 시도하는 것을 확인할 수 있다. sexsxnh.exe로 변경된 랜섬웨어 역시 104.16.27.216, 54.183.37.222의 80번 포트로 연결을 시도하고, 38.229.70.4의 443 포트로 연결을 시도한다.
Queried DNS: crl.usertrust.com
Queried DNS: crl2.alphassl.com
Queried DNS: dpckd2ftmf7lelsa.9isernvur33.com
Queried DNS: dpckd2ftmf7lelsa.afnwdsy4j32.com
Queried DNS: dpckd2ftmf7lelsa.tor2web.blutmagie.de
Queried DNS: dpckd2ftmf7lelsa.tor2web.org
Queried DNS: ipinfo.io
Queried DNS: ocsp.globalsign.com
다음과 같은 사이트들의 IP 주소를 물어본다. 이는 사이트에 접속해 사용자의 정보를 넘기기 위함이다. 연결한 DNS에 대한 자세한 정보들은 랜섬웨어 샘플 분석 (2) Buster Sandbox Analyzer : Connections에서 볼 수 있다.
System Policies change: machine\software\microsoft\windows\currentversion\policies\system\enablelinkedconnections = 00000001
Traces of Max++
Transfered files from and/or to internet
'Study > 랜섬웨어' 카테고리의 다른 글
| 랜섬웨어 샘플 분석 (4) Buster Sandbox Analyzer : Log_API (0) | 2016.07.05 |
|---|---|
| 랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff (0) | 2016.07.05 |
| 랜섬웨어 샘플 분석 (2) Buster Sandbox Analyzer : Connections (0) | 2016.07.05 |
| 랜섬웨어의 종류 (0) | 2016.06.27 |
| 랜섬웨어의 정의 (0) | 2016.06.27 |
댓글