Wannacry Ransomware Part 2

주의사항: Malware 혹은 악성코드를 분석할 때 원래 쓰는 운영체제를 절대 쓰지 마세요. 항상 악성코드를 위한 랩 환경을 쓰세요!! Vmware, Vbox 등!

안녕하세요! 오늘은 wannacry ransomware 파트 2 할 겁니다!

지난주는 wannacry의 IOC를 분석하고 Ghidra를 잠깐 돌려봤는데, 오늘은 더 자세하게 Ghidra의 도움으로 Reverse Engineering 할 예정입니다!

여러분의 관심을 불러일으키기 위해서 일단 발견된 것들 중에 가장 재밌는 것을 보여 드릴게요.

분석하다가 c.wnry라는 파일을 발견했는데 보니까 TOR 브라우저 주소가 나오네요!!!

그리고 bitcoin 주소까지? 재밌네요. 그냥 재미로 blockchain.com에 주소를 입력하였는데 뭘 발견했냐면...

총 1.000.000$를 받았네요... 10억??

자~ 여러분 이제 흥미가 좀 생겼죠? 분석하러 갑시다

​

1) Wanna cry main.exe

분석하다 보니 wannacry는 여러 개의 PE 파일들의 있더라고요. Encrypter, Decrypter 등. 분석 아직은 다 못 하였지만 지금 짜기 총 4개의 PE 파일을 발견했기 때문에 분석이 좀 걸릴 것 같습니다... 오늘은 그래서 main부터 시작하고 wannacry가 드랍하는 1831라는 resource까지 분석하겠습니다.

위의 사진은 wannacry 처음으로 실행될 때 parameter가 있는지를 확인하고, parameter 없는 경우에는 다른 function에 들어갑니다

이 function는 mssecsvc2.0라는 서비스를 만들며 System Event Log를 확인하면 "Microsoft Security Center (2.0)라는 서비스가 생겼다는 것을 알 수 있습니다.

위의 사진의 가장 중요한 부분은 FindResourceA라는 function call입니다. Microsoft documentation을 확인해 보니 두 번째 parameter는 "lpName"이라고 하길래 wrestool이라는 프로그램을 돌려봤습니다 (https://linux.die.net/man/1/wrestool)

확실히 1831이라는 파일이 있나 보네요? 분석하기 전에 위에 사진을 조금 더 자세하게 봅시다. 밑에 sprintf이라는 function이 보이는데, 첫 번째 블로그에서 발견한 tasksche.exe 다시 나옵니다. 그다음에는 "qeriuwjhrf"라는 이상한 string이 보이는데, 다음 MoveFileExA function을 보니 tasksche.exe가 "qeriuwjhrf"로 욺 겨지고 1831라는 resource가 tasksche.exe로 옮겨질 것 같습니다

​

2) 1831.bin

코드를 분석하기 전에 담겨 있는 strings가 있는지 확인부터 하는 것이 좋습니다.

첫 번째 사진은 아까 보여드린 bitcoin 주소들이고, 두 번째 사진은 unzip이라는 단어가 보이는데 1831.bin 안에도 코드뿐만 아니라 다른 것도 있나 봅니다. 남은 string들은 wannacry가 실행되면 암호화될 파일 extension들입니다. zip 파일 경우에는 분석가들이 분석을 못하기 위해서 비밀번호를 쓸 때가 많으므로 분석하면서 비밀번호 같은 string이 있는지 잘 확인해야 합니다.

바로 1831의 entry function에 이상하게 생긴 string이 나옵니다

더 분석하다 보니 또 FindResource이라는 function을 발견했습니다.

wrestool를 다시 돌려보고 위의 이상한 string을 입력해 봤는데 비밀번호 맞더라고요!

분석할 만한. exe 파일이 두 개나 더 나왔고, 남은 파일들은 wannacry가 실행될 때 화면에 뜨는 메시지들뿐입니다. c.wnry는 wannacry가 쓰는 tor 웹주소들입니다. 자세히는 모르겠지만 C2 서버이지 않을까 싶습니다.

​

당연히 보여드린 것보다 분석할 만한 부분이 훨씬 많지만 오늘은 일단 Reverse Engineering의 힘을 빌려 악성코드 속에 숨어 있는 신기한 것들을 발견할 수 있다는 것만 보여드리고 싶었습니다!