분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Thanos 랜섬웨어

TACHYON & ISARC 2020. 12. 24. 15:27

 

최근 Anti Debugging 동작을 하는 Thanos 랜섬웨어가 등장하였다. 해당 랜섬웨어는 파일 감염 동작과 더불어, 정상 소프트웨어를 다운로드하고 정상 프로세스에 인젝션하여 사용자가 악성동작이 이루어지는 것을 알아차리지 못하도록 하기에 큰 주의가 필요하다.

 

Thanos 랜섬웨어에 감염되면, 암호화 동작을 한 디렉토리에 랜섬노트를 생성하고 모든 악성동작이 끝나면 바탕화면에 띄워 감염사실을 알린다.

 

[그림  1]  랜섬노트

 

 Thanos 랜섬웨어는 먼저, 실행중인 프로세스 중에서 디버깅과 관련된 프로세스가 존재하면 해당 랜섬웨어의 동작을 중지하고 자가 삭제한다.

 

[그림  2]  디버깅과 관련된 프로세스 종료 코드

 

[표  1]  디버깅 관련 프로세스 명

 

그리고 정상 프로그램인 “ProcessHide64.exe” 또는 “ProcessHide32.exe” 파일을 다운로드 한다. “ProcessHide32.exe”는 정상 프로세스에 인젝션하여 특정 프로세스를 숨김 모드로 실행할 수 있도록 하는 소프트웨어이다. 만약 해당 URL로 소프트웨어가 다운로드가 된다면, 본 악성코드를 숨김 모드로 실행한다.

 

[그림  3] ProcessHide  소프트웨어 다운로드  URL

 

 또한, 원격지와 연결하여 서버를 모니터링 하도록 하는 “paexec.exe”라는 정상 소프트웨어를 다운로드 한다.

 

[그림  4] paexec  소프트웨어 다운로드  URL

 

 사용자 PC “paexec.exe”가 다운로드되면 서버에 연결하여 ID PW를 지정하고, 원격지와 연결해 감염된 사용자 PC의 정보를 전달한다.

 

[그림  5]  원격지와 연결 코드

 

 그리고 하기의 이미지와 같이 암호화 동작에 방해가 되는 프로세스 및 서비스 등을 종료하고, 볼륨 섀도우 복사본을 삭제한다.

 

[표  2]  대상 프로세스 ,  서비스와 드라이브

 

 그 후, 하기의 표와 같이 C드라이브를 대상으로 특정 폴더와 확장자에 대하여 암호화 한다.

 

[표  3]  암호화 대상 및 제외

 

이번 보고서에서 알아본 Thanos 랜섬웨어는 암호화 동작 이 외에도 정상 소프트웨어를 사용하여 악성 동작을 수행하기에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

 

 

[ 그림 6] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

 

.