랜섬웨어 분석 정보

[악성코드 분석] 네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의

네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.

이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

sts.exe

파일크기

30,208byte

진단명

Ransom/W32.Satan.30208

악성동작

파일 암호화





2-2. 동작 방식

이번 Satan 랜섬웨어 ‘sts.exe’는 실행과 동시에 두 개의 파일을 다운로드하고 실행하여 파일 암호화 및 네트워크 전파  기능을 수행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’가 붙고 확장자가 ‘.satan’으로 변경되며, 파일 암호화가 모두 완료되면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’ 랜섬노트를 띄워 가상화폐를 요구한다.





3. 악성 동작


3-1. 악성 파일 다운로드 및 실행

‘sts.exe’ 파일 실행 시 아래와 같이 특정 IP에서 ‘ms.exe’와 ‘client.exe’ 파일을 다운로드하고 실행시킨다. 각각의 실행 인자로 사용된 ‘-piamsatancryptor’와 ‘-pabcdefghijklmn’는 실행하는데 필요한 암호로 사용된다.


[그림 1] 파일 다운로드 및 실행 코드[그림 1] 파일 다운로드 및 실행 코드



[그림 2] 다운로드 후 실행된 ‘ms.exe’와 ‘client.exe’




3-2. 네트워크 통한 랜섬웨어 전파 시도

랜섬웨어 네트워크 전파를 위해 SMB 프로토콜 취약점 공격 도구인 이터널 블루를 사용하는데 이번 Satan 랜섬웨어에서 ‘ms.exe’ 파일이 그 동작을 수행한다. 아래 그림은 네트워크를 통해 랜섬웨어 전파를 시도하는 모습이다.


[그림 3] 랜섬웨어 네트워크 전파 시도[그림 3] 랜섬웨어 네트워크 전파 시도




3-3. 파일 암호화

다운로드 후 실행된 ‘client.exe’는 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’를 붙이고 확장자를 ‘.satan’으로 변경한다. 아래 암호화 대상 확장자 및 암호화된 파일에 대한 화면이다. 

 

구분

내용

암호화 대상 확장자

.asm, .asp, .aspx, .bak, .bat, .conf, .cpp, .cs, .dbf, .dmp, .doc, .docx, .frm, .inc, .ini, .jsp, .ldf, .mdf, .myd, .myi, .php, .ppt, .py, .rar, .sh, .sql, .txt, .vbs, .xls, .xlsx...

[1] 암호화 대상 확장자 목록


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다. 

 

구분

내용

화이트 리스트 문자열

windows, python2, python3, microsoft games, boot, i386, ST_V22, intel,     dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windowsmail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user

[2] 화이트 리스트 폴더 문자열



파일 암호화를 모두 완료하면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’라는 이름의 랜섬노트 파일을 실행시킨다. 랜섬노트에는 파일 복구를 조건으로 3일 이내 0.3 비트코인 지불을 요구하는 내용이 담겨있다.


[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용





4. 결론

이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루를 통해 네트워크 전파를 시도한다. 네트워크를 통한 추가 감염으로 피해의 규모가 커질 수 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트해야 한다. 또한, 중요한 자료는 별도로 백업해 보관하여야 한다. 
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면




댓글

댓글쓰기

랜섬웨어 분석 정보 관련된 글

관련글 더보기