Jigsaw (ver .korea) Ransomware 분석 보고서 



1. 개요 


최근 유창한 한국어로 작성 되어 국내 사용자들을 겨냥한 듯한 ‘Jigsaw’ 랜섬웨어가 발견 되었다.


‘Jigsaw’ 랜섬웨어는 국내에서도 공포 영화로 잘 알려진 ‘쏘우’ 에 나온 가면을 사용자에게 보여주고 일정 시간이 지나면 차례로 파일을 삭제하여 피해자가 조바심을 느끼게 하여 복호화 비용을 지불하도록 만드는 랜섬웨어이다.


특히, ‘Jigsaw’ 랜섬웨어 감염 시 나타나는 랜섬노트가 한국인이 작성했을 것으로 추측될 정도의 문장으로 구성되어 있다는 특징이 있다.


다만, 현재 분석 시점에서는 해당 랜섬웨어가 암호화동작을 수행하지 않고 있어, 제작이 진행중이거나 임시 테스트용으로 보여지며 국내를 대상으로 잠재적인 위협요소를 지니고 있어 각별한 주의가 필요하다.


이번 보고서에서는 한국어로 복호화 비용을 안내하는 ‘Jigsaw’ 랜섬웨어에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

WindowApplication.exe

파일크기

256,512 byte

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 경로는 밝혀지지 않았지만 해당 랜섬웨어는 암호화 동작을 수행하지 않고 있어 랜섬웨어 제작자가 임의의 테스트용으로 만들었을 것으로 추정되고 있다.



2-3. 실행 과정

해당 ‘Jigsaw’ 랜섬웨어가 실행되면 실제 암호화 동작을 수행하지는 않으며, 사용자 바탕화면에 아래 [그림 1] 와 같이 팝업 창만 띄워 사용자에게 랜섬웨어에 감염된 것처럼 보여준다.

[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>


[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>






3. 악성 동작


3-1. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 숙주파일과 동일하지만 파일명이 바뀐 ‘firefox.exe’ 를 실행하도록 한다. 


[그림 3] 랜섬웨어 실행 레지스트리 값 추가[그림 3] 랜섬웨어 실행 레지스트리 값 추가





3-2. 파일 암호화

해당 ‘Jigsaw’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES 알고리즘을 사용하여 암호화 한 뒤, “.korea” 라는 확장자를 덧붙인다. 하지만 현재 분석 시점에서는 실제 암호화를 진행하지 않는다.

 [그림 4] AES 암호화[그림 4] AES 암호화



코드 내에 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

.jpg .jpeg .raw .tif .gif .png .bmp .3dm .max .accdb .db .dbf .mdb .pdb .sql .dwg .dxf

.c .cpp .cs .h .php .asp .rb .java .jar .class .py .js .aaf .aep .aepx .plb .prel .prproj .aet

.ppj .psd .indd .indl .indt .indb .inx .idml .pmd .xqx .xqx .ai .eps .ps .svg .swf .fla .as3

.as .txt .doc .dot .docx .docm .dotx .dotm .docb .rtf .wpd .wps .msg .pdf .xls .xlt .xlm

.xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm

.ppam .ppsx .ppsm .sldx .sldm .wav .mp3 .aif .iff .m3u .m4u .mid .mpa .wma .ra .avi

.mov .mp4 .3gp .mpeg .3g2 .asf .asx .flv .mpg .wmv .vob .m3u8 .mkv .dat .csv .efx

.sdf .vcf .xml .ses .rar .zip .7zip


[표 1] 암호화 대상 파일 확장자




3-3. 금전 요구

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 일반적인 ‘Jigsaw’ 랜섬웨어와 거의 유사한 팝업창을 띄워 사용자에게 비트코인 지불방법에 대해서 안내한다. 안내문구는 한국인이 개입하였을 것으로 추측될 만큼 유창한 한국어로 작성되어 있다.  

[그림5] 한글 랜섬노트[그림5] 한글 랜섬노트



실제 암호화 동작이 이루어지고 있지는 않지만 암호화 된 파일이 존재할 경우 이를 인질로 삼아 제한시간 내에 비트코인을 지불하지 않을 시, 파일 삭제로 위협 한다는 것을 확인 할 수 있다.


[그림6] 파일 삭제[그림6] 파일 삭제





4. 결론


이번 보고서에서 알아 본 ‘Jigsaw’ 랜섬웨어는 실제 암호화 동작이 이루어지고 있지 않기 때문에 피해 사례가 발생하지는 않았지만 국내 사용자를 대상으로 만들어진 만큼 새로운 유형에 접목시켜 유포 시 피해가 발생할 수 있어 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.













저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

KONNI Malware 분석 




1. 개요 


최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 


이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

How can North Korean hydrogen bomb wipe out Manhattan.scr

파일크기

266,752 byte

진단명

Trojan/W32.Konni.266752

악성동작

드롭퍼











구분

내용

파일명

winnit.exe

파일크기

104,960 byte

진단명

Trojan-Downloader/W32.Konni.104960

악성동작

악성 DLL 로딩 / 백도어











구분

내용

파일명

conhote.dll

파일크기

40,960 byte

진단명

Trojan/W32.Konni.40960

악성동작

정보탈취













2-2. 유포 경로

해당 악성코드는 사용자가 첨부된 이메일 파일을 확인 시, 실행 되도록 유도하여 유포되고 있다.



2-3. 실행 과정

이메일에 첨부되어 있는 'Word'문서로 위장한 '.scr'파일을 사용자가 문서파일로 인식하여 열람할 경우, 시작 프로그램 폴더에 LNK파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 'winnit' 폴더를 만든다. 그 후 'conhote.dll' 파일과 'winnit.exe' 파일을 추가로 생성하여 실행 한다.


[그림 1] 동작 흐름도[그림 1] 동작 흐름도






[그림 2] 첨부 된 파일 열람[그림 2] 첨부 된 파일 열람





3. 숙주 파일 악성 동작


3-1. 파일 드롭

메일에 첨부 된 '.scr'파일은 추가적인 파일 드롭을 하기 위해 'Word'문서 아이콘으로 위장하고 있다. 이는 사용자가 실제 문서 파일을 열람한 것처럼 유도하여 추가적인 악성파일 동작을 수행하기 위한 것으로 확인 된다.


[그림 3] Word아이콘으로 위장한 파일[그림 3] Word아이콘으로 위장한 파일





[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭



3-2. 시작 프로그램 등록

해당 숙주파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %TEMP%\..\ ‘winnit’ 폴더에 생성된 ‘winnit.exe’ 파일을 가리키고 있다.


[그림 5] 생성 된 LNK 파일[그림 5] 생성 된 LNK 파일




3-3. 문서 파일 위장

해당 숙주 파일은 실행 된 경로에 동일한 이름의 ‘.doc’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부 된 파일이 실제 문서 파일을 실행 시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인 된다. 원본 숙주 파일은 cmd.exe 를 이용하여 삭제 된다. 


[그림 6] 문서 파일 위장[그림 6] 문서 파일 위장





4. 드롭 된 파일 악성 동작


4-1. 정보 전송 및 다운로드

숙주파일에서 드롭 된 실행파일에서는 아래와 같이 특정 파일의 데이터를 읽어 원하는 정보를 수집하여 전송한다.


[그림 7] 특정 서버로 정보 전송[그림 7] 특정 서버로 정보 전송



[그림 8] 데이터를 수집하여 전송하는 부분[그림 8] 데이터를 수집하여 전송하는 부분




또한 추가로 파일을 다운로드하여 추가적인 악성 동작을 수행 할 수 있도록 한다.


[그림 9] 특정 파일 추가 다운로드[그림 9] 특정 파일 추가 다운로드





4-2. 악성 DLL 로딩

숙주파일에서 같이 드롭 된 악성 DLL파일을 로드 하여 추가적인 악성 동작을 수행하도록 한다. 


[그림 10] 악성 DLL 로드[그림 10] 악성 DLL 로드





4-3. 마우스 입력 정보 탈취

공격자는 앞서 드롭 된 실행파일에서 만들어 놓은 ‘Babylone’ 폴더 내부에 “screentmp.tmp” 생성하고 마우스 입력 이벤트를 가로채는 함수를 이용하여 사용자의 마우스 입력 정보를 기록하여 가로챌 수 있다. 


[그림 11] 마우스 이벤트 후킹[그림 11] 마우스 이벤트 후킹


[그림 12] 로그 저장[그림 12] 로그 저장





5. 결론

이번 보고서에서 분석한 악성 파일은 사회공학기법을 이용해 사용자가 관심을 가질만한 주제로 호기심을 자극하여 악성파일을 실행하도록 유도하고 있다. ‘KONNI’ 악성파일은 실행하였을 때, 실제 문서파일도 보여주기 때문에 일반 사용자가 이를 알아차리기가 쉽지 않아 주의가 필요하다.

백도어의 경우 공격자에 의해 또 다른 추가적인 악성파일을 다운로드 할 수 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 출처가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Reyptson Ransomware 감염 주의


1. 개요 


PC를 이용하는 사용자들의 중요 데이터를 인질로 삼아 이를 복호화하기 위한 대가로 금전을 요구하는 랜섬웨어의 유포 방식이 나날이 발전하고 있다.


랜섬웨어 제작자는 보다 많은 감염을 발생시키기 위해 여러가지 방법을 이용하는데 최근까지 발견된 랜섬웨어들의 유포 방식을 보면 사회공학기법을 이용하거나, 윈도우 취약점을 악용하여 많은 피해가 발생하였다.


이번에 발견된 ‘Reyptson’ 랜섬웨어 같은 경우 악성코드내에 사용자 이메일 계정에 등록되어 있는 주소목록 대상으로 스팸메일을 전송하는 것으로 확인되어 주의가 필요하다.


이번 보고서에서는 ‘Reyptson’ 랜섬웨어는 어떠한 동작을 수행하는지 알아보고자 한다.









2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Reyptson.exe

파일크기

342,528 byte

악성동작

파일 암호화, 금전 요구


 


 


2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어에 감염 시, 사용자 PC에 설치되어 있는 Thunderbird 이메일 계정 주소 목록을 대상으로 스팸메일을 유포하여 2차 피해를 줄 수 있을 것으로 확인 된다.


2-3. 실행 과정

‘Reyptson’ 랜섬웨어가 실행되면 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여 해당 이메일 프로그램이 설치되어 있다면 감염된 PC의 이메일 자격 증명 및 연락처 목록을 검색하여 스팸 메일을 유포한다. 


그 후 다른 랜섬웨어와 동일하게 대상 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 대상 폴더마다 랜섬노트가 생성된다.


[그림 1] Thunderbird 이메일 프로그램[그림 1] Thunderbird 이메일 프로그램


 



3. 악성 동작


3-1. 이메일 프로그램 접근

‘Reyptson’ 랜섬웨어는 사용자 PC에 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여, 해당 프로그램이 설치되어 있다면 이메일 주소 목록에 접근한다. 


[그림 2] 이메일 접근 부분[그림 2] 이메일 접근 부분






3-2. 스팸 메일 전송

이메일 주소 목록에 접근 하였다면 아래 그림과 같이 스팸 메일을 생성하여 또 다른 피해자가 발생하도록 유도하고 있다.


[그림 3] 스팸 메일 생성[그림 3] 스팸 메일 생성




3-3. 파일 암호화

그리고 ‘Reyptson’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-128 알고리즘을 사용하여 암호화 한 뒤, “.Reyptson” 라는 확장자를 덧붙인다.


  [그림 4] AES-128 암호화[그림 4] AES-128 암호화


[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

".doc",".dot",".wbk",".docx",".docm",".dotx",".dotm",".docb",".xls",".xlt",".xlm",".xlsx",

".xlsm", ".xltx",".xltm",".xlsb",".xla",".xlam",".xll",".xlw",".ppt",".pot",".pps",".pptx",

".pptm",".potx",".potm",".ppam",".ppsx",".ppsm",".sldx",".sldm",".accdb",".db",".accde",

".accdt",".accdr",".pdf",".ani",".anim",".apng",".art",".bmp",".bpg",".bsave",".cal",".cin",

".cpc",".cpt",".dds",".dpx",".ecw",".exr",".fits",".flic",".flif",".fpx",".gif",".hdri",".hevc",

".icer",".icns",".ico",".cur",".ics",".ilbm",".jbig",".jbig2",".jng",".jpeg",".jpeg"".2000",

".jpeg-ls",".jpeg",".xr",".kra",".mng",".miff",".nrrd",".ora",".pam",".pbm",".pgm",".ppm",

".pnm",".pcx",".pgf",".pictor",".png",".psd",".psb",".psp",".qtvr",".ras",".rbe",".jpeg-hdr",

".logluv",".tiff",".sgi",".tga",".tiff",".tiff",".ufo",".ufp",".wbmp",".webp",".xbm",".xcf",

".xpm",".xwd",".cpp",".h",".cs",".sln",".idb",".txt",".dat"

[1] 암호화 대상 파일 확장자


해당 랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다.


[그림 6] 예외 대상 경로[그림 6] 예외 대상 경로



3-4. 금전 요구

암호화가 진행되면서 대상 폴더에는 “Como_Recuperar_Tus_Ficheros.txt” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.


[그림7] 영문 랜섬노트[그림7] 영문 랜섬노트







4. 결론

이번 보고서에서 알아 본 ‘Reyptson’ 랜섬웨어는 아직 국내에서 피해 사례가 발생하지 않았지만, 올해 랜섬웨어라는 악성코드로 인하여 피해 사례가 전세계적으로 급증하고 있는만큼 새로운 형태의 랜섬웨어 대한 경계심을 가지고 항상 주의 할 필요가 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect