Writing by Ilsun Choi 1

랜섬웨어 패턴 분석 및 탐지 방향 제시PCAP 취약점을 사용한 랜섬웨어 유포와 문서 파일 암호화

최일선

E-mail : isc0304@naver.com

Writing by Ilsun Choi 2

Index1. 개요

2. 랜섬웨어 감염 경로

3. 동적 탐지 필요성

4. 모의 시나리오

5. 실습환경

6. 시연 동영상

7. 결론

참고문헌

E-mail : isc0304@naver.com

Writing by Ilsun Choi 3

1. 개요 랜섬웨어란 ?

중요 자료나 개인정보를 무단으로 암호화 복구해 주는 조건으로 돈을 요구

E-mail : isc0304@naver.com

http://news1.kr/articles/?2244760

Writing by Ilsun Choi 4

2. 랜섬웨어 감염 경로 E-mail, Web 등으로 감염

CryptoLocker 15. 4. 21 클리앙을 통해서 최초 유포 IE 와 Adobe flash 취약점을 사용 DBD(Drive By Download) 한국어 버전

금전을 요구하지만 , 가능성 희박

미리 예방하는 것이 가장 좋은 방법

E-mail : isc0304@naver.com

http://www.boannews.com/media/view.asp?idx=46006&skind=O

Writing by Ilsun Choi 5

3. 동적 탐지 필요성 신종 또는 변종 랜섬웨어 탐지 어려움

Tox 사이트에서 랜섬웨어 무료 제작

동적 탐지 방법이 필요

E-mail : isc0304@naver.com

http://www.etnews.com/20150603000100

Writing by Ilsun Choi 6

4. 모의 시나리오

E-mail : isc0304@naver.com

1. 업무용 pcap E-mail 발송

2. 와이어샤크로 pcap 파일 오픈

3. 악성코드 배포 서버로 URL Download 요청

4. 랜섬웨어 프로그램 다운로드 및 실행

5. 레지스트리 시작 프로그램 등록

6. 문서 파일 암호화 진행

7. 웹페이지 파일 생성 , 3 초마다 페이지 실행

Writing by Ilsun Choi 7

5. 실습 환경

E-mail : isc0304@naver.com

실습 환경 고려 사항 도구Windows7 32bit(VMware)

SEH & ROP Chain 구성kernel32.dll / urlmon.dll 라이브러리 로드

Immunity Debuggermona.pyMetasploit(CreatePattern)

V3 실시간 감시 셸 코드 제작 Visual Studio 2008OllyDBG

Wireshark 1.4.1 CVE: 2011-1591SEH Overflow Exploit(Ethertype 0x2323 으로 설정했을 시 발생 )

참고 사이트 : https://www.ex-ploit-db.com/exploits/17185/

exe 프로그램 python 파일 컴파일 makespec, build

Writing by Ilsun Choi 8

6. 시연 동영상

E-mail : isc0304@naver.com

Writing by Ilsun Choi 9

7. 결론다음과 같은 패턴을 연구

• 암호화에 시간이 많이 걸림• 암호화 후 원본 파일을 삭제• 주로 용량이 적은 문서 파일 암호화

패턴 탐지를 통한 제어 한 프로그램이 짧은 시간 안에 문서 파일을 생성 및 삭제 패턴 감지 사용자에게 보고하여 프로그램을 진행 여부 질의 피해 확산 최소화

E-mail : isc0304@naver.com

Writing by Ilsun Choi 10

참고문헌 https://www.exploit-db.com/exploits/17185/ http://www.cvedetails.com/cve/CVE-2011-1591/

E-mail : isc0304@naver.com