요즘은 많이 없어진 편이지만

예전에는 가짜 백신 프로그램들이 아주 인터넷상에 엄청나게 많았죠

지금도 종종 볼 수 있습니다. 이러한 프로그램들은 대부분의 메이저 백신프로그램들이 Trojan.FakeAV로 탐지하고 있습니다.

치료 방법

치료 방법은 현재 사용하고 있는 백신 프로그램을 이용하여 치료를 시도 해볼 수 있고, 혹여 치료가 불가능하다면 전용 백신을 통하여 치료 할 수 있습니다.

TrojanFakeAv_removal_x86.exe

Bitdefender 에서 만든 전용 백신입니다. 필요하신분은 사용해서 치료 해주세요.

얼마전에 랜섬웨어 툴을 하나 얻어서 소개하고자 한다.

▲ A** 랜섬웨어 툴

- 비트코인을 받을 주소

- 복호화 가격(BTC)

- 복호화할 파일 확장자

이렇게 3가지를 입력한 후 빌드하면 끝인 구조.

생성된 파일.

먼저 백신프로그램을 이용해서 파일을 검사해보았다.

File Name: highcode.exe 

File Size: 598.5 KB
Scan Date: 19:10:35 | 10/01/2016
Detected by: 17/35

MD5: fd90c255aca906d54f795d9d1a43df25
SHA256: 17a5649e35dc7ff6b36453fe3ae42acd9d2dadabc980ec4c7b4d8a4f82033f5e

A-Squared: Clean
Ad-Aware: Gen
Avast: Clean
AVG Free: Could be a Trojan horse Ransom.EDA2.dropper
Avira: Clean
BitDefender: Gen
BullGuard: Gen
Clam Antivirus: Clean
Comodo Internet Security: TrojWare.Win32.TrojanDownloader.Prardrukat.AA@397154239
Dr.Web: Trojan.DownLoader22.55002
ESET NOD32: Trojan.MSIL/Filecoder.Atom
eTrust-Vet: Gen
F-PROT Antivirus: Clean
F-Secure Internet Security: Gen
FortiClient: Clean
G Data: Gen
IKARUS Security: Clean
K7 Ultimate: Trojan ( 004f98bb1 )
Kaspersky Antivirus: HEUR
McAfee: Clean
MS Security Essentials: Clean
NANO Antivirus: Clean
Norman: Gen
Norton Antivirus: Heur.AdvML.B
Panda CommandLine: Clean
Panda Security: Clean
Quick Heal Antivirus: EE
Solo Antivirus: Clean
Sophos: Clean
SUPERAntiSpyware: Clean
Trend Micro Internet Security: Ransom_ATOM.SM0
Twister Antivirus: Backdoor.544A409DC7A7C661
VBA32 Antivirus: Clean
VIPRE: Clean
Zoner AntiVirus: Clean

실 테스트

가상머신에서 테스트 해보기로 했다 jpg만 전부 암호화 시켜보자

오늘의 실험체 windows 기본 사진여러분들

짠... at파일로 전부 암호화 되었다. 원래대로 확장자를 바꿔도 사진이 나오지 않는다.

얼마지나 이런 페이지가 나타났다. 

협박 당하는 중 =_=..

이것으로 랜섬웨어 툴 소개 끝

요즘 사회이슈중 하나인 랜섬웨어를 소개 하고자 합니다.

우선 랜섬웨어가 뭔지 부터 소개하자면..

랜섬웨어란?

▲ 랜섬웨어를 한장으로 표현한 그림

어떻게 작동하는가?

랜섬웨어는 우선 사용자의 실행으로 작동합니다. 사용자가 해당 악성코드를 모르고 받아 실행하면 즉시 랜섬웨어는 사용자의 파일을 암호화 하기 시작합니다. 일단 암호화 된 파일은 복호화를 위한 키가 없으면 복구할 수 없습니다.

여기서 해커는 키를 주는 대가로 금품을 요구하게 됩니다.

보통 자신의 익명성을 지키기 위해 비트코인을 이용하여 금품을 줄것을 요구하고 있습니다.

일부 랜섬웨어는 백신제품이 복구해주는 경우도 있으나 그렇지 않은경우 파일은 영영 복구되지 않습니다.

램섬웨어에 걸렸을 경우 대처법

중요한 파일은 무조건 백업 해두시는게 제일 좋습니다. 하지만 의도치않게 감염되었다면 즉시 컴퓨터를 강제로 종료하고 

복구모드로 부팅하여 파일을 백업해야 합니다. 종료하는 시기가 늦으면 늦을수록 파일이 암호화 되므로 빠르게 종료하는게 좋습니다.

그냥 감염되면 바로 전원을 빼버리세요..

복구가 가능한 랜섬웨어들의 경우 대부분 카스퍼스키에서 복구툴을 제공하고 있습니다. 카스퍼스키 만쉐

자신이 해당하는 랜섬웨어를 체크하고 해당 소프트를 눌러 복구툴을 받아서 실행해주시면 됩니다.

카스퍼스키에서 지원하는 복구가능한 랜섬웨어 목록

돈을 내면 해커들은 파일을 복구해 주는가?

경우에 따라 다릅니다. 초기에는 해커들은 몸값만 지불하면 복호화 키를 보내줬지만 현재 랜섬웨어 피해가 증가하고 수사가 집중되는 상황에서 자신의 익명을 드러내지 않기 위해서 몸값만 챙기는 경우가 있고, 그냥 한탕하고 도망가야지 라고 생각하는 더 악질적인 해커들이 존재해서 파일을 복구받지 못하는경우가 많이 발생하고 있습니다. 혹여 돈을 줄까라고 생각하신다면 정말 정말 신중하게 생각해보시고 보내는것을 추천드립니다. 왠만하면 보내지마세요..

이번에는 .net 으로 구현된 파일을 크래킹 해보겠습니다.

오늘의 주인공 Form1 입니다.

바로 디스어셈블러로 코드 확인

...

너무 쉽군요 krakkey 만 찾으면 끝

엌ㅋㅋ 3초만에 발견

크랙완료

블랙해커들은 자신의 맬웨어가 백신프로그램에 의한 탐지를 방지하기 위해 여러가지 우회 방법을 이용하는데 

그중 한가지 코드 암호화를 소개하겠습니다.

코드 암호화 기법?

코드 암호화 기법은 내부 바이너리 코드를 암호화 해서 백신 프로그램이 해당 파일을 검사할 시 맬웨어 패턴을 검사하는것을 방지하여 백신을 우회할 수 있는 방법입니다.

암호화 기법은 해당 맬웨어 코드를 암호화 해놓고 사용자가 실행하면 메모리에서 해당 코드가 복호화 되어 실행되는 구조를 가지고 있어서

탐지하기 어려우므로 사용자들이 감염되기 쉽습니다.

백신 프로그램은 이를 어떻게 탐지 하는가?

코드가 일단 암호화되면 보통 키 값을 private 하게 주기 때문에 복호화 코드를 모르는 이상 백신 프로그램이 이를 복호화하는것은 거의 불가능합니다. 때문에 백신프로그램은 이를 탐지하기 위해 암호화 프로그램마다 가지고 있는 시그니처 코드를 가지고 탐지를 하게 됩니다.

이런 방식의 탐지는 오진율을 크게 높이게 되는데, 가령 이미 리포트된 암호화 프로그램을 통해 사용자에게 무해한 프로그램을 암호화 하게 되면 백신 프로그램들은 이를 맬웨어로 분류하여 탐지하게 됩니다.

한번 사용해 봅시다.

암호화 프로그램이 블랙해커들에게 얼마나 유용한것인지 한번 제가 테스트 해보겠습니다.

86개의 백신중 34개가 맬웨어로 탐지합니다. 

.. 왜이렇게 못잡는..?

86개의 백신중 25로 줄어들었습니다. 오래된 암호화 프로그램이라 효과가 크게 나타나진 않았지만 효과가 있네요.

오늘은 코드 암호화를 알아봤습니다.

블랙해커들은 지금도 무수히 많은 암호화 프로그램을 내놓고 있고 백신회사들도 빠르게 그에 대응하고 있는 

정말이지 창과 방패의 싸움이라 할 수 있겠네요.

오랜만에 크래킹 연습을 위해 외국사이트에서 CrackMe를 하나 찾았네요..

한번도 시도 안해본 Delphi 로 짜여진 CrackMe 로 오래만에 크랙해보겠습니다.

오늘 크랙할 프로그램입니다. 

많이본 CrackMe와 같은구조로 적절한 코드를 입력하고 아니면 아예 분기를 싹 다 통과로 바꾸던가... 버튼을 누르면 통과되는 프로그램입니다.

테스트로 아무 코드나 넣고 버튼을 눌러보겠습니다.

이렇게 아무렇게나 입력을 하고... Autheenticate 버튼을 누르면...

"아무 일도 일어나지 않았다."

제작자가 틀린코드는 아무것도 뜨지 않도록 해놨네요... 보통 틀렸을때 뜨는 메세지가 있을경우 string 값을 찾아서 쉽게 코드를 찾을 수 있는데 아쉽네요.

그럼 바로 ollydbg를 꺼내들고 크랙해보겠습니다.

▲ ollydbg로 열어본 해당 파일

우선 가장 만만한... string 파일을 뒤져보겠습니다. All referenced text string 을 들어가서 찾아보죠

바.로.발.견

다행히(?) 만만한 string 값 찾기로 바로 코드 오프셋을 알 수 있었습니다.

이제 해당 오프셋에 적절하게 breakpoint를 걸고 실행하면 되겠네요.

문자열 출력을 위해 파라메터를 준비하는 부분으로 예상할 수 있습니다.

이프로그램에서는 아예 틀린 값인경우 이 부분으로 넘어오지도 않습니다.

이 부분을 찾은것만으로는 해결 불가능하니 입력값을 받아서 키 값과 대조하는 부분을 찾아보죠

ㅋㅋ 간단하게 완료..!

한 opcode 씩 실행시켜서 키 값과 입력값이 일치하면 넘겨주는 부분을 찾으면 끝이겠네요

해당 코드를 실행했을 경우 레지스터 결과

EAX 보시면 제가 테스트로 적은 코드값이 들어가 있네요 감이온다 감이...

다음 라인. 54E738 ... Data Stack 을 바로 확인해보니 7DDE7C 라는 값 발견.

이걸 다시 타고 메모리 스택을 확인하니 ...

코드 중간 중간 보이던 유니코드 값들이 합쳐져있는게 보이네요. 아마도 이게 우리가 찾던... ㅎㅎ

쭉쭉 내려서 코드를 실행하다 보면

값의 동일을 확인한후 분기하는 부분입니다. 여기를 손봐주면 이건 끝이네요

크랙완료

그럼 이제 키 값을 제 마음대로 바꿔보겠습니다.

제 블로그로 키값 변경

잘되네요!