TeslaCrypt Analysis Presenter 김동현 김태룡

Index Index 랜섬웨어 2) TeslaCrypt 분석 3) TeslaBreak 4) TeslaBreak 시연 5) 랜섬웨어 피해 줄이기 6) 참고자료

Index 랜섬웨어 [01/28] $$ Ransom 명. 몸값 동. 몸값을 받고 석방하다

랜섬웨어 [02/28] 45 40 35 30 25 20 15 10 05 00 (만건) 통계 자료 : 맥아피 연구소 위협 보고서 2015년 8월호 랜섬웨어 총계 2013년 3분기 4분기 2014년 1분기 2분기 2015년 42,0000 건

랜섬웨어 [03/28] 랜섬웨어 침해 신고 현황 합계 ▲ 2015년 3월~12월까지 랜섬웨어 침해신고 현황 및 감염시기 구분 온라인 신고 전화 신고 메일 신고 일반 합계 2015년 3월 4 3 7 2015년 4월 120 56 2 178 2015년 5월 46 25 1 72 2015년 6월 77 50 128 2015년 7월 37 21 5 63 2015년 8월 69 35 104 2015년 9월 24 45 2015년 10월 406 229 656 2015년 11월 2015년 12월 629 288 10 927 합계 1759 865 41 2665 ■ 3월 0% ■ 4월 8% ■ 5월 3% ■ 6월 6% ■ 7월 3% ■ 8월 5% ■ 9월 2% ■ 10월 30% ■ 11월 43% ▲ 2015년 3월~12월까지 랜섬웨어 침해신고 현황 및 감염시기 (출처:랜섬웨어침해대응센터)

랜섬웨어 [04/28] 랜섬웨어 감염경로 및 업종별 통계 ■ 중견기업 17% Email 25% P2P 9% 인터넷 66% ■ 대기업 4% ■ 중소기업 31% ■ 공공기관 4% ■ 병원 3% ■ 교육기관 2% ■ 개인 39% ▲ 2015년 랜섬웨어 감염경로/감염업종별 통계(출처:랜섬웨어침해대응센터)

랜섬웨어 [05/28] Dirty Decrypt 2013년 07월 Crypto Wall 2013년 11월 Torrent Locker 2014년 08월 Nabucur 2014년 11월 KeRanger 2016년 03월 Crypto Locker 2013년 09월 CTB Locker 2014년 07월 TeslaCrypt 2015년 05월 CryptoGraphic Locker 2014년 09월

랜섬웨어 [06/28] 일반적인 동작 과정 - 01 f 플래시/윈도우 취약점 혹은 메일/파일 등을 통해 악성코드 실행

랜섬웨어 [07/28] 일반적인 동작 과정 - 02 정해진 암호화 알고리즘을 사용하여 파일 암호화 진행

C&C(Command And Control) 서버 : 명령을 내리는 서버 랜섬웨어 [08/28] 일반적인 동작 과정 - 03 암호를 풀기 위해 필요한 키 값을 미리 준비해 둔 C&C 서버에 전송 C&C(Command And Control) 서버 : 명령을 내리는 서버

랜섬웨어 [09/28] 주요 랜섬웨어 분석 랜섬웨어 이름 암호화 방식 C&C 통신 프로토콜 도메인 서버 참조 레퍼런스 CryptDirt (2013-07) RC4 암호화 이후 첫 비트 ~ 1024까지 RSA 암호화 HTTP 도메인 주소 생성 알고리즘 없음 CryptoLocker (2013-09) AES + RSA 하드 코딩된 URL 주소 사용 MS Crypto API CryptoWall (2013-11) RSA TOR CTBLocker (2014-07) AES 암호화 이후 Key값을 ECDH 암호화 OpenSSL TorrentLocker (2014-08) AES HTTPS CryptoGraphicLocker (2014-09) (.NET) TeslaCrypt(2.0~2.2) (2015-11) AES 256 CBC KeyRanger (2016-03) AES CBC ?

랜섬웨어 [10/28] 랜섬웨어의 발전 –암호화/프로토콜- RC-4 HTTP RSA HTTPS AES-256 TOR

랜섬웨어 [11/28] 랜섬웨어의 발전 –지불 방식– B B B 선불 카드 비트 코인

TeslaCrypt 2.0 랜섬웨어 [12/28] 분석 환경 가상 환경 랜섬웨어 패킷 분석 헥스 뷰어 레지스트리 분석 Windows XP (SP_2) TeslaCrypt2.0 WireShark HxD Regedit 암호화 방식 C&C 통신 프로토콜 도메인 서버 참조 레퍼런스 AES 256 CBC HTTPS 하드 코딩된 URL 주소 사용 OpenSSL

TeslaCrypt 2.0 [13/28] 분석 환경 C&C 서버 통신 확인 [WireShark]

TeslaCrypt 2.0 [14/28] C&C 서버 통신 확인 [WireShark]

TeslaCrypt 2.0 [15/28] C&C 서버 통신 확인 [WireShark]

TeslaCrypt 2.0 확장자 변경 .ccc [16/28] 파일 변화 분석 [육안] C&C 서버 통신 확인 [WireShark] 확장자 변경 .ccc

TeslaCrypt 2.0 [17/28] 파일 변화 분석 [HxD]

TeslaCrypt 2.0 [18/28] 파일 변화 분석 [HxD] 시작 주소 길이 뜻 0x000 4 DEAD BEEF (TeslaCrypt만의 시그니처) 0x004 65 BitCoin 주소에 대한 공개 키 (8진 값) 0x045 130 BitCoin 주소에 대한 공개 키 0x0C7 파일에 대한 공개 키 (8진 값) 0x108 파일에 대한 공개 키 0x18A 16 AES 256 CBC 알고리즘의 IV 값 0x19A 원본 파일 길이

TeslaCrypt 2.0 [19/28] 레지스트리 변화 분석 [Regedit] 파일 변화 분석 [HxD]

TeslaCrypt 2.0 [20/28] 레지스트리 변화 분석 [Regedit]

TeslaCrypt 2.0 [21/28] 종합 분석 결과 레지스트리 변화 분석 [Regedit] 암호화 이후, 파일의 확장자 명이 .ccc로 변경된다. 암호화를 거친 파일의 시그니처 값은 DE AD BE EF가 된다. AES 암호화 알고리즘을 풀기 위한 공개 키가 파일 헤더에 있다. 블록 암호화 알고리즘을 풀기 위한 IV값이 파일 헤더에 있다. 원본 파일의 길이가 파일 헤더에 있다. 모든 암호화가 끝난 이후 C&C서버와 통신한다. 암호화가 끝난 이후 암호화가 되었다는 문서가 열린다. 암호화 되었다는 문서가 부팅시 열리도록 레지스트리에 등록 시킨다.

TeslaBreak TeslaCrypt 2.0 START [22/28] 프로그램 알고리즘 파일 헤더 수집 FALSE TRUE 복구 할 파일 입력 파일 헤더 수집 시그니처가 DEADBEEF 인가? FALSE TRUE 25 로그 남기고 종료

TeslaBreak END [23/28] 프로그램 알고리즘 24 FALSE 소인수 분해 TRUE 비밀 키 추출 AES 공개키가 등록 되었나? FALSE 소인수 분해 TRUE 등록된 비밀키 추출 비밀 키 추출 비밀 키를 이용하여 파일 복구 END

TeslaBreak TeslaBreak 시연 [24/28] 시연 동영상

f f f 랜섬웨어 피해 줄이기 TeslaBreak 시연 1) 파일 권한 설정 2) 정기적인 백업 3) 정기적인 업데이트 [25/28] 1) 파일 권한 설정 2) 정기적인 백업 3) 정기적인 업데이트 4) 공유 폴더/파일 점검 5) 플래시 - 클릭시 실행 USB f f f

참고 자료 참고 자료 TeslaCrypt 바이러스 샘플 분석 자료 PDF 자료 https://www.hybrid-analysis.com/sample/78523cb8c204428fe0029ac8b2c31f0a3de55dcd1a7675ae11b43fe8 9c8334e0?environmentId=1 분석 자료 [Nabucur] https://malwr.com/analysis/MDBmODQ3ZDBkMTYzNGMyMTgwY2E4NzMzYTY1WVjNWQ/ [TeslaCrypt] http://sensorstechforum.com/remove-cryptesla-2-2-0-and-restore-vvv-encrypted-files/ [KeyRanger] http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger -infected-transmission-bittorrent-client-installer/ [KeyRanger] https://www.rebelmouse.com/philkramer/apple-mac-keyranger-virusransomware-found- in-bittorrent-client-1646735831.html [랜섬웨어 역사] https://blog.varonis.com/a-brief-history-of-ransomware/  PDF 자료 [박종혁] 현대 암호학 – 제 4장 블록 암호 모드 [McAfee] McAfee_Labs_Threat_Advisory-TeslaCrypt [Symantec] the-evolution-of-ransomware [blueangel] 랜섬웨어-연대기 [명정보기술] Keynote3_ran_defender-160128 [BleepingComputer.com] Decryption Guide for TeslaCrypt Encrypted Files 

참고 자료 웹 문서 [보안 뉴스] http://www.boannews.com/media/view.asp?idx=49998&skind=5 [Alyac 블로그] http://blog.alyac.co.kr/573 [McAfee 블로그] https://blogs.mcafee.com/mcafee-labs/new-teslacrypt-ransomware-arrives-via-spam/ [AhnLab ASEC 블로그] http://asec.ahnlab.com/1032 [AES 복호화 알고리즘] http://marcof.tistory.com/96 [AES 복호화 알고리즘] http://jinhobak.tistory.com/195 수업 사이버 포렌식 개론 [영산대학교 안미정 교수님] 윈도우 서버 보안 [영산대학교 정민포 교수님]

발표 주제에 대한 자세한 정보는 워드 형식의 보고서를 참조 하시길 바랍니다. [감사합니다] 발표 주제에 대한 자세한 정보는 워드 형식의 보고서를 참조 하시길 바랍니다. [워드 형식 보고서 다운로드] http://cafe.naver.com/goldbigdragon/50612