꿈을꾸는 파랑새

오늘은 QNAP NAS를 대상을 공격하는 랜섬웨어인 eCh0raix Ransomware에 대해 알아보겠습니다. 일단 해당 랜섬웨어는 QNAP NAS를 대상으로 공격하는 랜섬웨어 입니다. 일단 기본적으로 나스 라는 것은 Network Attached Storage 네트워크 결합 스토리지이라고 부르고 다르게 이야기하며 LAN으로 연결하는 외장 하드디스크이라고 합니다. 컴퓨터에 직접 연결하지 않고 네트워크를 통해 데이터를 주고받는 저장장치이라고 할 수가 있을 것입니다.
NAS의 초기 목적은 여러 사람이 데이터를 쉽게 공유를 할 수가 있으며 윈도우 등 PC 운영 체제에서도 공유 폴더 설정이나 파일 서버를 꾸미는 등을 통해 같은 기능을 제공하며 공유 폴더 기능은 PC를 계속 켜 놓아야 하고 리소스를 쓰게 만들어 작업을 느리게 만들며 파일 서버는 성능이 좋은 대신 전력 소비량이 많고 구매 비용도 비싸며 관리에도 손이 많이 들며 NAS는 간단한 초기 설정만 거치면 대부분의 운영체제, 컴퓨터에서 쉽게 데이터를 공유할 수 있어서 비용 대비 효율성이 좋으며 저장장치를 가지고 다닐 필요가 없으며
NAS는 내부 네트워크와 인터넷에 연결할 수 있어 외부에서 인터넷을 통해 NAS의 데이터를 읽고 기록할 수 있으며 인터넷 회선의 성능에 따라서 데이터 전송 속도는 제한받기는 하지만 외장 하드디스크나 USB 메모리의 필요성이 상대적으로 줄어드는 것이 장점이라고 할 수가 있을 것입니다. 여기서 큐냅(QNAP) 시놀로지와 같은 대만회사입니다. 해당 랜섬웨어는 약한 자격 증명을 강요하고 표적 공격의 알려진 취약점을 악용했습니다. 기본적으로 AES 암호화를 사용하여 NAS의 대상 파일 확장자를 암호화하고 암호화된 파일에. encrypt 확장자를 추가하는 것이 특징입니다.
랜섬웨어가 만드는 랜섬노트는 다음과 같습니다.


All your data has been locked(crypted).
​How to unclock(decrypt) instruction located in this TOR website: http://sg3dwqfpnr4sl5hh.onion/order/xxxxxxxxxxx
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
Do NOT remove this file and NOT remove last line in this file!
입니다.랜섬노트는 보면 영어에 익숙하지 않은 사람이 만든 것을 볼 수가 있습니다. 오타가 있습니다. 랜섬웨어는 Go 프로그래밍 언어로 작성되고 컴파일로 돼 있습니다. 그리고 이미 암호화되어 있는지 확인하고 시스템을 탐색하여 암호화해 나서 파일을 암호화하며 몸값을 생성을 진행합니다. 악성코드는 실행 시 악성 프로그램은 URL http://192.99.?0?.61/d.php? s=started에서 암호화 프로세스가 시작되었음을 명령 및 제어 (C2)에 알립니다. 그리고 SOCKS5 Tor 프록시 (192.99?206?61 65000)를 통해 토르와 연결을 합니다. 그리고 AES-256 키를 만들려고 배열 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@ # $ % ^ & * ( )_+에서 32자 무작위 문자열을 사용해서 문자열을 만들고 유효키 공간은 192비트를 사용합니다. 랜섬웨어는 파일을 암호화하기 전에\ 다음 프로세스 목록을 삭제합니다. 프로세스는 service stop % s또는 systemctl stop % s명령을 실행하여 감염된 NAS에서 중지가 됩니다.
apache2
httpd
nginx
mysqld
MySQL
PHP-FFM
php5-fpm
postgresql
그리고 다음 부분은 암호화에서 제외합니다.
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg
그리고 암호화하는 파일 목록은 다음과 같습니다.
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps

.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx

.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.

lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf

.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac

.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx
그리고 암호화가 완료되면 다음 주소로 암호화 명령을 내려 줍니다.
http://192.99.206.61/d.p??p?s=done
예방을 하려고 하면 QNAP NAS 장치에 대한 외부 액세스를 제한 및 보안 패치가 최신이고 강력한 자격 증명이 사용되는지 확인해야 합니다. 오늘은 간단하게 eCh0raix Ransomware에 대해 적어 보았습니다.

728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band