NOTICE


=== 목  차 ===



1. 소 개


2. 파일 분석

   2.1. INV1439983.PDF.EXE

       2.1.1. Execution of code using the CreateDialogIndirectParam API

       2.1.2. 시작 프로그램 등록 및 복제 파일 생성

       2.1.3. Process Hollowing Code


   2.2. ITUCNPB.EXE

       2.2.1. 중복 실행 확인

       2.2.2. 프로세스 Integrity Level 확인

       2.2.3. 특정 프로세스 동작 확인

       2.2.4. InitializeAcl > AddAccessAllowedAce

       2.2.5. sqdkiml 파일 생성

       2.2.6. CodeInjection_svchost

       2.2.7. Volume Shadow 삭제

       2.2.8. 랜섬웨어 감염 알림창 생성


   2.3. SVCHOST.EXE_INJECTION CODE

       2.3.1. PublicKey_01 값 가져오기

       2.3.2. Thread 생성

       2.3.4. ThreadCode_01(타깃 파일 경로 검색)

       2.3.5. ThreadCode_02(타깃 파일 암호화)

       2.3.6. qilznfe.html 파일 생성

       2.3.7. 바탕화면 파일 생성 및 등록


3. CTB-LOCKER 파일 암호화 방식

   3.1. ABOUT FUNCTION

   3.2. SQDKIML 파일 데이터 확인

   3.3. TARGET FILE 암호화 방식


4. 마무리

   4.1. 동작 확인




1. 소 개


  2016년 02월 29일 CTB-Locker 랜섬웨어 악성코드가 발견되었습니다. CTB-Locker는 CryptoLocker와  함께 2015년 초에 많이 유포되었던 랜섬웨어 샘플입니다. 그 후 자취를 감췄으나 2016년 2월 중순부터 다시 유포되어 그 기능을 확인해보았습니다. 파일 암호화에 초점을 맞춰 분석을 진행했기 때문에 포함하지 않은 부분이 많습니다. 참고하시기 바랍니다. 




2. 파일 분석


2.1. INV1439983.PDF.EXE


2.1.1. Execution of code using the CreateDialogIndirectParam API


  ‘inv1439983.pdf.exe’는 CreateDialogIndirectParam( ) API를 사용해서 CALLBACK 형식의 DialogProc( )를 생성합니다. 실제 악성행위가 이루어지는 코드는 모두 DialogProc( )에 있습니다. 


[그림 2.1.] CreateDialogIndirectParam( ) API 호출


  DialogProc( )를 생성하는 과정을 코드로 살펴보면 다음과 같습니다.




2.1.2. 시작 프로그램 등록 및 복제 파일 생성


  Startup 폴더에 생성된 파일은 시스템이 시작할 때 자동으로 실행됩니다. DialogProc( ) 코드로 들어오면 제일 해당 경로에 복제 파일을 생성해서 시작 프로그램으로 등록합니다.


[그림 2.2.] 시작 프로그램 등록 확인


  Startup 폴더에 시작프로그램 등록이 끝나면 Temp 폴더에 ‘itucnpb.exe’라는 이름으로 복제파일을 만듭니다.


[그림 2.3.] 복제 파일 생성 확인


2.1.3. Process Hollowing Code


  ‘itucnpb.exe’는 ‘inv1439983.pdf.exe’의 하위 프로세스로 동작합니다. 이때 ‘inv1439983.pdf.exe’는Process Hollowing 기법을 사용해서 전혀 다른 코드를 삽입시킵니다. 그렇기 때문에 ‘itucnpb.exe’가 수행하는 기능은 동일하지 않습니다.


[그림 2.4.] ‘itucnpb.exe’ 에 Code Injection


  프로세스를 Suspend 모드로 생성하고 파일 헤더를 포함한 모든 데이터를 바꾸기 때문에 아래와 같이 Code Injection 과정에서 ‘itucnpb.exe’가 서스펜드 모드로 유지되는 것을 확인할 수 있습니다.


[그림 2.5.] ‘itucnpb.exe’에 악의적인 코드 삽입


  해당 코드에 대한 자세한 내용은 아래 주소를 참고하시기 바랍니다. 


- [Source Code] Process Hollowing Code: http://securityfactory.tistory.com/270


※ 본 포스트는 분석 문서 내용의 일부만 담고 있습니다.