악성코드 접근을 숨겨주는 포트 루트킷 




1. 개요 


루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SynDrives.sys

파일크기

3,840 byte

진단명

Trojan/W32.KRDDoS.3840

악성동작

포트 루트킷

 




2-2. 유포 경로

SynDrives.sys는 이전에 분석된 악성코드 Trojan/W32.jorik.90624.Z 가 드롭하는 부속 모듈이었다. 주로 앞의 상황과 같이 다른 악성코드의 라이프 사이클 연장을 위한 보조적인 목적으로 악성코드와 함께 유포된다.




2-3. 실행 과정

SynDrives.sys가 숙주 파일에 의해 시스템에 설치되면, SSDT 후킹(Hooking)을 통하여 포트를 은닉할 준비를 해놓고 은닉할 대상의 IP 또는 포트 정보 와 명령을 기다린다. 이후 netstat.exe 등의 프로그램에서 네트워크 연결 정보 조회를 시도하면, 네트워크 연결 정보 테이블에서 악성코드가 지정한 IP 또는 포트에 해당되는 정보를 제외한 나머지 정보를 반환하여 악성코드가 지정한 특정 IP 또는 포트에 대한 정보 은닉을 수행한다.





3. 악성 동작


3-1. SSDT 후킹(Hooking)

SynDrives.sys는 [그림 1]과 같이 네트워크 정보 은닉을 위한 자신의 함수(SynDrives+0x70D)를 ZwDeviceIoControlFile 함수가 호출하는 SSDT의 인덱스(NtDeviceIoControlFile)의 주소에 입력하여 이후 ZwDeviceIoControlFile 호출 시 SynDrives+0x70D가 호출 되도록 한다.


[그림 1] ZwDeviceIoControlFile 후킹[그림 1] ZwDeviceIoControlFile 후킹




3-2. 네트워크 정보 은닉

SynDrives.sys 의 드라이버 객체에 등록된 함수는 숙주 파일로부터 IRP(I/O Request Packet)를 받는다. [그림 2]의 우측에 나타낸 것은 숙주 파일로부터 받은 IRP로 IoControlCode 가 0x222004 인 것을 확인할 수 있다. SynDrives.sys 는 이 값을 기준으로 은닉하고자 하는 데이터가 IP인지 Port인지 결정한다.

[그림 2] IRP 버퍼 데이터[그림 2] IRP 버퍼 데이터



위에서 은닉하고자 하는 데이터의 타입(IP or Port)을 확인한 뒤, IRP 구조체의 SystemBuffer에 있는 값을 확인한다. 이 값은 은닉하고자 하는 데이터(0xdec8c8c8)의 값을 나타낸다.


[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)



SynDrives.sys는 IP 및 Port 정보가 있는 구조체 체인에서 은닉하고자 하는 데이터(0xdec8c8c8)를 찾는다. 그리고 해당 데이터가 속한 구조체(그림 4의 표시된 부분)를 덮어씌운다. 이를 통해 결과적으로 은닉시키고자 하는 정보가 조회되지 않도록 한다.


[그림 4] 조회 된 내용이 있는 버퍼 조작[그림 4] 조회 된 내용이 있는 버퍼 조작





4. 결론


앞서 말한 포트 루트킷은 윈도우 XP의 netstat.exe의 네트워크 상태 조회 방식에 맞춰 제작된 것으로 보이며 윈도우 XP 이후의 OS에서는 공격자의 의도대로 동작하지 않는다. 하지만 다른 OS에서도 정확히 동작을 수행하는 포트 루트킷이 존재하기 때문에 수상한 포트가 열려있지 않더라도 백도어(Backdoor) 및 봇(Bot)으로부터 안전한 상태는 아닐 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 악성코드 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2016년 10월 악성코드 통계




악성코드 Top20

2016년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 51,881건이 탐지되었다. 



순위

진단명

유형

탐지 건수

1

Adware/SmartAddress.A

Adware

51881

2

Trojan/XF.XF.Sic

Trojan

4739

3

Trojan.GenericKD.3478486

Trojan

3114

4

Trojan/W32.Agent.4608.TK

Trojan

3104

5

Virus/W32.Alman.B

Virus

3003

6

Adware/WinSmartSearch.B

Adware

2798

7

Trojan.Agent.BYCJ

Trojan

2253

8

Adware/IPAgent.A

Adware

1344

9

Trojan/W32.Forwarded.Gen

Trojan

1147

10

Abuse-Worry/W32.SpyAgent.1694560

Abuse-Worry

1142

11

Adware/TopsAdOn.B

Adware

1121

12

Trojan.Generic.18009158

Trojan

1100

13

Adware/WindowsTab.Q

Adware

1049

14

Trojan.Generic.18860361

Trojan

985

15

Adware/HomeCare.L

Adware

929

16

Trojan.Generic.16972732

Trojan

927

17

Adware/WindowsInforetrieval.C

Adware

917

18

Adware/WinSmartSearch.A

Adware

803

19

Adware/ISZone.H

Adware

679

20

Adware/InbToolN.B

Adware

627





[] 201610월 악성코드 탐지 Top 20





악성코드 유형 비율

10월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Adware(애드웨어)와 Trojan(트로이목마) 가 각각 62%, 32%로 가장 높은 비중을 차지하였고, Virus(바이러스)가 4%, Worm(웜)과 Backdoor(백도어)가 각각 1%씩으로 그 뒤를 따랐다.







악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Adware(애드웨어) 의 진단이 다소 증가하였다.








주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 전체적으로 전월 대비 증가한 현상을 보이고 있다.







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 




1. 개요 


해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

server.exe

파일크기

90,624 byte

진단명

Trojan/W32.jorik.90624.Z

악성동작

파일 드롭, 다운로드 및 실행, 포트 루트킷, DoS 공격

네트워크

116.***.***.150:8692 - 유포지

v******l.c***s.com:8080 - 공격자 서버

 


2-2. 유포 경로

유포 경로는 정확히 알려진 바가 없지만 개인 서버에서 수집된 것으로 보아, 다른 악성코드에서 추가로 다운로드되어 실행되었을 가능성이 커 보인다.




2-3. 실행 과정

server.exe는 자신의 리소스로부터 SynDrives.sys 바이너리를 가져와 생성하고, 임의의 문자 6자리 파일명으로 자신을 복사한다. 각 파일의 경로는 아래와 같으며, 두 파일 모두 서비스로 생성 및 시작 시킨 뒤 server.exe는 자가 삭제 후 종료된다.


구 분

포트 루트킷

자가 복제

파일명

SynDrives.sys

[Random_06].exe

경로

%SystemRoot%\system32\dirvers\

%SystemRoot%\system32\

서비스명

SynDrives

National Instruments Domain Service

[1] 드롭 파일


자가 복제된 파일인 [random_06].exe가 실질적으로 공격자 서버와 통신하며 공격자의 명령을 수행하며, SynDrives.sys는 공격자 서버와의 통신을 은닉하기 위한 포트 루트킷 기능을 수행한다.



3. 악성 동작


3-1. 타 서버 DoS(Denical of Service) 공격

공격자 서버로부터 명령을 받아 대상이 된 서버에 아래 그림과 같은 의미 없는 요청을 반복하여 대상 서버에 부하를 일으킨다.


[그림 1] 패킷 내용 중 일부[그림 1] 패킷 내용 중 일부


[그림 2] 패킷 전송 스레드 반복 생성[그림 2] 패킷 전송 스레드 반복 생성





SYN Flood 기능 및 다양한 소켓 옵션, 패킷 내용 등이 존재하며, 패킷 내용 대부분이 HTTP GET 요청 메소드인 것으로 미루어 보아 공격 대상은 주로 웹 서버일 것으로 추측된다.




3-2. 파일 다운로드 및 실행

공격자가 특정하는 URL을 통해 아래 그림과 같이 웹 서버에서 파일을 다운로드 받고, 실행시킨다. 이 후 server.exe가 등록했던 서비스들을 삭제한다.

[그림 3] 파일 다운로드 및 실행[그림 3] 파일 다운로드 및 실행




등록했던 2개의 서비스를 모두 제거하는 것으로 보아, 추가로 다운로드 된 모듈 또한 같은 서비스명을 가질 가능성이 높아 보인다.





4. 결론


해당 악성코드는 서비스로 돌아가며, 포트 또한 감춰져 있어 일반 사용자가 감염 사실을 알아차리기 어렵다. 악성코드 감염을 막기 위해선, 주기적으로 바이러스 검사를 해 감염 상태를 확인해야 하며, 운영체제와 응용 소프트웨어들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 내려받지 않아야 한다.


위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융정보 탈취하는 KRBanker 분석 보고서 



1. 개요 


최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

adinstall.exe

파일크기

478,208 byte

진단명

Banker/W32.Agent.478208.B

악성동작

파밍, 금융정보 탈취

네트워크

103.***.***.86 – 공격자 서버

 


2-2. 유포 경로

해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지만, 현재 운영이 되고 있지 않은 국내 사이트 h*****rm.co.kr 에 악성코드가 업로드 되어있다.




2-3. 실행 과정

악성코드는 hosts 파일 등을 수정하지 않고 자동 구성 프록시(PAC)를 통해 사용자를 파밍 사이트로 유도한다. 실행 시 아래와 같이 UAC 경고창이 나타나는 것을 확인할 수 있다. 그 다음 인터넷 브라우저의 시작 페이지를 국내 N 포털 사이트로 변경하고, 특정 페이지 접속 시 파밍 사이트로 유도한다.

[그림] Windows 방화벽 보안 경고[그림] Windows 방화벽 보안 경고





3. 악성 동작


3-1. 자동 실행 등록 및 인증서 유출

해당 악성코드는 PC 를 재부팅 한 후에도 다시 실행되도록 자동 실행 레지스트리에 자신을 등록한다. 자동 실행에 등록할 때의 이름은 아래(“000C29AF13B8”)와 같이 임의의 8 자리 문자를 사용한다.


[그림] 자동 실행 등록[그림] 자동 실행 등록




감염된 사용자의 PC 에 공인인증서가 있다면 이를 탈취하기 위해 임시 폴더 하위에 복사해 놓는다. 복사 된 파일이 포함 된 폴더는 .zip 파일로 압축한다.


[그림] 복사된 인증서와 압축 파일[그림] 복사된 인증서와 압축 파일




3-2. 자동 구성 프록시 (Proxy Auto-Config, PAC)

악성코드가 동작하면 자동 구성 프록시(PAC) 를 설정한다. PAC 란 별도의 프록시 서버 설정 없이 특정 URL 에 대해 자동으로 프록시 서버 설정을 해주는 스크립트다. 아래 그림과 같이 PAC 가 ‘127.0.0.1:1171’ 로 설정되어 있는 것을 확인할 수 있다. 이는 URL 정보에 대해 사용자 PC 의 1171번 포트로 질의하게 된다.

[그림] 자동 구성 프록시 설정[그림] 자동 구성 프록시 설정



1171번 포트에는 해당 악성코드가 대기하고 있다. 이를 통해 사용자가 웹 브라우저 서핑 등으로 URL 을 접속하고자 할 때, 악성코드는 공격자가 지정해 놓은 주소를 반환하여 파밍 사이트로 접속을 유도한다.


[그림] 프록시 포트와 연결[그림] 프록시 포트와 연결





3-3. 시작 페이지 변경 및 파밍 사이트 연결

인터넷 브라우저의 시작 페이지가 N 포털 사이트로 변경된 것을 확인할 수 있다.

[그림] 시작 페이지 변경[그림] 시작 페이지 변경



현재 공격자의 파밍 사이트와 연결이 제대로 이루어지지 않아 금융권 등의 사이트에 접속을 시도하면 페이지에 접속할 수 없다고 나타난다. 하지만 공격자의 서버와 연결이 성공적으로 이루어진다면 실제 금융권 사이트와 유사한 파밍 사이트로 접속 된다.





4. 결론


해당 악성코드와 같은 파밍 악성코드는 공인인증서를 탈취하며, 파밍 사이트 접속을 유도하여 사용자의 보안 카드 정보를 탈취한다. 따라서 접속한 금융, 공공기관 사이트에서 과도하게 금융 정보 입력을 요구한다면 파밍 사이트라 의심하고 입력을 중지해야 한다. 또한 PAC 방식으로 인해 Windows 보안 경고창이 나타나므로 이를 무심코 넘기지 말아야 한다.


만약 앞서 말한 것과 같이 하나라도 의심되는 증상이 있다면 백신 프로그램을 설치하여 정기적으로 악성코드 검사를 해야 한다. 해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 




1. 개요 


2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 


이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

trump.exe (임의의 파일명)

파일크기

155,648 byte

진단명

Ransom/W32.Globe.155648

악성동작

파일 암호화

 


2-2. 유포 경로

Globe 랜섬웨어의 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 여타 랜섬웨어가 주로 웹 사이트의 취약점이나 이메일 첨부 방식을 사용한다는 점에서 Globe 랜섬웨어도 유사한 방식으로 유포 될 수 있으므로 감염에 주의해야 한다.





2-3. 실행 과정

Globe 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 마지막으로 암호화가 완료되면 아래 그림과 같이 영화 ‘더 퍼지’ 포스터의 한 부분으로 바탕화면을 변경한다.

[그림 1] 암호화 완료 후 변경되는 바탕화면[그림 1] 암호화 완료 후 변경되는 바탕화면





3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤 “.purged” 라는 이름의 확장자를 덧붙인다. 그리고 각 폴더에 “How to restore files.hta“ 라는 이름의 HTA 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



아래는 암호화 대상 파일 확장자의 일부를 나타낸다. 


구분

내용

암호화 대상 파일 확장자

.aet .afp .agd1 .agdl .ai .aif .aiff .aim .aip .ais .ait .ak .al .allet .amf .amr .amu .amx .amxx .ans .aoi .ap .ape .api .apj .apk .apnx .arc .arch00 .ari .arj .aro .arr .arw .as .as3 .asa .asc .ascx .ase .asf .ashx .asm .asmx .asp .aspx .asr ..asx ms .avi .avs .awg .azf .azs .azw .azw1 .azw3 .azw4 .b2a .back .backup .backupdb .bad .bak .bank .bar .bay .bc6 .bc7 .bck .bcp .bdb .bdp .bdr .bfa .bgt .bi8 .bib .bic .big .bik .bin .bkf .bkp .bkup .blend .blob .blp .bmc .bmf .bml .bmp .boc .gho .gif .gpg .gray .grey .grf .groups .gry .gthr .gxk .gz .gzig .gzip .h .h3m .h4r .hbk .hbx .hdd .hex .hkdb .hkx .hplg .hpp .hqx .htm .html .htpasswd .hvpl .hwp .ibank .ibd .ibz .ico .icxs .idl .idml .idx .ie5 .ie6 .ie7 .ie8 .ie9 .iff .iif .iiq .img .incpas .indb .indd .indl .indt .ink .inx .ipa .iso .isu .isz .itdb .itl .opf .orf .ost .otg .oth .otp .ots .ott .owl .oxt .p12 .p7b .p7c .pab .pack .pages .pak .paq .pas .pat .pbf .pbk .pbp .pbs .pcd .pct .pcv .pdb .pdc .pdd .pdf .pef .pem .pfx .php .pkb .pkey .pkh .pkpass .pl .plb .plc .pli .plus_muhd .pm .pmd .png .po .pot .potm .potx .ppam .ppd .ppf .ppj .pps .ppsm .ppsx .ppt .pptm .pptx …

[1] 암호화 대상 파일 확장자



3-2. 자동 실행 레지스트리 등록

랜섬웨어가 실행되면 HTML 응용프로그램 관련 도구인 mshta.exe 를 통해 아래의 명령을 실행한다. 이는 랜섬웨어 자신을 자동 실행 레지스트리에 등록하는 것으로, 파일 암호화 도중 사용자가 PC 를 재부팅하여도 암호화를 재개하도록 하기 위한 동작이다.

[그림 3] 자동실행 레지스트리 등록[그림 3] 자동실행 레지스트리 등록



3-3. 기타

해당 랜섬웨어는 윈도우 vssadmin.exe(볼륨 섀도 관리 도구)를 통해 사용자의 PC 에 저장되어 있는 볼륨 섀도 복사본을 제거한다. 이는 사용자가 PC 를 암호화 상태 이전으로 시스템 복구하는 것을 방지하기 위한 동작이다. 그 다음 윈도우 bcdedit.exe(부팅 구성 데이터 저장소 편집기)를 통해 안전모드로 부팅하는 것을 방해한다.

[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경[그림 4] 볼륨 섀도 제거 및 부팅 구성 변경



사용자에게 HTA 형태의 랜섬노트를 보여주기 위해 암호화 완료 후 이를 실행하는 것을 확인할 수 있다. 그리고 랜섬노트를 자동 실행 레지스트리에 등록하여 사용자가 PC에 로그인 할 때마다 랜섬노트가 나타나도록 한다.

[그림 5] 랜섬노트 실행[그림 5] 랜섬노트 실행


[그림 6] 랜섬노트 자동실행 등록[그림 6] 랜섬노트 자동실행 등록



3-4. 결제 안내

Globe 랜섬웨어의 랜섬노트에는 결제를 위한 비트코인 주소가 나와있지 않다. 대신 공격자의 이메일 주소가 존재하며, 이를 통해 결제 절차를 안내한다고 되어있다. 단, 일주일 내에 연락을 해야 복호화가 가능하다며 빠른 시일 내에 연락 할 것을 촉구한다.

[그림 7] 결제 안내[그림 7] 결제 안내





4. 결론


현대 트렌드가 반영된 랜섬웨어로 인한 피해는 주로 해외에서 나타나고 있다. 하지만 한국도 점차 랜섬웨어의 주요 공격 대상국가로 되어가는 추세기 때문에, 안심해서는 안된다. 랜섬웨어로 발생하는 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 출처가 불확실한 메일이나 파일은 열어보는 것을 자제해야 한다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Hades Locker로 돌아온 WildFire 랜섬웨어 




1. 개요 


이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

update.exe

파일크기

510,026 byte

진단명

Ransom/W32.Hades.510026

악성동작

파일 드롭

 

구분

내용

파일명

Ronms.exe

파일크기

72,351,744 byte

진단명

Ransom/W32.Hades.72351744

악성동작

파일 암호화

네트워크

176.***.***.183 – 공격자 서버

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 링크된 URL 을 포함하고 있는 MS 워드 문서가 이메일을 통해 유포 되고 있는 것으로 보인다.





2-3. 실행 과정

update.exe 가 실행되면 암호화 동작을 수행하는 Ronms.exe 파일이 생성된다. Ronms.exe 는 사용자의 PC 의 파일들을 암호화 한 후, 파일의 이름 뒤에 “~HL” 과 다섯 자리 임의의 문자를 덧붙이며, “README_RECOVER_FILES_” 라는 이름을 가진 랜섬노트를 생성한다. 암호화가 완료된 후 아래의 화면과 같이 랜섬노트 화면을 띄운다.

[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 자동 실행 등록 및 볼륨 섀도 복사본 제거

update.exe 는 Ronms.exe 를 드롭한 후 사용자 로그온 시 Ronms.exe 가 실행되도록 자동 실행에 등록한다.


[그림 2] 파일 드롭과 자동 실행 등록[그림 2] 파일 드롭과 자동 실행 등록





사용자가 PC 를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC 의 볼륨 섀도 복사본이 제거된다.

 

WMIC.exe shadowcopy delete /nointeractive

 







3-2. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화 한 뒤, 파일의 이름에 “~HL” + (5자리 임의의 문자) 의 형태의 문자를 덧붙인다. 그리고 파일 암호화 사실과 결제 안내를 위한 랜섬노트 “README_RECOVER_FILES_” 파일들을 생성한다.

[그림 3] 암호화된 파일과 랜섬노트[그림 3] 암호화된 파일과 랜섬노트






암호화 대상이 되는 파일 확장자는 아래와 같다.

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .agdl .ai .aiff .ait .al .aoi .apj .arw .asf .asm .asp .aspx .asx .avi .awg .back .backup .backupdb .bak .bank .bay .bdb .bgt .bik .bin .bkp .blend .bmp .bpw .c .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .dac .dat .db .db_journal .db3 .dbf .dbx .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .design .dgc .dit .djvu .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .edb .eml .eps .erbsql .erf .exf .fdb .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .fpx .fxg .gif .gray .grey .groups .gry .h .hbk .hdd .hpp .html .ibank .ibd .ibz .idx .iif .iiq .incpas .indd .java .jnt .jpe .jpeg .jpg .js .kc2 .kdbx .kdc .key .kpdx .kwm .laccdb .ldf .lit .log .lua .m .m2ts .m3u .m4p .m4v .mapimail .max .mbx .md .mdb .mdc .mdf .mef .mfw .mid .mkv .mlb .mmw .mny .moneywell .mos .mov .mp3 .mp4 .mpeg .mpg .mrw .msg .myd .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pl .plc .plus_muhd .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .ps .psafe3 .psd .pspimage .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qed .r3d .raf .rar .rat .raw .rdb .rm .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sd0 .sda .sdf .sldm .sldx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stm .stw .stx .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .tex .tga .thm .tlg .txt .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .wab .wad .wallet .wav .wb2 .wma .wmv .wpd .wps .x11 .x3f .xis .xla .xlam .xlk .xlm .xlr .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .ycbcra .yuv .zip

[1] 암호화 대상 파일 확장자




3-3. 금전 요구


암호화가 완료되면 해당 랜섬웨어는 랜섬노트를 띄운다. 그리고 그 랜섬노트에 안내하는 페이지로 이동하면 아래와 같이 “HADES LOCKER” 라는 문구의 웹 페이지가 나타난다. 각 개인에게 주어진 해당 웹 페이지에 방문 시 1주일동안은 1 비트코인(약 73만원)을 요구하지만, 그 이후부턴 두 배인 2 비트코인(약 146만원)을 요구한다.

[그림 4] 결제 안내 메인 페이지[그림 4] 결제 안내 메인 페이지




다음과 같이 비트코인 구매 방법을 안내한다.

[그림 5] 비트코인 구입 및 결제 방법 안내[그림 5] 비트코인 구입 및 결제 방법 안내




FAQ 페이지에는 피해 입은 사용자들이 자주 묻는 질문들과 그에 대한 답변이 있어, 사용자가 이를 참고하도록 한다.

[그림 6] FAQ (자주 묻는 질문) 페이지[그림 6] FAQ (자주 묻는 질문) 페이지





Helpdesk 페이지에서는 공격자에게 직접 질문을 할 수 있으며, 이에 대해 24 시간 내에 응답할 것이라고 써있다.

[그림 7] Helpdesk 페이지[그림 7] Helpdesk 페이지






4. 결론


복호화가 가능해진 WildFire 랜섬웨어와는 다르게 변종인 Hades 랜섬웨어는 현재 파일을 복호화 하는 것이 어렵다. 그러므로 사용자는 랜섬웨어에 감염되는 것을 사전에 차단해야 한다. 출처가 불분명한 이메일이나 첨부 파일을 열어 보는 것은 주의해야 하며, 백신을 설치하고 최신 업데이트를 유지해야 한다.

위의 두 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

한국어 지원 Princess 랜섬웨어 분석





1. 개요 


최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

nvsvc32.exe

파일크기

403,968 byte

진단명

Ransom/W32.Princess.403968

악성동작

파일 암호화

네트워크

4*****f*****3**m.onion.link – 공격자 서버

 




2-2. 유포 경로

Princess 랜섬웨어는 RIG 익스플로잇 킷을 통해 유포되는 것으로 보이며, 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시킨다.





2-3. 실행 과정


Princess 랜섬웨어는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 임의의 5자리 문자를 덧붙인다. 또한, 각 폴더에 ‘!_HOW_TO_RESTORE_*****.txt’ 와 ‘!_HOW_TO_RESTORE_*****.html’ 랜섬노트를 생성하며, 암호화가 완료된 후에는 [그림 1]과 같이 랜섬노트 화면을 띄운다.


[그림 1] 암호화 완료 후 나타나는 랜섬노트[그림 1] 암호화 완료 후 나타나는 랜섬노트







3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤, 임의의 5자리의 문자로 확장자를 바꾼다. 그리고 각 폴더에  “!_HOW_TO_RESTORE_*****“ 형태의 랜섬노트를 생성한다.


[그림 2] 암호화된 파일과 랜섬노트[그림 2] 암호화된 파일과 랜섬노트



감염대상이 되는 파일 확장자는 아래와 같다. 


구분

내용

암호화 대상 파일 확장자

.1cd .3ds .3gp .accdb .ai .ape .asp .aspx .bc6 .bc7 .bmp .cdr .cer .cfg .cpp .cr2 .crt .crw .csr .csv .dbf .dbx .dcr .dfx .djvu .doc .docm .docx .dwg .dxf .dxg .eps .html .ibank .indd .jpe .jpeg .jpg .kdc .kwm .max .md .mdb .mdf .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdf .pef .pem .pfx .php .pl .png .pps .ppt .pptm .psd .pst .pub .pwm .py .qbb .qbw .raw .rtf .sql .sqlite .svg .tif .tiff .txt .wallet .wpd .xls .xlsx .xml .cfgx .vcf .sln .pptx .dib .dwt .htm .jiff

[1] 암호화 대상 파일 확장자






3-2. 금액 요구

파일을 암호화 한 뒤 각 폴더에 생성된 “!_HOT_TO_RESTORE_*****” 파일에는 다른 랜섬웨어와 마찬가지로 파일을 암호화 했다는 메시지와 함께 복호화에 필요한 절차를 기술해 놓았다. 랜섬웨어 제작자들은 일반 브라우저가 아닌 토르 브라우저에서 접속 가능한 주소를 제공하고 있으며 해당 페이지에서는 비트코인 지불과 관련된 내용을 안내한다. 해당 주소로 접속할 경우 [그림 3]과 같은 결제 안내 페이지가 나타난다. 총 12개국의 언어 중 하나를 선택할 수 있으며, 이 중 한국어도 포함되어 있다.


[그림 3] 결제 안내 페이지 (1)[그림 3] 결제 안내 페이지 (1)



언어를 선택하면 ID 입력 창과 로그인 버튼이 나타난다. 여기서 입력할 ID 는 랜섬노트에 기록되어 있다.


[그림 4] 결제 안내 페이지 (2)[그림 4] 결제 안내 페이지 (2)



ID 를 입력하면 지불 가격과 비트 코인을 지불해야할 주소를 보여준다. Princess 랜섬웨어는 다른 랜섬웨어들과 비교했을 때 상대적으로 더 큰 금액을 요구한다. 처음엔 3.0 비트코인을 요구하는데 이는 한화로 약 200만원 정도의 금액이며, 만약 그림의 우측 상단에 주어진 시간이 지나면 이 두배 가격인 6.0 비트코인을 요구한다.


[그림 5] 결제 안내 페이지 (3)[그림 5] 결제 안내 페이지 (3)





4. 결론


해당 랜섬웨어는 한국어를 지원하고 있어, 국내 사용자도 랜섬웨어의 감염 대상에 포함된다는 것을 알 수 있다. 이처럼 최근 한국어를 지원하는 랜섬웨어가 계속 발견되고 있어 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 


랜섬웨어의 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 무엇보다 중요한 것은 PC 사용에 있어 기본적인 보안 요소를 지키는 것이다. 출처가 불확실한 메일이나 파일은 열어보는 것을 자제 해야하며, 해당 랜섬웨어가 웹 사이트의 취약점을 이용한다는 점에서 불분명한 사이트에 접속하는 것 또한 조심해야 한다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 8] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능










저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

백도어 악성코드 분석





1. 개요 


백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 

본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

1.exe

파일크기

135,185 byte

진단명

Backdoor/W32.Farfli.135185

악성동작

백도어

네트워크

http://www.h*****r.com - 유포지

49.**.*.84:81 - 공격자 서버

103.*.**.86:80 - 공격자 서버





2-2. 유포 경로

해당 악성코드는 중국의 중고차 매매 사이트 http://www.h*****r.com/1.exe 를 통하여 유포되었다. 이는 해당 악성코드가 또 다른 악성코드나, Exploit Kit 등을 통해 다운로드 될 수 있음을 보인다. 해당 페이지는 현재 접속이 불가능하다.





2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 MS 워드 파일 아이콘으로 위장하고 있으며 파일 실행 시 자신을 %ProgramFiles%\Google\google.com으로 복사하고, 서비스 명이 “Cnykvi Ugrdoalw Jugrdoal Xjug” 인 서비스를 생성한 뒤 자가 삭제된다. 이 후 악성 행위는 모두 google.com 프로세스에서 이루어진다.


[그림 1] 워드 파일 아이콘으로 위장한 악성코드[그림 1] 워드 파일 아이콘으로 위장한 악성코드







3. 악성 동작


3-1. 실행 파일 다운로드

악성코드는 추가 모듈이나 실행 파일을 공격자가 지정한 웹 서버에서 다운로드 후, 감염 PC의 특정한 경로 및 파일명으로 생성한다.


[그림 2] 추가 파일 다운로드[그림 2] 추가 파일 다운로드





3-2. PC 정보 수집

사용자 PC의 메모리 사용량과 OS 버전 정보, 동작중인 백신 프로세스 등 컴퓨터 정보를 수집한다.


[그림 3] 백신 프로세스 조회 대상[그림 3] 백신 프로세스 조회 대상





3-3. MBR 파괴 및 시스템 종료

공격자의 명령에 따라 MBR (0~512Byte) 영역을 임의의 데이터로 덮어 씌운다. 이후 시스템을 재부팅 시키지만 비정상적인 MBR로 인해 부팅이 정상적으로 이루어지지 않는다.


[그림 4] MBR 파괴 코드 부분[그림 4] MBR 파괴 코드 부분


[그림 5] 시스템 재부팅 명령[그림 5] 시스템 재부팅 명령







4. 결론


이와 같은 백도어 악성코드들은 해당 악성코드 하나만 보았을 때는 피해가 크지 않지만, 감염 된 후 공격자에 의해 추가로 다운로드 될 수 있는 악성코드 및 모듈로 피해가 확대될 수 있어 사용자의 주의가 필요하다. 


백도어 악성코드 피해를 막기 위해선 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석





1. 개요 


일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

encasvc.exe

파일크기

456,192 byte

진단명

Ransom/W32.Agent.456192

악성동작

파일 암호화

네트워크

31.***.***.116

 




2-2. 실행 과정

랜섬웨어는 실행되면 공격자가 지정한 경로에 있는 모든 파일을 찾는다. 다른 랜섬웨어와는 다르게 특정 확장자를 검색하는 것이 아니라, 해당 경로의 모든 파일을 암호화 한다. 암호화 된 파일은 파일 이름에 “_nullbyte” 라는 문자가 뒤에 덧붙여진다. 암호화가 완료된 뒤 화면 잠금 기능으로 랜섬노트를 출력한다.





3. 악성 동작


3-1. 파일 암호화

랜섬웨어는 지정된 경로에 있는 모든 파일을 암호화한다. 지정된 경로는 사용자 계정 하위에 위치하고 있는 기본 폴더들로 다운로드, 바탕화면, 문서 등 아래의 표와 같다. 암호화된 파일은 기존 이름 뒤에 “_nullbyte” 라는 문자가 덧붙여진다.


 %USERPROFILE%\Documents

 %USERPROFILE%\Favorites

 %USERPROFILE%\Music

 %USERPROFILE%\Contacts

 %USERPROFILE%\Downloads

 %USERPROFILE%\Pictures

 %USERPROFILE%\Videos

 %USERPROFILE%\Desktop

[표 1] 암호화 대상 경로


[그림 1] 암호화된 파일[그림 1] 암호화된 파일





3-2. 사용자 조작 방해

암호화가 완료되면 랜섬웨어는 아래와 같은 랜섬노트를 출력한다. 랜섬노트는 화면 잠금 방식으로 출력되기 때문에 사용자 PC 화면에 계속 나타나 있다. 랜섬노트에는 사용자에게 0.1 비트코인을 요구하고 있으며 결제를 위한 QR 코드와 주소를 안내하고 있다.

[그림 2] 화면 잠금 방식의 랜섬노트[그림 2] 화면 잠금 방식의 랜섬노트



사용자는 화면 잠금 방식의 랜섬노트때문에 PC 사용의 제약을 받게 된다. 또한, 명령 프롬프트(CMD.exe)와 작업 관리자(TASKMGR.exe)를 사용하지 못하도록 실행하려는 해당 프로세스를 계속해서 종료한다. 이는 화면 잠금 기능을 사용자가 강제로 종료시키는 것을 방지하기 위한 것으로 보인다.

[그림 3] 사용자 조작 방해[그림 3] 사용자 조작 방해





4. 결론


랜섬웨어는 그 종류나 변형도에 따라 기존과는 다르게 행동하는 경우가 종종 있다. 해당 랜섬웨어는 문서 관련 파일 뿐만 아니라 지정된 경로의 모든 파일을 암호화 한다. 이는 중요 문서뿐만 아니라, 모든 파일에 대해 백업이 필요하다는 것을 알려 준다. 랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이나 의심스러운 파일의 실행은 자제 하여야 한다. 무엇보다 백신 제품을 설치하고 최신 업데이트를 유지하는 것이 중요 하다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면










저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

DLL 파일로 돌아온 Locky 랜섬웨어 주의



1. 개요


지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

locky.js (임의의 파일명)

파일크기

88,107 byte

진단명

Script/W32.Locky

악성동작

랜섬웨어 다운로더

네트워크

213.***.**.169 – 랜섬웨어 다운로드

 

구분

내용

파일명

xpJcmRk8Ng.dll (임의의 파일명)

파일크기

135,168 byte

진단명

Ransom/W32.Locky.135168.C

악성동작

파일 암호화

네트워크

138.***.***.196 – C&C

 



2-2. 실행 과정

악성 스크립트 파일은 랜섬웨어 DLL 파일을 다운로드 한다. 다운로드가 완료되면 윈도우 기본 프로그램인 rundll32.exe 를 통해 랜섬웨어 DLL 파일을 실행한다. 실행된 랜섬웨어는 사용자의 파일을 암호화하며, 암호화가 완료된 후 다음과 같은 그림으로 바탕화면을 변경하여 감염 사실을 알린다.

[그림 1] 감염된 사용자 PC 화면[그림 1] 감염된 사용자 PC 화면





3. 악성 동작


3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 DLL 형태의 랜섬웨어 파일을 다운로드 한다. 이전과는 다르게 랜섬웨어의 인코딩된 데이터를 다운로드 하며, 다운로드가 완료된 후 실행 가능하도록 디코딩한다.

[그림 2] 인코딩 된 랜섬웨어 다운로드[그림 2] 인코딩 된 랜섬웨어 다운로드



그리고 rundll32.exe 를 통해 랜섬웨어를 실행한다.

[그림 3] rundll32.exe 를 통한 랜섬웨어 실행[그림 3] rundll32.exe 를 통한 랜섬웨어 실행





3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화 

실행된 랜섬웨어는 볼륨 섀도 복사본을 삭제한다. 볼륨 섀도 복사본이란 특정한 시각의 파일이나 폴더 등을 포함한 스냅샷을 저장해둔 것으로, 사용자가 감염 이전 시점으로 복원하는 것을 방지하고자 이를 삭제하는 것으로 보인다.

[그림 4] 섀도 복사본 삭제[그림 4] 섀도 복사본 삭제



볼륨 섀도 복사본을 삭제한 뒤 사용자의 PC 에서 지정한 확장자 파일을 찾은 뒤 암호화 한다. 암호화된 파일의 확장자는 이전 버전에서와 같이 “.zepto” 로 변경되며, 각 폴더에는” _HELP_instrictions.html” 이라는 랜섬노트가 생성된다. 

[그림 5] 암호화된 파일과 랜섬노트[그림 5] 암호화된 파일과 랜섬노트



암호화 대상이 되는 파일의 확장자는 아래 표와 같으며, 국내에서 주로 사용하고 있는 한글문서 확장자인 “.hwp” 도 목록에 있는 것을 확인할 수 있다.

구분

내용

암호화 대상 파일 확장자

.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

[표 1] 암호화 대상 파일 확장자



랜섬노트는 아래와 같이 사용자의 파일이 암호화 되었음을 알려주며, 복호화 및 결제 페이지로 접속하는 방법을 안내한다.

[그림 6] 랜섬노트 내용[그림 6] 랜섬노트 내용



상기의 방법으로 결제 안내 페이지에 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 2.00비트코인을 요구하고 있다.

[그림 7] 결제 안내 페이지[그림 7] 결제 안내 페이지





4. 결론


Locky 랜섬웨어는 지속적으로 변종이 나타나고 있다. 랜섬웨어 피해를 최소화하기 위해선 명확하지 않은 파일을 다운로드하지말고, 파일 실행에 주의하여야 한다. 또한, 만일의 사태를 대비하여 중요 파일을 상시 백업을 해놓아야 피해를 최소화 할 수 있다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신버전으로 업데이트 하는 것이 중요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect