securityse lab

워너크라이(WannaCry) 랜섬웨어 복구 정보 및 도구 #2

2017/5/15일 워너크라이 무료 복구 도구(Kaspersky lab 제공) 및 복구 방안에 대한 기술적 분석에 대한 글이 포스팅 되었었습니다.

몇일 전 McAfee 에서 발표 한 포스팅(McAfee researchers test WannaCry recovery method)에 대하여 적었는데 이론은 거의 같습니다.

해당 글 : http://securityse.tistory.com/49

먼저 워너크라이가 파일을 암호화 한 후 원본파일을 삭제하기 때문에 복구가 가능합니다.

Step 1 _ read the original files into the ram and start to encrypt files;

Step 2 _ create the encrypted files;

Step 3 _ delete the original files.

또한, 읽기전용(Read-Only) 속성의 파일은 삭제하지 않고 파일을 숨긴다는 것을 알아냈습니다.

상세한 정보는 아래 원문을 참고하시기 바랍니다.

원문 : How to recover WannaCrypt encrypted files (decrypt .wncry)

https://www.easeus.com/data-recovery/recover-decrypt-wannacrypt-encrypted-files.html

무료 복구 도구 다운로드 : http://download.easeus.com/free/drw_free.exe

워너크라이(WannaCry) 랜섬웨어 복구 정보 #2

2017/5/19일 McAfee에서 워너크라이 랜섬웨어 복구에 대한 새로운 소식이 나왔습니다. (나왔었습니다...)

워너크라이는 Victim PC의 데이터를 암호화 한 후 원본파일을 제거하는 것으로 분석되었습니다.

모든 경우 성공하진 못하지만 데이터 복구 도구를 사용하여 암호화된 디스크를 복구할 경우 원본파일을 살릴 수 있습니다.

국내에는 FinalData가 대표적인 복구 프로그램인데 워너크라이 감염 후 즉시 디스크를 분리하고 복구를 시도 할 경우 많은 자료를

살릴 수도 있을것 같습니다. (샘플이 없어서 테스트는 하지 못했음)

※ 참고 : 국내에서 FinalData로 테스트를 진행했다는 글에서는 복구가 가능하다고 작성되어져 있었습니다.

원문 : McAfee researchers test WannaCry recovery method

http://www.computerweekly.com/news/450419177/McAfee-researchers-test-WannCry-recovery-method

참고 URL

- 워너크라이(WannaCry) 랜섬웨어 참고 자료 : http://securityse.tistory.com/44

- 워너크라이(WannaCry) 랜섬웨어 복구 정보 : http://securityse.tistory.com/45

- 워너크라이(WannaCry) 랜섬웨어 복구 도구 : http://securityse.tistory.com/46

NTFS MFT(Master File Table) 취약점

개요

NTFS는 MS에서 개발한 윈도우 NT 계열 운영체제를 위한 파일시스템

MFT는 각 파일과 디렉터리의 메타데이터가 저장됨

NTFS에 대한 구조는 아래 URL을 참고하자

출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=19518&menu_dist=2

해당 MFT안에 임으의 파일에 접근(Access)을 하면 운영체제가 Crash 되는 단순한 취약점이 발견되었음

예를 들어 C:\$MFT\foo 처럼 마스터 파일 테이블의 임의의 파일인 foo에 접근(Access)을 하면 

NTFS Volume dirver가 Hang이 발생되어 운영체제가 다운 되는 증상이 나타나게 됨

- 이를 웹 사이트에 삽입하면 방문자들의 PC를 다운시키는 등으로 악용할 수 있음

[ 이미지 추가 : MFT의 임의의 파일에 접근하게 되면 윈도우즈가 아무런 반응이 없고 커서가 계속 로딩하듯이 돌아간다.

  윈도우 종료, 실행 등 아무것도 할 수 없는 Crash 상태가 됨 - Test환경 : Windows 7 Home Prem K OA ]

영항 

시스템 다운 - BSOD(Blue Scrren Of Death), Crash

영향받는 운영체제

Windows Vista, Windows 7, Windows 8.1

해결책

2017.6.2 현재 MS의 패치가 출시되지 않았음

Windows 10은 영향 없음

원문으로 추정되는 글 - 러시아어

https://habrahabr.ru/company/aladdinrd/blog/329166/

참고글

https://techxplore.com/news/2017-05-ntfs-bug-sites-windows.html

https://ko.wikipedia.org/wiki/NTFS - NTFS

참고기사

http://www.boan24.com/news/articleView.html?idxno=6883

워너크라이(WannaCry) 랜섬웨어 복구 도구

Tool : wanakiwi

URL : https://github.com/gentilkiwi/wanakiwi/releases

Download1 : 7z type - https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.7z

Download2 : zip type - https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.zip

참고 URL

- 워너크라이(WannaCry) 랜섬웨어 참고 자료 : http://securityse.tistory.com/44

- 워너크라이(WannaCry) 랜섬웨어 복구 정보 : http://securityse.tistory.com/45

워너크라이(WannaCry) 랜섬웨어 복구 정보

워너크라이(Wanna Cry) 랜섬웨어에 감염된 파일을 일부 복구할 수도 있다는 포스팅이 2017/5/19일 포스팅 되었다.

제목 : Tool can decrypt some files in WannaCry ransomware attack

원문 : http://thehill.com/business-a-lobbying/334205-tool-decrypts-wanna-cry-files-some-operating-systems-some-times

원문에도 보이지만 다만 조건이 있다.

Windows XP/2003/7 이어야 하고 리부팅해서는 않된다. 이유는 컴퓨터 메모리에서 복구 키를 찾기 때문이다.

원문 : Windows XP 2003 and 7 computers that have not been rebooted. 

        WannaKiwi works by searching computer memory for remnants of the decryption key

복구 도구명 : WannaKiwi

워너크라이(WannaCry) 랜섬웨어 참고 자료

저번 주말부터 너무나 떠들석 했던 워너크라이 랜섬웨어에 대해서 간단하게 정리했음

종전 랜섬웨어가 일반적으로 수동적이었던것에 비해 이번 워너크라이는 Worm의 속성을 가지고 있어서 감염된 PC에서 스스로 전파 공격을 시도하다보니 전세계적으로 피해가 속출하고 있음

1. 보도자료

https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1557 - 윈도 취약점을 통해 유포되는 랜섬웨어 피해 주의 당부

※ 포털, 구글등에서 "워너크라이", "랜섬웨어" 등의 단어를 검색하면 다양한 정보를 수집할 수 있음

2. 워너크라이 랜섬웨어 소개 및 분석

워너크라이(WannaCry) 또는 워너크립트(WannaCrypt)[2], WanaCrypt0r 2.0는 2017년 5월 12일부터 등장한 랜섬웨어 멀웨어 툴이다. 2017년 5월 12일부터 대규모 사이버 공격을 통해 널리 배포되었으며, 전세계 99개국의 컴퓨터 12만대 이상을 감염시켰다.[3] 감염된 컴퓨터로는 20개의 언어로 비트코인을 지급하면 풀어주겠다는 메시지를 띄웠다.

- 위키백과

https://ko.wikipedia.org/wiki/%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4

- 나무위키

https://namu.wiki/w/%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4?from=2017%EB%85%84%205%EC%9B%94%20%EC%9B%8C%EB%84%88%ED%81%AC%EB%9D%BC%EC%9D%B4%20%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4%20%EC%82%AC%ED%83%9C

- 안랩 ASEC BLOG

http://asec.ahnlab.com/1067

- Symantec (워너크라이(WannaCry) 랜섬웨어란 무엇인가)

https://www.symantec.com/connect/blogs/wannacry-2

3. SMB 취약점 공격 예방 요령 (KISA 보호나라, 대표자료)

- SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

4. 대응방안

1) 보안 패치 (MS17-010) *** 가장 중요, 패치하면 취약점도 사라진다.

- https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral 

  : Windows XP SMB 패치까지 첨부되어 있음

- https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

2) PC 앞단에 공유기가 있으면 어느정도 안전하다.

공유기는 NAT (Network Address Translation, 네트워크 주소 변환)으로 내부 네트워크를 보호한다.

내PC -> 공유기 -> 인터넷은 자유롭게 사용할 수 있지만

인터넷 -> 공유기 -> 내PC로 접근을 허락하지 않는다. (특별한 설정을 하지 않는 이상...)

마치 방화벽 같은 역할을 해주고 있으므로 공유기 뒷단이 이번 워너크라이 랜섬웨어 공격에는 어느정도 안전성을 보장해준다.

※ 워너크라이 랜샘웨어는 SMB 취약점(MS17-010)을 이용함으로 외부에서 내 PC의 SMB port로 연결되지 않는다면 일단 감염되지 않는다.

3) 윈도우 방화벽에서 SMB 차단

- KISA 보호나라 SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 참고

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

※ Windows 기능 설정 또는 해제에서 "SMB 1.0/CIFS 파일 공유 지원" 기능을 제거할 경우 "윈도우 공유 기능"을 사용할 수 없음

출처가 불분명한 파일 등을 실행했다가 랜섬웨어(Ransomeware)에 감염되면 복구는 결코 쉽지 않다.

* 랜섬웨어 : 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류

* 출처 : 위키백과 - https://ko.wikipedia.org/wiki/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4

복구 업체를 통해서 감염된 파일을 복구할 수 있다고 하나 복구 업체도 결국 Decryption 도구를 구하거나, 구매하거나, 요금을 지불하여 복구한다.

랜섬웨어에 감염되었다면 아래 사이트를 방문해보자

https://www.nomoreransom.org/

랜섬웨어에 감염되어 암호화된 파일을 통해 랜섬웨어 종류 확인도 가능하고... 

- 현재 제공하는 Decryptor로 복구 가능한 랜섬웨어 종류인지 확인 가능

38종의 랜섬웨어 Decryptor(2017.4.24 기준) 등을 제공한다.

- 2017.4.24 기준 Decryptor 리스트

Rakhni Decryptor (updated 2-3-2017 with Dharma)

Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)

Cry9 Decryptor

Damage Decryptor

Crypton Decryptor

Merry X-Mas Decryptor

BarRax Decryptor

Alcatraz Decryptor

Bart Decryptor

Crypt888 Decryptor

HiddenTear Decryptor

Noobcrypt Decryptor

CryptoMix Decryptor

Popcorn Decryptor

Marlboro Decryptor

GlobeImposter Decryptor

MRCR Decryptor

Globe3 Decryptor

Derialock Decryptor

PHP Ransomware Decryptor

WildFire Decryptor

Chimera Decryptor

Teslacrypt Decryptor

Shade Decryptor

CoinVault Decryptor

Jigsaw Decryptor

TM Ransomware File Decryptor

NMoreira Decryptor

Ozozalocker Decryptor

Globe Decryptor

Globe2 Decryptor

FenixLocker Decryptor

Philadelphia Decryptor

Stampado Decryptor

Xorist Decryptor

Nemucod Decryptor

Gomasom Decryptor

Linux.Encoder Decryptor

끝으로...

랜섬웨어는 신뢰할 수 없는 사이트 방문, 피싱메일, P2P 등을 통한 파일 실행, SNS 등의 다양한 경로 및 방법으로 감염될 수 있음을 알아야 한다.

결국 랜섬웨어 감염을 가능하면 사전에 예방하는 방법을 몸에 익혀두면 많은 도움이 될 것이다. (뿐만 아니라 악성코드까지 덤으로 예방 가능)

백퍼 내 기준에서 생각나도 대로 제시하는 예방 방법들 (추후 전문적으로 찾아보고 내용 업데이트 할 수도..)

- 출처가 불분명한 파일들은 백신 검사 후 실행

  또는, 백신에서 악성코드로 인식하지 않더라도 100% 장담할 수 없다면 실행하지 말자

  용량이 128MB 미만이라면 https://virustotal.com을 이용해서 의심스러운 파일을 다양한 백신으로 검사하는 습관도 아주 좋다.

- 주기적인 운영체제 및 각종 SW의 보안 패치 적용

   DBD 기법 등을 이용해서 감염되는 사례는 주로 윈도우 OS, Flash, 오피스 등의 0-day 취약점 등을 이용하니 보안패치는 필수..

- 백신 최신 업데이트 및 주기적인 검사 (& 성능좋은 백신 사용)

- 중요 데이터 백업 (요즘 외장형 HDD가 싸다..)

- 데이터 보호 도구 사용 (대표적으로 Folder Lock 류의 유틸을 사용하여 데이터 접근 통제)

- 기타 등등

참고하시라..

랜섬웨어 정의 및 감염경로 참고 사이트 :

https://www.krcert.or.kr/ransomware/information.do

1. 개요

This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

해석하면 Chrome, Firefox, Opera Web Browser에서 발견하기 거의 불가능한 피싱 공격.. 쯤 될려나..

원문 보기 : http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.html

참고 : https://www.xudongz.com/blog/2017/idn-phishing/

요약해서...

데모를 확인해보면 apple.com 으로 링크된 페이지를 클릭하면 

피싱 사이트로 연결된다. -_-

2. 분석

분명 링크된 페이지는 apple.com 으로 연결되는데 어떻게 피싱 사이트로 연결되는가?

답은 퓨니코드(punycode)와 키릴(Cyrillic) 문자에 있다.

퓨니코드를 이용하면 도메인 이름에 모든 유니코드 문자를 사용할 수 있기 때문에, IDNA를 사용하여 피싱공격을 할 수 있다.

예를 들어 "wikipedia.org"라는 도메인을 스푸핑하기 위해서 "wikipеdiа.org"(IDNA에서 xn--wikipdi-8fg6b.org) 도메인을 사용할 수 있다. 굵게 표시한 키릴 문자는 보통 로마자와 비슷하거나 같게 보이기 때문에 사용자가 같은 도메인이라 인식할 가능성이 높아진다.

출처 : https://ko.wikipedia.org/wiki/%ED%93%A8%EB%8B%88%EC%BD%94%EB%93%9C

좀 더 설명하면..

2005년 다국어 도메인은 '동형 이의어 스푸핑 공격(Homograph Spoofing Attacks)'에 대한 취약점이 발견되었다. 예를 들어, 유니코드 코드 포인트가 U+0430인 키릴 문자(Cyrillic) 'a'는 유니코드 코드 포인트가 U+0061인 라틴어 소문자 'a'와 코드 포인트는 다르지만 모양이 동일하다. 이용자가 키릴 문자 다국어 도메인 'xn--pypal-4ve.com' 접속 시 웹브라우저 주소창에는 'pаypal.com'로 표시되어 이용자를 혼동시키고 해킹에 악용될 소지가 있는 것이다.

출처 : http://networkers.egloos.com/1120623

즉, https://xn--80ak6aa92e.com/ 접속 시 Chrome, Firefox, Opera Web Browser에서는 Unicode (다국어) 형태로 URL을 보여주기 때문에 apple.com 으로 접속한 것처럼 속일 수 있다는 것이다.

- 소스를 확인해보면 이해가 빠르다.

- explorer에서는 https://xn--80ak6aa92e.com/ 그대로 노출된다.

3. 대응방안

- 잘 알려진 사이트가 피싱 대상이 되므로 포탈사이트나 검색사이트에서 조회해서 안전하게 접속하는 방법

- 직접 URL을 입력하여 접속하는 방법

- 잘 알지 못하는 사이트에서는 링크 타고 접속하지 않기

- URL을 퓨니코드로 보여지도록 웹 브라우저 설정하기

- Chrome, Firefox, Opera Web Browser가 이 문제를 해결하기 전까지 쓰지 말기 -_-

- 피싱에 자주에용되는 금융, 포탈, 쇼핑몰 등은 이미 SSL이 구축되어 있으므로 SSL 인증서 정보 확인하기 등이 있다.

알아야 속지 않으니, 잘 기억해두자!!

참고 : 

- 한글-퓨니코드 변환기 : https://whois.kisa.or.kr/idnconv/index.jsp

P.S :

- 2017.4.17에 포스팅 된 글을 소개했지만, 이미 2005년도 관련 기법은 공개되었다. (원문에서는 2001년 Homograph 공격으로 알려져 있다고 한다...)

- 현재까지도 Chrome, Firefox, Opera Web Browser에서 해당 기법을 사용하여 공격할 수 있음을 시연했다.

  해당 브라우저들은 신뢰할 수 있는 도메인만 원래 의도된 유니코드 이름으로 보여주는 방식을 사용한다.

  하지만, 이 공격은 SSL을 이용함으로써 웹 브라우저로 하여금 신뢰할 수 있는 도메인으로 믿게끔 해당 기능을 역으로 이용한 것으로 보여진다.