랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff

참고 사이트 : 

- [Sandboxie] Buster Sandbox Analyzer

Buster Sandbox Analyzer를 이용한 분석 (3)

[ FileDiff.txt ]

분석 환경 : Windows 7

기존의 파일들과 달라진 파일들을 확인할 수 있다. 각 줄의 앞에 붙어있는 기호의 의미는 아래와 같다.

기호	의미
+	A new file : A file that is not present in real disk so it's created.
-	A deleted file : A file that being present in real disk and that was deleted.
~	A modified file : A file that was changed.
=	A copied file : Sandboxie copied a file inside the sandbox. This doesn't represnet any change.

폴더 별로 HELP_TO_SAVE_FILES.txt 파일을 생성하는 것을 확인할 수 있다.

+ C:\$Recycle.Bin\HELP_TO_SAVE_FILES.txt

+ C:\$Recycle.Bin\S-1-5-21-3060518772-1906203649-1853055299-1000\$RB9FKXP.bin\HELP_TO_SAVE_FILES.txt

+ C:\$Recycle.Bin\S-1-5-21-3060518772-1906203649-1853055299-1000\HELP_TO_SAVE_FILES.txt

+ C:\Boot\cs-CZ\HELP_TO_SAVE_FILES.txt

+ C:\Boot\da-DK\HELP_TO_SAVE_FILES.txt

+ C:\Boot\de-DE\HELP_TO_SAVE_FILES.txt

+ C:\Boot\el-GR\HELP_TO_SAVE_FILES.txt

+ C:\Boot\en-US\HELP_TO_SAVE_FILES.txt

+ C:\Boot\es-ES\HELP_TO_SAVE_FILES.txt

+ C:\Boot\fi-FI\HELP_TO_SAVE_FILES.txt

+ C:\Boot\Fonts\HELP_TO_SAVE_FILES.txt

+ C:\Boot\fr-FR\HELP_TO_SAVE_FILES.txt

(생략)

HELP_TO_SAVE_FILES.txt에는 파일을 복호화시키기 위한 방법이 들어있다.

기존에 있는 파일의 확장자를 .ezz로 변경하고 덮어쓰기 한 것을 확인할 수 있다.

~ C:\BSA\CONFIG\APIExclude.TXT

+ C:\BSA\CONFIG\APIExclude.TXT.ezz

+ C:\BSA\CONFIG\HELP_TO_SAVE_FILES.txt

~ C:\BSA\CONFIG\RegistryExclude.TXT

+ C:\BSA\CONFIG\RegistryExclude.TXT.ezz

~ C:\BSA\CONFIG\WindowMessages.TXT

+ C:\BSA\CONFIG\WindowMessages.TXT.ezz

+ C:\BSA\DATA\HELP_TO_SAVE_FILES.txt

(생략)

이와 같이 반복적으로 폴더 내부에 존재하는 파일들의 확장자를 .ezz로 변경하고 HELP_TO_SAVE_FILES.txt를 생성한다.

~ C:\Windows\system32\CatRoot2\edb.chk

? C:\Windows\system32\CatRoot2\edb.log

? C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb

? C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb

가상 환경 (VMware)에서 실행시켰기 때문에 아래와 같은 변경사항이 나타난다.

~ C:\ProgramData\VMware\VMware Tools\GuestProxyData\server\cert.pem

~ C:\ProgramData\VMware\VMware Tools\Unity Filters\adobeflashcs3.txt

~ C:\ProgramData\VMware\VMware Tools\Unity Filters\googledesktop.txt

~ C:\ProgramData\VMware\VMware VGAuth\logfile.txt.0

= C:\Users\kitri\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

~ C:\Users\kitri\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ C:\Users\kitri\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\ACF244F1A10D4DBED0D88EBA0C43A9B5_A0F2FA3B1B8E5E34F01206F272E4231C

+ C:\Users\kitri\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\D88A43F72E2F70CB75791302DD65CDE7

+ C:\Users\kitri\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\ACF244F1A10D4DBED0D88EBA0C43A9B5_A0F2FA3B1B8E5E34F01206F272E4231C

+ C:\Users\kitri\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\D88A43F72E2F70CB75791302DD65CDE7

파일 복호화에 사용되는 키를 담고 있는 key.dat 파일을 생성한다.

+ C:\Users\kitri\AppData\Roaming\key.dat

자가 복제된 랜섬웨어인 kxntfwr.exe 실행 파일을 생성한다.

+ C:\Users\kitri\AppData\Roaming\kxntfwr.exe

감염된 파일들의 목록인 log.html 파일을 생성한다.

+ C:\Users\kitri\AppData\Roaming\log.html

= C:\Users\kitri\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

= C:\Users\kitri\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

최초 랜섬웨어인 99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29.exe가 변경되는 것을 확인할 수 있다. 현재 Windows 7에서는 랜섬웨어의 원본 파일이 남아있지만 Windows XP에서는 원본 파일이 삭제된다.

~ C:\Users\kitri\Desktop\99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29\99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29.exe

해당 경로 내에 RECOVERY_FILE.TXT가 생긴다.

+ C:\Users\kitri\Documents\RECOVERY_FILE.TXT