상쾌한 아침, 안녕하세요. 상쾌한 아침, 안녕하세요.
지난번에 이어서 안랩에서 분석한 크롭 랜섬웨어에 대해서 알아보려고 합니다. IT보안정보)안랩의 크롭 랜섬웨어 분석 ①.. : 네이버 블로그(naver.com ) 전반적으로 크롭 랜섬웨어에는 큰 변화가 없지만 약간의 변화가 나타납니다. – 암호화된 파일의 뒷부분에 시그니처와 함께 공개함으로써 암호화된 대칭키가 더해진 기존 버전과 달리 2020년 하반기에 수집된 크롭에서는 같은 이름으로”. Cllp” 확장자를 붙여 새로 생성한 파일에 시그니처와 암호화된 키를 저장했습니다. 지난해 이랜드 그룹의 공격에도 사용된 크롭도 이 방식으로 되어 있다고 합니다. 지난번에 이어서 안랩에서 분석한 크롭 랜섬웨어에 대해서 알아보려고 합니다. IT보안정보)안랩의 크롭 랜섬웨어 분석 ①.. : 네이버 블로그(naver.com ) 전반적으로 크롭 랜섬웨어에는 큰 변화가 없지만 약간의 변화가 나타납니다. – 암호화된 파일의 뒷부분에 시그니처와 함께 공개함으로써 암호화된 대칭키가 더해진 기존 버전과 달리 2020년 하반기에 수집된 크롭에서는 같은 이름으로”. Cllp” 확장자를 붙여 새로 생성한 파일에 시그니처와 암호화된 키를 저장했습니다. 지난해 이랜드 그룹의 공격에도 사용된 크롭도 이 방식으로 되어 있다고 합니다.
출처 – kisa 출처 – kisa
[기존 크롭 랜섬웨어 – 암호화된 파일 뒤에 추가된 대칭 키] [기존 크롭 랜섬웨어 – 암호화된 파일 뒤에 추가된 대칭 키]
출처 – kisa 출처 – kisa
[2020년 하반기에 발견된 크롭 랜섬웨어 – .Cllp 파일에 대칭키 저장] – Flawed Ammyy 등의 다른 악성코드와 함께 Packer를 사용하였습니다. 즉, 파일진단을 우회하기 위해 원본 바이너리를 인코딩하여 가지고 있으며, Packer가 실행되면서 메모리 상에서 디코딩된 원본 바이너리를 실행합니다. · 이랜드 그룹 공격에 사용된 크롭의 특징 – 랜섬웨어가 대칭키 알고리즘을 이용하여 각각의 파일을 암호화한 후 바이너리 내부에 존재하는 공개키로 대칭키를 암호화하고 해당 공개키에 상응하는 개인키를 알아야 암호화된 파일을 복구할 수 있습니다. 랜섬웨어 공격에 이랜드 NC백화점 뉴코아 등.. : 네이버 블로그(naver.com ) 단, 기존에 발견된 크롭과 달리 볼륨 shadow copy 삭제 명령이 없기 때문에 윈도우 시스템에 랜섬웨어 감염 전복원 지점이 존재하면 복원 기능을 이용하여 감염 전 상태로 되돌릴 수 있습니다. [2020년 하반기에 발견된 크롭 랜섬웨어 – .Cllp 파일에 대칭키 저장] – Flawed Ammyy 등의 다른 악성코드와 함께 Packer를 사용하였습니다. 즉, 파일진단을 우회하기 위해 원본 바이너리를 인코딩하여 가지고 있으며, Packer가 실행되면서 메모리 상에서 디코딩된 원본 바이너리를 실행합니다. · 이랜드 그룹 공격에 사용된 크롭의 특징 – 랜섬웨어가 대칭키 알고리즘을 이용하여 각각의 파일을 암호화한 후 바이너리 내부에 존재하는 공개키로 대칭키를 암호화하고 해당 공개키에 상응하는 개인키를 알아야 암호화된 파일을 복구할 수 있습니다. 랜섬웨어 공격에 이랜드 NC백화점 뉴코아 등.. : 네이버 블로그(naver.com ) 단, 기존에 발견된 크롭과 달리 볼륨 shadow copy 삭제 명령이 없기 때문에 윈도우 시스템에 랜섬웨어 감염 전복원 지점이 존재하면 복원 기능을 이용하여 감염 전 상태로 되돌릴 수 있습니다.
출처 – kisa 출처 – kisa