다크사이드(DarkSide) 랜섬웨어 분석

 

 

美 최대 송유관 마비시킨 '다크사이드 랜섬웨어'

 

해당 악성코드 분석을 통해 

IOCP, UAC Bypass, I/O우선순위, 세션ID를 이용한 프로세스 생성 등에 대한 개념을 배웠다.

(운영체제에 대한 지식이 좀 필요했던 것 같다.)

 

아,,, 분석보고서는 완성하지 않았다... 나머지 부분은 안봐도 뻔...... (그렇다고 내가 잘해서는 아니다)

---

151fbd6c299e734f7853497bd083abfa29f8c186a9db31dbe330ace2d35660d5.bin.zip

0.37MB

idb (주석포함)

 

 

이 링크 꼭 읽어보길 추천한다.

( 윈도우 세션을 이용한 프로세스 생성?)

Check Windows 

 

 

모든 권환을 활성화 

 

(https://stackoverflow.com/questions/301290/how-can-i-o-priority-of-a-process-be-increased)

IO우선순위를 3으로 셋팅해준다.

NtSetInformationProcess API 호출을 통해 프로세스의 우선 순위 및 입출력 우선 순위를 확인한다. 이를 위해 NtSetInformationProcess API 에 ProcessPriorityClass 및 ProcessIOPriority 를 인자로 주어, 두 번 호출한다. 해당 작업은 향후 파일 암호화 및 기타 랜섬 행위 수행 시 프로세스의 우선 순위를 높여 빠른 암호화를 수행할 수 있도록 함이며, 해당 작업에는 IO(Input/Output)으로 분류되는 입출력 행위에 대한 우선 순위가 보장되어야 하기 때문이다. - 소만사-

 

 

 

COM 권한상승

 

컴퓨터 정보 파싱

 

CNC서버

faknet을 이용하여 패킷 캡쳐

 

 

$Recycle.bin에 있는 것들을 재귀함수를 이용해서 모두 지운다. 즉, 휴지통을 비운다.

 

 

 

powershell -ep bypass -c "(061)|%{$s+=[char][byte]('0x'+'4765742D576D694F626A6563742057696E33325F536861646F77636F7079207C20466F72456163682D4F626A656374207B245F2E44656C65746528293B7D20'Substring(2*$_,2))};iex $s"

--> 파워쉘을 이용해서 섀도 복사본 삭제한다.

 

다음과 같은 서비스를 찾아서 지웁니다.

 

 

다음과 같은 프로세스를 찾아서 죽입니다.

 

 

---

참고 문서

https://chuongdong.com/reverse%20engineering/2021/05/06/DarksideRansomware/

 

https://ragonfly.tistory.com/entry/Windows-UAC-Bypass-%EC%9B%90%EB%A6%AC

 

https://www.google.com/search?q=WTSGetActiveConsoleSessionId&rlz=1C1CHBD_koKR959KR959&sxsrf=AOaemvJpkMe8loQSJbmO7MNS91fk-nw4xA:1642923704779&ei=uAbtYd30Lsvk2roP_sax4Ao&start=0&sa=N&ved=2ahUKEwjdsMPer8f1AhVLslYBHX5jDKw4ChDy0wN6BAgBEDs&biw=1920&bih=912&dpr=1 

 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=jjoommnn&logNo=130029485318 

 

https://taeguk2.blogspot.com/2015/09/windows-vista-service-interactive.html

 

https://gist.github.com/api0cradle/d4aaef39db0d845627d819b2b6b30512