랜섬웨어 샘플 분석 (2) Buster Sandbox Analyzer : Connections

참고 사이트 :

- [hbesthree님의 블로그] WPAD 자동 프록시 설정 정보 가져오기

- [WIKIPEDIA] Web Procy Autodiscovery Protocol

Buster Sandbox Analyzer를 이용한 분석 (2)

[ Connections.txt ]

분석 환경 : Windows 7

동작하는 API 함수를 확인한다. 현재 분석 환경이 Windows 7이기 때문에 윈도우 함수를 사용한다.

DNS Query(ipinfo.io)

ipinfo.io 사이트의 IP 주소를 물어보는 Query를 날린다. cmd의 nslookup을 이용한 결과 ipinfo.io에 해당하는 IP 주소는 54.183.37.222가 나온다. 

OUT,TCP - HTTP,192.168.110.138,52.9.2.194:80,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

IN,TCP - HTTP,52.9.2.194:80,192.168.110.138,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

source IP : 192.168.110.138

destination IP : 52.9.2.194

sexsxnh.exe 프로세스가 현재 로컬 (192.168.110.138)에서 52.9.2.194의 80 포트로 TCP 프로토콜을 날린다.

ipinfo.io User the ipinfo.io IP lookup API to quickly and simply integrate IP geolocation into your script or website. Save yourself the hassle of setting up local GeoIP libraries and having to remember to regularly update the data.

DNS Query(wpad.localdomain)

WPAD WPAD는 Web Proxy Autodiscovery Discovery의 약자로 말 그대로 자동으로 프록시 서버를 설정하는 방법이다. WPAD는 ISA Server와 같은 방화벽을 사용하는 환경에서 클라이언트의 브라우저의 프록시 설정을 자동 또는 일부 자동화하는 편리한 기능이다. The WPAD is a method used by clients to locate the URL of a configuration file using DHCP and/or DNS discovery methods. Once detection and download of the onfiguration file is complete, it can be executed to determine the procy for a specified URL. WPAD의 동작 원리는 다음과 같다. FQDN (Full Qualified Domain Name)에서 맨 앞 부분에 "wpad"를 붙여 WPAD 서버의 호스트 이름을 식별한다. 예를 들면, microsoft.com의 wpad 서버는 wpad.microsoft.com이 된다. 하지만, FQDN에서 하위 도메인이 여러개 있는 경우에는 SLD (Second-Level Domain)에서 TLD (Top-Level Domain) 순서로 하나씩 제거하면서 wpad를 붙여 찾게 된다. 이러한 과정을 Devotion이라고 한다. 이러한 취약점으로 인해 공격자는 WPAD 서버를 운영함으로써 프록시를 제어하여 Man-in-the-Middle 공격을 수행할 수 있다.

아래의 사이트들의 IP 주소를 물어보는 DNS Query (IP 주소에 대한 정보를 담는 API)를 날린다. 이 때, source IP는 로컬 (192.168.110.138)로 고정되어 있다.

DNS Query(dpckd2ftmf7lelsa.afnwdsy4j32.com)

DNS Query(dpckd2ftmf7lelsa.9isernvur33.com)

DNS Query(dpckd2ftmf7lelsa.tor2web.blutmagie.de)

DNS Query(dpckd2ftmf7lelsa.tor2web.org)

OUT,TCP - HTTPS,192.168.110.138,38.229.70.4:443,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

IN,TCP - HTTPS,38.229.70.4:443,192.168.110.138,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

destination IP : 38.229.70.4:443 (dpckd2ftmf7lelsa.tor2web.org)

현재 마지막으로 DNS Query를 날린 사이트와 아래의 사이트들은 앞서 검색했던 것처럼 nslookup을 통해 알 수 있다.

DNS Query(ocsp.globalsign.com)

OUT,TCP - HTTP,192.168.110.138,104.16.27.216:80,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

IN,TCP - HTTP,104.16.27.216:80,192.168.110.138,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

destination IP : 104.16.27.218:80 (ocsp.globalsign.com)

DNS Query(crl2.alphassl.com)

OUT,TCP - HTTP,192.168.110.138,104.16.24.216:80,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

IN,TCP - HTTP,104.16.24.216:80,192.168.110.138,C:\Sandbox\kitri\DefaultBox\user\current\AppData\Roaming\kxntfwr.exe

destination IP : 104.16.24.216:80 (crl2.alphassl.com)

destination IP에 해당하는 IP 들은 랜섬웨어 유포지로 C&C서버의 IP 주소에 해당한다.

로컬 IP 주소는 랜섬웨어에 감염된 컴퓨터의 IP주소이다.