랜섬웨어 패턴 분석 및 탐지 방향 제시
TRANSCRIPT
Writing by Ilsun Choi 1
랜섬웨어 패턴 분석 및 탐지 방향 제시PCAP 취약점을 사용한 랜섬웨어 유포와 문서 파일 암호화
최일선
E-mail : [email protected]
Writing by Ilsun Choi 2
Index1. 개요
2. 랜섬웨어 감염 경로
3. 동적 탐지 필요성
4. 모의 시나리오
5. 실습환경
6. 시연 동영상
7. 결론
참고문헌
E-mail : [email protected]
Writing by Ilsun Choi 3
1. 개요 랜섬웨어란 ?
중요 자료나 개인정보를 무단으로 암호화 복구해 주는 조건으로 돈을 요구
E-mail : [email protected]
http://news1.kr/articles/?2244760
Writing by Ilsun Choi 4
2. 랜섬웨어 감염 경로 E-mail, Web 등으로 감염
CryptoLocker 15. 4. 21 클리앙을 통해서 최초 유포 IE 와 Adobe flash 취약점을 사용 DBD(Drive By Download) 한국어 버전
금전을 요구하지만 , 가능성 희박
미리 예방하는 것이 가장 좋은 방법
E-mail : [email protected]
http://www.boannews.com/media/view.asp?idx=46006&skind=O
Writing by Ilsun Choi 5
3. 동적 탐지 필요성 신종 또는 변종 랜섬웨어 탐지 어려움
Tox 사이트에서 랜섬웨어 무료 제작
동적 탐지 방법이 필요
E-mail : [email protected]
http://www.etnews.com/20150603000100
Writing by Ilsun Choi 6
4. 모의 시나리오
E-mail : [email protected]
1. 업무용 pcap E-mail 발송
2. 와이어샤크로 pcap 파일 오픈
3. 악성코드 배포 서버로 URL Download 요청
4. 랜섬웨어 프로그램 다운로드 및 실행
5. 레지스트리 시작 프로그램 등록
6. 문서 파일 암호화 진행
7. 웹페이지 파일 생성 , 3 초마다 페이지 실행
Writing by Ilsun Choi 7
5. 실습 환경
E-mail : [email protected]
실습 환경 고려 사항 도구Windows7 32bit(VMware)
SEH & ROP Chain 구성kernel32.dll / urlmon.dll 라이브러리 로드
Immunity Debuggermona.pyMetasploit(CreatePattern)
V3 실시간 감시 셸 코드 제작 Visual Studio 2008OllyDBG
Wireshark 1.4.1 CVE: 2011-1591SEH Overflow Exploit(Ethertype 0x2323 으로 설정했을 시 발생 )
참고 사이트 : https://www.ex-ploit-db.com/exploits/17185/
exe 프로그램 python 파일 컴파일 makespec, build
Writing by Ilsun Choi 9
7. 결론다음과 같은 패턴을 연구
• 암호화에 시간이 많이 걸림• 암호화 후 원본 파일을 삭제• 주로 용량이 적은 문서 파일 암호화
패턴 탐지를 통한 제어 한 프로그램이 짧은 시간 안에 문서 파일을 생성 및 삭제 패턴 감지 사용자에게 보고하여 프로그램을 진행 여부 질의 피해 확산 최소화
E-mail : [email protected]
Writing by Ilsun Choi 10
참고문헌 https://www.exploit-db.com/exploits/17185/ http://www.cvedetails.com/cve/CVE-2011-1591/
E-mail : [email protected]