NOTICE


2017 2, 저가형 랜섬웨어로 알려진 Erebus 랜섬웨어 행위 정보입니다.

 

 


1. 가상환경 탐지


에레보스(Erebus)’ 랜섬웨어는 가상환경 탐지코드를 가지고 있습니다. 3가지 방식을 사용해서 특정 환경에서 동작하고 있는지 확인하고 이에 해당될 경우 더 이상 동작하지 않고 종료됩니다.





2. UAC(사용자 계정 컨트롤) 기능 우회


 Token을 이용해서 자신의 Integrity Level 확인합니다. 낮은 권한을 가지고 있다고 판단될 경우, ‘이벤트 뷰어를 이용한 UAC 우회 기법을 사용해서 상승된 권한으로 다시 동작하게 만듭니다.

 


 

 

3. Shadow Volume 삭제


 랜섬웨어의 주 목적인 파일 암호화가 끝나더라도 시스템 복구 기능을 사용하면 복구가 가능합니다. 이 때문에 타깃 파일을 암호화하기 전에 Shadow Volume을 삭제합니다.

 



 

4. Target File 암호화


 모든 조건이 만족되면 “%UserProfile%” 경로에 존재하는 타깃 파일을 모두 암호화합니다. 타깃 파일의 기준이 되는 확장자 정보는 다음과 같습니다.

 


 테스트 환경에서 랜섬웨어를 실행시켰을 때 다음과 같이 파일 암호화가 이루어지는 것을 확인할 수 있습니다.

 



 


5. Tor 네트워크 통신


 에레보스 랜섬웨어는 파일 내부에 토르(Tor) 다운로드 코드를 포함하고 있습니다. 토르(Tor)를 내려받아 실행시킨 다음 소켓 프록시 설정을 하고 명령제어에 사용합니다.

 



 

6. 감염사실 통보


 파일 암호화가 완료되면 메시지 박스를 띄우는 것과 함께 “README.html”을 실행시켜서 랜섬웨어 감염 사실을 알립니다.



 

  이상으로 '[2017.04.06] Erebus 랜섬웨어 분석 정보_ver 2017.02.20'에 대한 포스팅을 마치겠습니다.


  1. no picture 2017.05.16 19:58

    비밀댓글입니다

    • no picture BlogIcon itseeyou 2017.05.18 15:00 신고

      Integrity Level이 High Level로 부여되기 때문에 Admin 권한으로 접근이 가능한 폴더 및 파일은 접근이 가능하고 암호화가 이루어질 것으로 보입니다.

    • no picture 2017.05.18 18:13

      비밀댓글입니다

    • no picture BlogIcon itseeyou 2017.05.19 14:38 신고

      궁금님께서 말씀하신대로 하면 랜섬웨어에 안전하지만 Admin(본인)도 해당 폴더에 접근을 하지 못합니다.

    • no picture BlogIcon itseeyou 2017.05.19 15:02 신고

      추가로 궁금님이 알려주신 블로그에 올라온 설정대로 하면 랜섬웨어가 시스템 권한을 가지로 실행되더라도 암호화되지 않습니다.

    • no picture 2017.05.20 19:07

      비밀댓글입니다