탐지 일자 : 2017.01.13 금요일
탐지 내용 : Win32/Filecoder.Cerber 트로잔
탐지 경로 : 서버에서 Filezilla client 를 다운로드
> 이 경로를 찾느라 하루종일 해맷다....후........
C:\Users\Administrator\AppData\Local\Temp\2
운영 메모리 >> C:\Users\Administrator\AppData\Local\Temp\2\V17U7.exe Win32/Kryptik.FMWT 트로잔의 변형 치료할 수 없음
랜섬웨어 탐지 경로
1. 백신에서 탐지하여 알게됨
일자 : 2017-01-13 금요일 14:13:00
경로 : 운영 메모리 >> C:\Users\Administrator\AppData\Local\Temp\2\V17U7.exe
탐지 명 : Win32/Kryptik.FMWT 트로잔의 변형
결과 : 치료할 수 없음
> V17U7.exe 파일이 아마도 암호화를 시켜주는 실행 파일 인 것 같다.
추가 탐지
일자 : 2017-01-16 월요일 14:39:58
경로 : D:\GMKT_Web_Root\GMKT.INC.InnerService.PC.Service\bin\_HELP_DECRYPT_I23Q_.hta
탐지 명 : Win32/Filecoder.Cerber 트로잔
결과 : 치료할 수 없음
> _HELP_DECRYPT_I23Q_.hta 전형적인 cerber 랜섬웨어의 파일
보통 _HELP_DECRYPT_[random]_.hta 또는 _HELP_DECRYPT_[random]_.jpg 파일명으로 나타난다.
2. 경로 추적
랜섬웨어 감염의 경우 보통 공유폴더의 everyone 권한으로 인한 확산이 주요원인이다.
해당서버의 배포시기와 비슷하여 서버와 연관된 서버들을 모두 확인하였다.
역시나 everyone 권한이 있었으나, 연관된 서버들에게서 랜섬웨어는 발견되지 않았다.
공유폴더에 의한 것은 아닌것으로 결론
3. 감염된 서버에서 백신 full 스캔
스캔을 진행해보니 탐지된 경로 뿐만 아니라 굉장히 많은 수의 _HELP_DECRYPT_I23Q_.hta 파일이 확인되었다.
백신에서 실시간감시로 잡지 못하였다니....
경로로 들어가보니 주로 bin폴더안의 파일들이 .9092 확장자로 모두 변조되어 있었고
아래와 같은 jpg 파일이 하나씩 상단에 위치해 있었다.
랜섬웨어는 이미 변조된 파일을 복구할 수 없다.........
일단 변조된 파일은 모두 지웠다.
4. 탐지된 파일 확인
해당 경로를 찾아들어가 보았다.
V17U7.exe 파일은 찾을수 없었고 2 폴더 또한 없었으나
AU_exe 파일이라는 의심스러운 파일 확인 탐지된 시간이랑도 비슷하다.
5. 이벤트 로그 확인
탐지된 시간 경쯤 뭔가의 에러로그가 많았다.
사용자를 보니 서버팀이었다.
7. 제어판 설치된 프로그램 확인
수상하다고 생각되는 파일이었는데 파일질라와 설치시간이 동일했다.
서버팀에 물어보니 인터넷 공식사이트를 통해 다운받았다고는 하나 (파일질라 클라이언트) 파일질라는 프리웨어이다
Au_.exe 파일도 확인해보니 바이러스도 의심되고
아무래도 13일에 금요일에 뭔가 악의적으로 파일질라 서버가 해킹되어 도용되었거나 하지 않았을까...
8. 재현하기
vm에 동일한 윈도우서버를 올려놓고 파일질라를 직접다운로드 하여 재현해보았지만
실패............ 그냥 파일질라다 일시적으로 그곳으로 배포된건지 뭔지 재현하고싶었는데 재현이 되지 않았다.
결국 모든셋팅 다시하여 새로운 서버로 교체후에 기존서버는 회수되었다.
파일질라.........................
'Security > Issue' 카테고리의 다른 글
| [ 보안이슈 2017.06.28 ] Petya 랜섬웨어 발생 (0) | 2017.07.03 |
|---|