잉카인터넷, 2년 연속 ‘인터넷에코어워드 보안표준화분야 대상’ 수상




정보보안 전문기업 잉카인터넷(대표 주영흠)의 온라인 통합보안 서비스 nProtect Online Security(이하 온라인 시큐리티)가 ‘인터넷에코어워드 2017 보안표준화분야 대상을 받았다. 2016년 보안표준화분야 대상에 이어 2년 연속 수상의 영광을 안게 된 것이다.


인터넷에코어워드는 아이어워드위원회가 주최하고 한국인터넷전문가협회가 주관하며 미래창조과학부가 후원하는 시상식으로, 사용자 편의성을 제고한 인터넷 기술과 인터넷을 통한 사회공헌 활동 등으로 인터넷 생태계 발전에 기여한 개인과 기업, 단체를 선정한다. 


올해는 7개 부문, 36개 분야에 걸쳐 총 90여 개의 인터넷서비스가 후보로 참가하여 열띤 경쟁을 펼쳤다. 대상 평가는 3만 5천여 인터넷전문가협회 회원 중 인터넷전문가로 구성된 평가위원단의 공정한 심사로 진행되며 예선 및 본선, 결선 평가를 거쳐 수상자를 선정한다. 


잉카인터넷은 온라인 통합 보안 서비스 온라인 시큐리티가 웹 표준 환경을 준수하고 인터넷 환경에 기여한 점을 강조하여 평가 지표인 합목적성, 독창성, 경제성, 확장성, 산업 기여도에서 우수한 성적을 받아 최종 대상 수상자로 결정되었다.


키보드 보안, 악성코드 탐지, 네트워크 보호를 비롯한 온라인 통합 보안 기능과 ActiveX와 플러그인 없이 최초 1회 설치만으로 최신 웹 브라우저 Edge 외 Internet Explorer, Chrome, Firefox, Opera, QQ 등 다양한 웹 브라우저에서 실행이 가능해 그 공로를 인정받았다.

 

특히, 기존 웹 브라우저별 플러그인 설치 방식에서 벗어나 사용자가 직접 다운로드하는 통합 설치 방식을 사용하고 있어 과거 전자상거래 및 전자정부 서비스 사용 시 웹브라우저 별로 다수의 ActiveX와 플러그인을 설치하고 연간 약 15회 이상의 보안업데이트를 해야 했던 불편함을 해결하고 편리성을 높인데 큰 점수를 받았다.


또한, 키보드를 통해 입력되는 모든 정보를 실시간으로 암호화하여 사용자 개인정보를 안전하게 보호할 뿐만 아니라, 악성코드 탐지, 네트워크 보호, 안티 피싱/파밍, 메모리 해킹 방어 등 보안 기능을 제공해 웹 서비스 이용 시 발생할 수 있는 해킹 사고를 막아 안전한 인터넷 환경 조성에 기여하고 있다.


보안표준화분야 대상을 받은 잉카인터넷 보안 서비스 nProtect Online Security의 자세한 정보는 잉카인터넷 제품소개 웹사이트(nProtect.com)에서 확인할 수 있다.



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Trick-Crypt ransomware’ 감염 주의



1. 개요 


현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다.


IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다.


암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다.


이번 보고서에서 다루는 ‘Trick-Crypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 모든 확장자를 암호화하는 랜섬웨어이다.








2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

임의의 파일명.JS

파일크기

7,415 byte

진단명

Script/W32.Trick-Crypt-Downloader

악성동작

다운로더

 

구분

내용

파일명

임의의 파일명.exe [Random9자리]

파일크기

241,664 byte

진단명

Ransom/W32.Trick-Crypt.241664

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 JS파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

첨부된 JS파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.


[그림 1] 첨부된 JS파일[그림 1] 첨부된 JS파일

 



3. 악성 동작


3-1. 랜섬웨어 다운로드

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE 형태의 랜섬웨어 파일을 다운로드 한다. 다운로드가 완료된 파일의 이름은 random한 이름으로 생성된다.


[그림 2] 랜섬웨어 다운로드[그림 2] 랜섬웨어 다운로드





3-2. 파일 암호화

해당 랜섬웨어는 JS파일을 통하여 다운로드 된 실행파일을 다시 랜덤한 9자리의 파일명으로 바꾸어 암호화 동작을 수행한다. 암호화 동작이 완료되면 바탕화면과 암호화 대상 폴더 마다 .html형식의 랜섬노트가 생성된 것을 확인할 수 있다.


[그림3] 암호화 된 파일과 랜섬노트[그림3] 암호화 된 파일과 랜섬노트



사용자 PC를 탐색하며 모든 확장자 파일을 대상으로 암호화 한 뒤. ‘ .crypt ’ 라는 확장자를 덧붙인다. 

 

구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자

[1] 암호화 대상 파일 확장자




3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 


[그림4] 쉐도우 파일 삭제[그림4] 쉐도우 파일 삭제




3-4. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Trick-Crypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 지속적으로 유사한 변종이 나타나고 있다. 랜섬웨어는 실행파일 형식으로만 유포를 하는게 아니기 때문에 사용자가 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

잉카인터넷, KISA 신규 취약점 신고포상제 공동운영


잉카인터넷 대표이사 주영흠(주) 잉카인터넷 대표이사 주영흠


(주) 잉카인터넷(대표 주영흠, nProtect.com)이 2017년 7월 11일부터 한국인터넷진흥원(원장 백기승, KISA)과 ‘S/W 신규 취약점 신고포상제(이하 신고포상제)'를 공동 운영한다.


신고포상제는 이른바 ‘버그 바운티’로 불리며 소프트웨어의 버그 및 취약점을 발견한 자에게 포상금을 지급하는 제도다. 해킹사고에 악용될 수 있는 취약점을 사전에 조치하여 안전한 사이버 환경을 조성하기 위해 마련되었으며 구글, 페이스북, 마이크로소프트, 애플 등 글로벌 기업에서 보안 고도화를 위해 시행 중이다.


국내에서도 2012년부터 KISA가 이 제도를 시행하여 현재까지 활발하게 운영 중이다. 잉카인터넷은 국내 유수 기업에 이어 7번째로 공동운영사로 참여하게 되었다. 보안 전문기업인 만큼 다른 소프트웨어 업체보다 더 안전해야 하는 책임감을 가지고 공동운영에 적극적인 자세로 임하겠다는 입장이다.


무엇보다 소비자와 대화를 통해 잉카인터넷 보안 솔루션 nProtect의 보안성을 높이고 품질을 향상해 사용자의 불편함을 사전에 방지할 계획이다. 또한, 소비자로부터 접수한 버그 및 취약점을 고차원으로 분석하여 다각도로 대응방안을 마련하는 데 목적을 두고 있다.


잉카인터넷의 신고포상제 신고대상은 nProtect 최신 버전에 영향을 줄 수 있는 신규 버그 및 취약점이다. 자세한 사항은 KISA 인터넷침해대응센터 홈페이지(www.krcert.or.kr)에서 확인할 수 있다. 


신고포상제는 국내·외 거주하는 한국인이면 누구나 참여할 수 있으며 KISA 인터넷침해대응센터 홈페이지의 ‘상담 및 신고-S/W 신규 취약점’ 코너를 통해 접수할 수 있다. 신고된 취약점은 KISA 분석가의 분석 및 검증을 거쳐 잉카인터넷에서 보안패치 등의 조치를 취하게 된다. 


평가는 KISA와 잉카인터넷 및 교수, S/W제조사, 취약점 전문가로 구성된 외부 평가위원회를 통해 진행된다. 취약점에 영향 받는 시스템 파급도와 영향도, 취약점 발굴 수준을 기준으로 평가하며 포상금은 최소 30만 원부터 최대 500만 원까지 지급한다.


이번 신고포상제를 통해 잉카인터넷의 nProtect가 향후 더욱 견고한 소프트웨어로 자리 잡아, 타 보안제품과 견주었을 때 뛰어난 성능을 보유하고 취약점과 버그가 미비한 제품으로 거듭나기를 기대해 본다.


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Scarab ransomware’ 감염 주의



1. 개요 


사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다.


기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다.


이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Scarab_Ransom.exe

파일크기

350,208 byte

진단명

Ransom/W32.Scarab.350208

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 실행파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘Scarab ransomware’ 는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 .[resque@plague.desi].scarab 문자와 확장자를 덧붙인다. 또한, 암호화 된 폴더에 ‘IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ 랜섬노트를 생성하며, 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.




3. 악성 동작


3-1. 파일 암호화

‘Scarab ransomware’ 랜섬웨어는 원본 프로세스에서 파일 암호화 동작을 수행하지 않고 실제 원본파일이름과 동일한 자식프로세스를 생성하여 파일 암호화 동작을 수행한다.


[그림 1] 자식 프로세스 생성[그림 1] 자식 프로세스 생성



사용자 PC 를 탐색하며 아래 [표 1] 에 해당하는 파일의 경우 암호화 한 뒤. ‘ [resque@plague.desi].scarab’ 이라는 확장자를 덧붙인다.   

구분

내용

암호화 대상 파일

확장자

efs,000,001,1,101,103,108,110,123,128,1cd,1sp,1st,3,3d,3d4,3dd,3df,3df8,3dm,3dr,3ds,3dxml,3fr,3g2,3ga,
3gp,3gp2,3mm,3pr,3w,4w7,602,7z,7zip,8,89t,89y,8ba,8bc,8be,8bf,8bi8,8bl,8bs,8bx,8by,8li,8svx,8xt,9xt,9xy,
a$v,a2c,aa,aa3,aac,aaf,aah,aaui,ab4,ab65,abc,abk,abt,abw,ac2,ac3,ac5,acc,accdb,accde,accdr,accdt,ace,acf,
ach,acp,acr,acrobatsecuritysettings,acrodata,acroplugin,acrypt,act,ad,ada,adb,adc,add,ade,adi,adoc,ados,
adox,adp,adpb,adr,ads,adt,aea,aec,aep,aepx,aes,aet,afdesign,afm,afp,agd1,agdl,age3rec,age3sav,age3scn,
age3xrec,age3xsav,age3xscn,age3yrec,age3ysav,age3yscn,ahf,ai,aif,aiff,aim,aip,ais,ait,ak,al,al8,ala,alb3,alb4,
alb5,alb6,ald,ali,allet,alt3,alt5,amf,aml,amr,amt,amu,amx,amxx,anl,ann,ans,ansr,anx,aoi,ap,apa,apd,ape,apf,

apj,apk,apnx,apo,app,approj,apr,apt,apw,apxl,arc,arch00,arff,ari,arj,aro,arr,ars,arw,as,as$,as3,asa,asc,ascm,

ascx,asd,ase,asf,ashx,ask,asl,asm,asmx,asn,asnd,asp,aspx,asr,asset,ast,asv,asvx,asx,ath,atl,atomsvc,atw,

automaticdestinations-ms,aux,av,avi,avn,avs,awd,awe,awg,awp,aws,awt,aww,awwp,ax,azf,azs,azw,azw1,

azw3,azw4,b,b27,b2a,back,backup,backupdb,bad,bak,bak~,bamboopaper,bank,bar,bau,bax,bay,bbcd,bbl,

bbprojectd,bbs,bbxt,bc5,bc6,bc7,bcd,bck,bcp,bdb,bdb2,bdp,bdr,bdt2,bdt3,bean,bfa,bgt,bgv,bi8,bib,bibtex,

bic,big,bik,bil,bin,bina,bizdocument,bjl,bk,bk!,bk1,bk2,bk3,bk4,bk5,bk6,bk7,bk8,bk9,bkf,bkg,bkp,bks,bkup,

bld,blend,blend2,blg,blk,blm,blob,blp,bmc,bmf,bmk,bml,bmm,bmml,bmp,bmpr,bna,boc,book,bop,bp1,bp2

,bp3,bpf,bpk,bpl,bpm,bpmc,bps,bpw,brd,breaking_bad,brh,brl,brs,brx,bsa,bsk,bso,bsp,bst,btd,btf,btoa,btx,

burn,burntheme,bvd,bwd,bwf,bwp,bxx,bzabw,c,c2e,c6,cadoc,cae,cag,calca,cam,camproj,cap,capt,car,caro,cas,

cat,catproduct,cawr,cbf,cbor,cbr,cbz,cc,ccc,ccd,ccf,cch,ccitt,cd,cd1,cd2,cdc,cdd,cddz,cdf,cdi,cdk,cdl,cdm,cdml,

cdmm,cdmz,cdpz,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cds,cdt,cdtx,cdx,cdxml,ce1,ce2,cef,cer,cert,cf5,cfd,cfg,cfp,cfr,cgf,

cgfiletypetest,cgi,cgm,cgp,chi,chk,chm,chml,chmprj,chp,chpscrap,cht,chtml,cib,cida,cif,cipo,civ4worldbuildersave,

civbeyondswordsave,cl2arc,cl2doc,clam,clarify,class,clb,clkd,clkt,clp,clr,cls,clx,cmf,cml,cmp,cms,cmt,cmu,cnf,cng,

cnt,cnv,cod,col,comicdoc,comiclife,compositionmodel,compositiontemplate,con,conf,config,contact,converterx,

cp,cpc,cpd,cpdt,cphd,cpi,cpio,cpp,cpy,cr2,crashed,craw,crb,crd,creole,cri,crjoker,crs,crs3,crt,crtr,crw,crwl,crypt,

crypted,cryptowall,cryptra,cs,cs8,csa,cse,csh,csi,csl,cso,csp,csr,css,cst,csv,ctbl,ctd,cte,ctf,ctl,ctt,ctxt,cty,cue,current,

cvj,cvl,cvw,cw3,cwf,cwk,cwn,cwr,cws,cwwp,cyi,cys,d,d3dbsp,dac,dadx,dag,dal,dap,das,dash,dat,database,datx,

dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbc,dbf,dbfv,db-journal,dbk,dbr,dbs,dbx,dc2,dc4,dca,dcd,

dcf,dch,dco,dcp,dcr,dcs,dct5,dcu,ddc,ddcx,ddd,ddif,ddoc,ddrw,dds,deb,debian,dec,ded,default,del,dem,der,

des,desc,description,design,desklink,det,deu,dev,dex,dfe,dfl,dfm,dft,dfti,dgc,dgm,dgpd,dgr,dgrh,dgs,dhe,dic,did,

dif,dii,dim,dime,dip,dir,directory,disc,disco,disk,dit,divx,diz,djbz,djv,djvu,dk@p,dlc,dlg,dmbk,dmg,dmp,dmtemplate,

dmv,dna,dng,dnl,dob,doc,doc#,docb,doce,docenx,dochtml,docl,docm,docmhtml,docs,docset,docstates,doct,

documentrevisions-v100,docx,docxl,docxml,dok,dot,dothtml,dotm,dotmenx,dotx,dotxenx,dox,doxy,doz,dp,dpd,dpi

,dpk,dpl,dpr,drd,dream,drf,drm,drmx,drmz,drw,dsc,dsd,dsdic,dsf,dsg,dsk,dsl,dsn,dsp,dsy,dtd,dtm,dtml,dtp,dtx,dump,

dvb,dvd,dvi,dvs,dvx,dvz,dwd,dwdoc,dwf,dwfx,dwg,dwlibrary,dwp,dwt,dxb,dxd,dxe,dxf,dxg,dxn,dxr,dxstudio,dzp,e3s,

e4a,easmx,ebk,ebs,ec4,ecc,ecr,edb,edd,edf,edl,edml,edn,edoc,edrwx,edt,edz,efa,efax,eff,efl,efm,efr,eftx,efu,efx,egr,

egt,ehp,eif,eip,ekm,el6,eld,elf,elfo,eln,emc,emf,eml,emlxpart,emm,enc,enciphered,encrypted,enfpack,ent,enx,enyd,

eob,eot,ep,epdf,epf,epk,eprtx,eps,epsf,ept,epub,eql,erbsql,erd,ere,erf,err,es,es3,esc,esd,esf,esm,esp,ess,esv,et,ete,

etng,etnt,ets,etx,euc,evo,evy,ewl,ex,exc,exd,exf,exif,exprwdhtml,exprwdxml,exx,ez,ezc,ezm,ezs,ezz,f4v,f90,f96,fac,

fadein,fae,faq,fax,fbd,fbp6,fbs,fcd,fcf,fcstd,fd,fdb,fdf,fdoc,fdr,fds,fdseq,fdw,fdx,fed,feed-ms,feedsdb-ms,ff,ffa,ffd,

ffdata,fff,ffl,ffo,fft,ffx,fh,fhd,fig,fin,fl,fla,flac,flag,flat,flf,flib,flka,flkb,flm,flp,fls,flt,fltr,flv,flvv,fly,fm,fm3

,fmc,fmd,fmf,fml,fmp,fmp3,fnf,fo,fodg,fodp,fods,fodt,folio,for,forge,fos,fountain,fp,fpage,fpdoclib,fpenc,fphomeop,

fpk,fplinkbar,fpp,fpt,fpx,fra,frag,frdat,frdoc,freepp,frelf,frm,fs,fsc,fsd,fsf,fsh,fsp,fss,ft10,ft11,ft7,ft8,ft9,ftil,ftr,fwk,

fwtemplate,fxd,fxg,fxo,fxr,fzh,fzip,ga3,gam,gan,gcsx,gct,gdb,gdc,gdoc,ged,gev,gevl,gfe,gform,gfx,ggb,ghe,gho,gif,gil,

giw,glink,glk,glo,glos,gly,gml,gmp,gnd,gno,gofin,gp4,gpd,gpf,gpg,gpn,gpx,gpz,gra,grade,gray,grey,grf,grk,grle,groups,

gry,gs,gsa,gsf,gsheet,gslides,gsm,gthr,gui,gul,gvi,gxk,gxl,gz,gzig,gzip,h,h1q,h1s,h1w,h2o,h3m,h4r,haml,hbk,hbl,hbx,hcl,

hcw,hda,hdd,hdl,hdt,hdx,hed,help,helpindex,hex,hfd,hft,hhs,hkdb,hkx,hlf,hlp,hlx,hlx2,hlz,hm2,hmskin,hnd,hoi4,hot,

hp2,hpd,hpj,hplg,hpo,hpp,hps,hpt,hpw,hqx,hrx,hs,hsm,hsx,hta,htm,htm~,html,htmls,htmlz,htms,htpasswd,htz5,hvpl,

hw3,hwp,hwpml,hwt,hxe,hxi,hxq,hxr,hxs,hyp,hype,iab,iaf,ial,ibank,ibcd,ibd,ibk,ibz,icalevent,icaltodo,icc,icml,icmt,ico,

ics,icst,icxs,idap,idc,idd,idl,idml,idp,idx,ie5,ie6,ie7,ie8,ie9,iff,ifp,ign,igr,ihf,ihp,iif,iiq,iks,ila,ildoc,img,imp,imr,incp,incpas,

ind,indb,indd,indl,indp,indt,inf,info,ink,inld,inlk,inp,inprogress,inrs,inss,installhelper,insx,internetconnect,inx,ioca,iof,

ipa,ipf,ipr,ish1,ish2,ish3,iso,ispx,isu,isz,itdb,ite,itl,itm,itmz,itp,its,ivt,iw44,iwa,iwd,iwi,iwprj,iwtpl,ix,ixv,jac,jar,jav,java,

jb2,jbc,jbig,jbig2,jc,jdd,jfif,jge,jgz,jhd,jiaf,jias,jif,jiff,jnt,joe,jp1,jpc,jpe,jpeg,jpf,jpg,jpgx,jpm,jpw,jrf,jrl,jrprint,js,jsd,json,jsp,

jspa,jspx,jtd,jtdc,jtt,jtx,just,jw,jwl,jww,k25,kbd,kbf,kc2,kdb,kdbx,kdc,kde,kdf,kes,key,keynote,key-ef,kf,kfm,kfp,kid,klq,

klw,kmz,knt,kos,kpdx,kpr,ksd,ksp,kss,ksw,kuip,kwd,kwm,kwp,laccdb,lastlogin,lat,latex,lax,lay,lay6,layout,lbf,lbi,lbl,lcd,

lcf,lcn,ldb,ldf,lfe,lgp,lhd,lib,lit,litemod,ll3,llv,lmd,lngttarch2,lnk,localstorage,log,logonxp,lok,lot,lp,lp2,lp7,lpa,lpc,lpd,lpdf,

lpx,lrf,ls5,lst,ltcx,ltm,ltr,ltx,lua,lvd,lvivt,lvl,lvw,lwd,lwo,lwp,lyx,m,m13,m14,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,m7p

,maca,mag,maker,maml,man,manu,map,mapimail,marc,markdn,mars,mass,max,maxfr,maxm,mbbk,mbox,mbx,mc9,

mcd,mcdx,mcf,mcgame,mcmac,mcmeta,mcrp,mcw,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdbhtml,mdc,

mdccache,mddata,mdf,mdg,mdi,mdk,mdl,mdn,mds,mecontact,med,mef,meh,mell,mellel,menu,meo,met,

metadata_never_index,mf,mfa,mfp,mfw,mga,mgmt,mgourmet,mgourmet3,mhp,mht,mhtenx,mhtmlenx,mi,mic,mid,

mif,mim,mime,mindnode,mip,mission,mix,mjd,mjdoc,mke,mkv,mla,mlb,mlj,mlm,mls,mlsxml,mlx,mm,mm6,mm7,mm8,

mmap,mmc,mmd,mme,mmjs,mml,mmo,mmsw,mmw,mny,mo,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,

mp3,mp4,mp4v,mpa,mpe,mpeg,mpf,mpg,mph,mpj,mpq,mpqge,mpr,mpt,mpv,mpv2,mrd,mru,mrw,mrwref,ms,msd,

mse,msg,mshc,msi,msie,msl,mso,msor,msp,msq,ms-tnef,msw,mswd,mtdd,mtml,mto,mtp,mts,mtx,mug,mui,mvd,mvdx,

mvex,mwd,mwii,mwpd,mwpp,mws,mxd,mxg,mxp,myd,mydocs,myi,mz,n3,narrative,nav,navmap,nb,nbak,nbf,nbp,ncd,

ncf,nd,ndd,ndf,ndl,ndr,nds,ne1,ne3,nef,nfo,nfs11save,ng,njx,nk2,nmbtemplate,nmu,nokogiri,nop,note,now,npd,npdf,npp

,npt,nrbak,nrg,nri,nrl,nrmlib,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nst,ntf,ntl,ntp,nts,number,numbers,nvd,nvdl,nvram,nwb,

nwbak,nwcab,nwcp,nx^d,nx__,nx1,nx2,nxl,nyf,oa2,oa3,oab,oad,oas,obd,obj,obr,obt,obx,obz,ocdc,ocs,oda,odb,odc,

odccubefile,odf,odg,odh,odi,odif,odm,odo,odp,ods,odt,odt#,odttf,odz,officeui,ofn,oft,oga,ogc,ogg,oil,ojz,okm,ole,

ole2,olf,olv,oly,omlog,omp,onb,one,oos,oot,opd,opf,opj,oplx,opn,opt,opx,opxs,orf,ort,osd,osdx,ost,otc,otf,otg,oth,

oti,otn,otp,ots,ott,otw,out,ovd,owl,oxps,oxt,p10,p12,p2s,p3x,p65,p7b,p7c,p7z,pab,pack,pad,pages,pages-tef,pak,paq,pas,pat,paux,pbd,pbf,pbk,pbp,pbr,pbs,pbx5script,pbxscript,pcd,pcf,pcj,pct,pcv,pcw,pd,pdb,pdc,pdcr,

pdd,pdf,pdf_,pdf_profile,pdf_tsid,pdfa,pdfe,pdfenx,pdfl,pdfua,pdfvt,pdfx,pdfxml,pdfz,pdg,pdp,pdz,peb,pef,pem,

pez,pf,pfc,pfd,pfl,pfm,pfsx,pft,pfx,pg,pgs,php,phr,phs,pih,pixexp,pj2,pj4,pj5,pk,pkb,pkey,pkg,pkh,pkpass,pl,plan,

plb,plc,pld,pli,pln,plus_muhd,pm,pm3,pm4,pm5,pm6,pm7,pmd,pmt,pmv,pmx,png,pnu,po,pod,pool,pot,pothtml,

potm,potx,pp3,ppam,ppd,ppdf,ppf,ppj,ppp,pps,ppsenx,ppsm,ppsx,ppt,ppte,ppthtml,pptl,pptm,pptmhtml,pptt,

pptx,ppws,ppx,prc,prd,pref,prel,prf,prj,prn,pro,pro4,pro4dvd,pro5,pro5dvd,pro5plx,pro5x,proofingtool,props,

proqc,prproj,prr,prs,prt,prtc,prv,ps,ps2,ps3,psa,psafe3,psb,psd,pse8db,psf,psg,psi2,psip,psk,psm,psmd,

pspimage,pst,psw,psw6,pswx,psz,pt3,pt6,ptc,ptf,pth,ptk,ptn,ptn2,pts,ptx,pub,pubf,pubhtml,pubmhtml,pubx,puz,pvd,pve,

pvf,pw,pwd,pwe,pwf,pwi,pwm,pwp,pwre,pxd,pxl,pxp,py,pys,pzc,pzf,pzt,qba,qbb,qbl,qbm,qbr,qbw,qbx,qby,qch,qcow,

qcow2,qct,qdf,qed,qel,qfl,qfxx,qhp,qht,qhtm,qic,qif,qlgenerator,qpx,qrt,qt,qtq,qtr,qtw,quox,qvw,qwd,qwt,qxb,qxd,qxl

,qxp,qxt,r00,r01,r02,r03,r0f,r0z,r3d,ra,ra2,raf,ram,ramd,rap,rar,rat,raw,razy,rb,rbc,rcb,rd,rd1,rdb,rdf,rdfs,rdi,rdo,

rdoc,rdoc_options,rdz,re4,rec,rels,res,resbuild,rest,result,rev,rf,rf1,rft,rgn,rgo,rgss3a,rha,rhif,rim,rit,rlf,rll,rm,rm5,r

md,rmf,rmh,rna,rng,rnt,rnw,ro3,rofl,roi,ros,rov,row,rox,rpf,rpt,rptr,rrd,rrpa,rrt,rrx,rs,rsdf,rsdoc,rsm,rsp,rsrc,rst,

rsw,rt,rt_,rtdf,rte,rtf,rtf_,rtfd,rtk,rtpi,rts,rtsl,rtsx,rtx,rum,run,rv,rvf,rvt,rw2,rwl,rwlibrary,rwz,rxdoc,rzk,rzx,s3db,

s8bn,sa5,sa7,sa8,saas,sad,saf,safe,safetext,sam,sas7bdat,sav,save,say,sb,sbn,sbo,sbpf,sbsc,sbst,sc2save,scd,

scdoc,sce,sch,scm,scmt,scn,scr,scriv,scrivx,scs,scspack,scssc,sct,scw,scx,sd,sd0,sd1,sda,sdb,sdc,sdd,sddraft,

sdf,sdi,sdl,sdmdocument,sdn,sdo,sdoc,sdp,sdr,sds,sdt,sdv,sdw,search-ms,secure,sef,sel,sen,

seq,sequ,server,ses,set,setup,sev,sff,sfs,sfx,sgf,sgi,sgl,sgm,sgml,sgz,sh,sh6,shar,shb,show,

shr,shs,shtml,shw,shy,sic,sid,sidd,sidn,sie,sik,sis,sky,sla,sldm,sldx,slf,slk,slm,slt,slz,sm,smd,sme,smf,smh,smlx,smn,smp,

sms,smwt,smx,smz,snb,snf,sng,snk,snp,snt,snx,so,soi,spb,spd,spdf,spk,spl,spm,spml,sppt,spr,sprt,sprz,sql,sqlite,sqlite3,

sqlitedb,sqllite,sqx,sr2,src,srf,srfl,srs,srt,srw,ssa,ssh,ssi,ssiw,ssm,ssx,st4,st5,st6,st7,st8,stc,std,sti,stm,stp,stpz,struct,

stt,stw,stx,stxt,sty,sud,suf,sum,surf,svd,svdl,svg,svi,svm,svn,svp,svr,svs,swd,swdoc,sweb,swf,switch,swp,sxc,sxd,sxe,

sxg,sxi,sxl,sxm,sxml,sxw,syn,syncdb,t,t01,t03,t05,t10,t12,t13,t14,t2,t2k,t2t,t4g,t80,ta1,ta2,ta9,tabula-doc,

tabula-docstyle,tah,tar,tax,tax2009,tax2013,tax2014,tb,tbb,tbd,tbk,tbkx,tbz2,tcd,tch,tck,tcx,tdg,tdl,tdoc,tdr,te1,

template,tex,texi,texinfo,text,textclipping,textile,tfd,tfm,tfr,tfrd,tg,tga,tgz,thm,thml,thmx,thr,tib,tif,tiff,tjp,tk3,tlb,

tld,tlg,tlt,tlx,tlz,tm,tm3,tmb,tmd,tml,tmlanguage,tmv,tmz,tns,tnsp,toast,toc,topx,tor,torrent,totalslayout,tp,tpl,tpo,

tpsdb,tpu,tpx,trashinfo,trif,trp,ts,tsc,tt11,tt2,ttax,ttxt,tu,tur,tvd,twdi,twdx,tww,tx,txd,txe,txf,txm,txn,txt,txtrpt,u3d,

uax,ubz,ucd,udb,udf,udl,uea,uhtml,ukr,ulf,uli,ulys,ump,umx,unity3d,unr,unx,uof,uop,uos,uot,updf,upk,upoi,upp,

urd-journal,urf,url,urp,usa,usx,ut2,ut3,utc,utd,ute,utf8,uti,utm,uts,utx,uu,uud,uue,uvx,uxx,v,v2t,val,vault,vbadoc,

vbd,vbk,vbox,vbs,vc,vcal,vcd,vce,vcf,vdf,vdi,vdo,vdoc,vdt,ver,vf,vfs0,vhd,vhdx,view,viz,vlc,vlt,vmbx,vmdk,vmf,vmg,

vmm,vmsd,vmt,vmx,vmxf,vob,voprefs,vor,vp,vpk,vpl,vpp_pc,vs,vsd,vsdx,vsf,vsi,vspolicy,vst,vstx,vtf,vthought,vtv,vtx,

vw,vw3,w,w2p,w3g,w3x,w51,w52,w60,w61,w6bn,w6w,w8bn,w8tn,wab,wad,waff,wallet,war,wav,wave,waw,wb,wb2,

wb3,wbk,wbt,wbxml,wbz,wcf,wcl,wcn,wcp,wcst,wd0,wd1,wd2,wdbn,wdgt,wdl,wdn,wdoc,wdx9,web,webdoc,webpart,

wep,wflx,wht,wiz,wk!,wk1,wk3,wk4,wkb,wki,wkl,wks,wlb,wld,wll,wls,wlxml,wm,wma,wmd,wmdb,wmf,wmga,wmk,wml,

wmlc,wmmp,wmo,wms,wmv,wmx,wn,wolf,word,wordlist,wotreplay,wow,wp,wp42,wp5,wp50,wp6,wp7,wpa,wpc2,

wpd,wpd0,wpd1,wpd2,wpd3,wpe,wpf,wpk,wpl,wpost,wps,wpt,wpw,wr1,wrf,wri,wrlk,ws,ws1,ws2,ws3,ws4,ws5,ws6,

ws7,wsd,wsf,wsh,wsp,wtbn,wtd,wtf,wtmp,wtp,wts,wtt,wtx,wvw,wvx,wwcx,wwi,wwl,wws,wwt,wxmx,wxp,wyn,wzn,

wzs,x11,x16,x3f,x3g,xamlx,xar,xav,xbd,xbrl,xci,xda,xdc,xdf,xdo,xdoc,xdw,xf,xfd,xfdf,xfi,xfl,xfn,xfo,xfp,xfx,xgml,xht,xhtm,

xhtml,xif,xig,xis,xjf,xl,xla,xlam,xlb,xlc,xle,xlf,xline,xlist,xlk,xll,xlm,xlnk,xlr,xls,xlsb,xlse,xlshtml,xlsl,xlsm,xlst,xlsx,xlsxl,xlt,

xlthtml,xltm,xltx,xlv,xlw,xlwx,xma,xmdf,xml,xmmap,xmn,xmp,xms,xmt_bin,xmta,xpd,xpi,xpm,xps,xpse,xpt,xpwe,xqm,

xqr,xqx,xrdml,xsc,xsd,xsig,xsl,xslt,xtbl,xtd,xtg,xtml,xtps,xtrl,xv0,xv2,xv3,xvg,xvid,xvl,xwd,xweb3htm,xweb3html,

xweb4stm,xweb4xml,xwf,xwp,xxe,xxx,xy,xy3,xy4v,xyd,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp

[표 1] 암호화 대상 파일 확장자




암호화 된 파일의 모습은 아래 [그림 2]와 같으며, 바탕화면과 대상 폴더 마다 랜섬노트가 생성된 것을 확인할 수 있다.


[그림2] 암호화 된 파일과 랜섬노트[그림2] 암호화 된 파일과 랜섬노트






3-2. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림3] 쉐도우 파일 삭제[그림3] 쉐도우 파일 삭제






3-3. 금전 요구

파일 암호화가 완료되면 ‘Scarab Ransomware’ 는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Scarab Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 랜섬웨어가 회사나 공공기관 만을 상대로 유포하는 것이 아니기 때문에 개인 사용자일 경우에도 안심하지 않고 항상 주의하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2017년 6월 악성코드 통계




악성코드 Top20

2017년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 137,087건이 탐지되었다. 

순위

진단명

유형

탐지 건수

1

Worm/W32.Agent.57344

Worm

137,087

2

Trojan.TeslaCrypt.ES

Trojan

9,289

3

Virus/W32.Ramnit

Virus

7,619

4

Trojan/XF.Sic

Trojan

6,584

5

Trojan/W32.Agent.174399.B

Trojan

5,393

6

Gen:Variant.Razy.107843

Trojan

5,039

7

Virus/W32.Virut.Gen

Virus

4,697

8

Gen:Variant.Adware.Hebogo.1

Adware

3,644

9

Worm/W32.Small.38400

Worm

2,788

10

Trojan-Spy/W32.SpyEyes.2147928

Trojan

2,512

11

Adware/LiveIcon.C

Adware

2,426

12

Abuse-Worry/W32.SpyAgent.1694560

Abuse-Worry

2,420

13

Trojan/W32.Agent.3584.MQ

Trojan

2,420

14

Trojan/XF.XF.Sic

Trojan

2,362

15

Trojan/W32.Agent.413696.UP

Trojan

2,076

16

Worm.VBS.AO

Worm

2,042

17

Adware/NetworkExpress.W

Adware

2,037

18

Adware.GenericKD.5056229

Adware

2,023

19

Trojan/W32.Agent.1720320.BN

Trojan

1,889

20

Adware/NetworkExpress.Y

Adware

1,875

[] 20176월 악성코드 탐지 Top 20




악성코드 유형 비율

6월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Adware(애드웨어)와 Virus(바이러스)가 각각 41%, 27%로 가장 높은 비중을 차지하였고, Trojan(트로이목마)이 17%, Downloader(다운로더)와 Worm(웜)이 각각 3%씩으로 그 뒤를 따랐다.


[그림] 2017년 6월 악성코드 유형 비율[그림] 2017년 6월 악성코드 유형 비율









악성코드 진단 수 전월 비교

6월에는 악성코드 유형별로 5월과 비교하였을 때 Virus와 Worm 진단이 다소 증가하였다.


[그림] 2017년 6월 악성코드 진단 수 전월 비교[그림] 2017년 6월 악성코드 진단 수 전월 비교









주 단위 악성코드 진단 현황

6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 마지막 주에 다소 증가한 현상을 보이고 있다.


[그림] 2017년 6월 주 단위 악성코드 진단 현황[그림] 2017년 6월 주 단위 악성코드 진단 현황








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어



1. 개요 


현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다.


또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다.


2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다.







2. 분석 정보


2-1. 유포 경로

최초 유포는 우크라이나 세무관련 프로그램의 업데이트 프로그램 변조를 통해 유포된 것으로 추정되고 있다. 추가적으로 이메일을 통한 유포 가능성은 높지만 정확하게 확인 되지 않은 상태이다.

또한, 네트워크 전파는 SMB취약점뿐 아니라 PSEXEC와 WMIC 를 통해서도 이루어질 수 있으나, 로컬 네트워크로만 전파되는 특징을 가진다.




2-2. 실행 과정

랜섬웨어가 구동된 경우 MBR 감염을 수행하고 ‘C:\Windows’ 폴더를 제외한 모든 폴더를 대상으로 특정 확장자의 파일을 암호화 한다. 암호화 된 후 확장명을 변경하지는 않는다. 특정 시간 이후에 재부팅이 되도록 시스템이 설정된다. 재부팅 이후 가짜 CHKSDK 화면을 출력하며 화면이 출력하는 동안 MFT 암호화를 진행할 것으로 추정된다.


[그림 1] 가짜 CHKSDK 화면[그림 1] 가짜 CHKSDK 화면






3. 악성 동작


3-1. MBR 파괴

[그림2] MBR 파괴 전과 후 비교[그림2] MBR 파괴 전과 후 비교




3-2. 파일 암호화

해당 랜섬웨어는 C:\windows 를 제외한 모든 폴더에 다음 표에 확장자를 가진 파일에 대해 암호화를 시도한다

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상
파일

확장자

.3ds  .7z  .accdb  .ai  .asp  .aspx  .avhd  .back  .bak  .c  .cfg  .conf  .cpp.cs  .ctl  .dbf  .disk  .djvu  .doc  .docx  .dwg  .eml  .fdb  .gz  .h  .hdd .kdbx  .mail  .mdb  .msg  .nrg  .ora  .ost  .ova  .ovf  .pdf  .php  .pmf  .ppt  .pptx  .pst  .pvi  .py  .pyc  .rar  .rtf  .sln  .sql  .tar  .vbox  .vbs  .vcb  .vdi  .vfd  .vmc  .vmdk  .vmsd  .vmx  .vsdx  .vsv  .work  .xls  .xlsx  .xvd  .zip

[ 1] 암호화 대상 확장자



파일 암호화는 AES를 사용하며, AES키는 RSA로 암호화 되어 저장된다.



3-3. 금전 요구

암호해제 비용으로는 $300을 비트코인으로 요구하고 있으며, 비트코인 지불 후 개인고유키와 지불한 비트코인 월렛 아이디를 이메일로 보낼 것을 요구한다.


하지만, 이메일 제공사인 posteo사에서 계정을 정지시켜 놓은 상태이므로 복호화 키를 받는 것은 불가능하다. 따라서 랜섬웨어에 감염되었다고 비트코인을 지불해서는 안된다.   


만약 해당 랜섬웨어에 감염되었다면, 랜섬웨어에 의해 재부팅 되기 전 컴퓨터를 종료하고 전문가에게 도움을 요청해야 피해를 최소화 할 수 있다.


[그림 3] 랜섬노트[그림 3] 랜섬노트






4. 결론

이번 Petya 랜섬웨어 변종은 WanaCryptpr 랜섬웨어와 같이 Eternal Blue 취약점을 공격하는 방식이 추가되었다. Petya 랜섬웨어는 지속적으로 변종이 발견되고 있으며 시간이 흐를수록 더 위험성이 높아지고 있다. 


이번 Petya 랜섬웨어에서 새로 추가된 전파 기법은 이전 WanaCryptor 에서 이미 이슈화 되었지만, 해당 취약점에 대한 업데이트가 아직 미흡하여 많은 피해를 입힌 것으로 보인다. 앞으로도 동일한 취약점 뿐 만 아니라 다른 취약점을 이용한 악성코드들이 발견 될 가능성이 많기 때문에 항상 최신 업데이트를 유지해야 할 것이다.



Petya 랜섬웨어 예방방법

  • MS17-010 을 포함한 Windows를 최신 업데이트를 적용한다.
  • SMBv1 비활성화 또는 445 port를 차단한다. 
  • (https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)
  • 백신을 최신상태로 유지한다.
  • 중요정보의 경우 주기적으로 백업한다.

아울러, 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0의 MBR 보호 기능을 사용하면 MBR 변조를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다



1. 개요 


지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다.


‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다.


타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈도우 운영체제뿐만 아니라 리눅스 운영체제에 대해서도 보안에 각별한 주의를 기울여야 할 것이다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Erebus (ELF파일)

파일크기

487,166 Byte / 429,144 Byte

악성동작

파일 암호화, 금전 요구

 

[그림 1] ‘Erebus’ 파일 정보[그림 1] ‘Erebus’ 파일 정보




2-2. 유포 경로

지난 2월 국내에서 처음으로 발견되었으며 복구 비용으로 약 10만원정도의 금액을 요구하여 저렴한 랜섬웨어로 알려져 왔다. 최근 리눅스 서버를 대상으로 공격을 시도 한 변종 ‘Erebus’ 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.




2-3. 실행 과정

최근에 발견된 ‘Erebus’ 변종 랜섬웨어에 감염이 되면 해당 PC의 주요 경로들을 탐색하여 대상이 되는 파일에 대하여 암호화 동작을 수행한다. 그리고 원본파일명을 변경한 후 ‘.ecrypt’로 확장자를 덧붙인다. 암호화 된 파일 경로에는 아래와 같이 .html 및 txt형식의 랜섬노트가 생성된다는 것을 확인 할 수 있다.


[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화를 수행하고 암호화가 완료되면 원본파일명을 변경한다. 또한 암호화된 파일에 대해서 ‘.ecrypt’ 로 변경한다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일

확장자

"tar","gz","tgz","taz","bz","tbz","bz2","lz","lzma","lz4","contact","dbx","doc","docx","jnt"

,"jpg","mapimail","msg","oab","ods","pdf","pps","ppsm","ppt","pptm","prf","pst","rar",

"rtf","txt","wab","xls","xlsx","xml","zip","1cd","3ds","3g2","3gp","7z","7zip","accdb","aoi",

"asf","asp","aspx","asx","avi","bak","cer","cfg","class","config","css","csv","db","dds","dwg",

"dxf","flf","flv","html","idx","js","key","kwm","laccdb","ldf","lit","m3u","mbx","md","mdf",

"mid","mlb","mov","mp3","mp4","mpg","obj","odt","pages","php","psd","pwm","rm",

"safe","sav","save","sql","srt","swf","thm","vob","wav","wma","wmv","xlsb","3dm","aac",

"ai","arw","c","cdr","cls","cpi","cpp","cs","db3","docm","dot","dotm","dotx","drw","dxb",

"eps","fla","flac","fxg","java","m","m4v","max","mdb","pcd","pct","pl","potm","potx","ppam",

"ppsm","ppsx","pptm","ps","pspimage","r3d","rw2","sldm","sldx","svg","tga","wps","xla",

"xlam","xlm","xlr","xlsm","xlt","xltm","xltx","xlw","act","adp","al","bkp","blend","cdf","cdx",

"cgm","cr2","crt","dac","dbf","dcr","ddd","design","dtd","fdb","fff","fpx","h","iif","indd"

,"jpeg","mos","nd","nsd","nsf","nsg","nsh","odc","odp","oil","pas","pat","pef","pfx","ptx",

"qbb","qbm","sas7bdat","say","st4","st6","stc","sxc","sxw","tlg","wad","xlk","aiff","bin",

"bmp","cmt","dat","dit","edb","flvv","gif","groups","hdd","hpp","log","m2ts","m4p","mkv",

"mpeg","ndf","nvram","ogg","ost","pab","pdb","pif","png","qed","qcow","qcow2","rvt","st7",

"stm","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","3fr","3pr","ab4","accde","accdr",

"accdt","ach","acr","adb","ads","agdl","ait","apj","asm","awg","back","backup","backupdb",

"bank","bay","bdb","bgt","bik","bpw","cdr3","cdr4","cdr5","cdr6","cdrw","ce1","ce2","cib",

"craw","crw","csh","csl","db_journal","dc2","dcs","ddoc","ddrw","der","des","dgc","djvu","dng",

"drf","dxg","eml","erbsql","erf","exf","ffd","fh","fhd","gray","grey","gry","hbk","ibank","ibd","ibz",

"iiq","incpas","jpe","kc2","kdbx","kdc","kpdx","lua","mdc","mef","mfw","mmw","mny","moneywell",

"mrw","myd","ndd","nef","nk2","nop","nrw","ns2","ns3","ns4","nwb","nx2","nxl","nyf","odb","odf",

"odg","odm","orf","otg","oth","otp","ots","ott","p12","p7b","p7c","pdd","pem","plus_muhd",

"plc","pot","pptx","psafe3","py","qba","qbr","qbw","qbx","qby","raf","rat","raw","rdb","rwl",

"rwz","s3db","sd0","sda","sdf","sqlite","sqlite3","sqlitedb","sr2","srf","srw","st5","st8","std","sti",

"stw","stx","sxd","sxg","sxi","sxm","tex","wallet","wb2","wpd","x11","x3f","xis","ycbcra","yuv",

"mab","json","ini","sdb","sqlite-shm","sqlite-wal","msf","jar","cdb","srb","abd","qtb","cfn",

"info","info_","flb","def","atb","tbn","tbb","tlx","pml","pmo","pnx","pnc","pmi","pmm","lck",

"pm!","pmr","usr","pnd","pmj","pm","lock","srs","pbf","omg","wmf","sh","war","ascx","tif"

[ 1] 암호화 대상 확장자





3-2. 금전 요구

파일 암호화가 완료되면 ‘Erebus’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구하는 랜섬노트를 생성한다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다.


[그림 4] 텍스트 형식의 랜섬노트[그림 4] 텍스트 형식의 랜섬노트




해당 페이지에서는 ‘Erebus’ 랜섬웨어 결제 안내페이지를 이용하기 위해 암호화 된 파일에 대한 정보를 기입하도록 유도하고 있다.


[그림 5] Tor 브라우저 접속[그림 5] Tor 브라우저 접속





4. 결론

이번에 확인한 ‘Erebus’ 랜섬웨어를 통해 랜섬웨어가 윈도우 운영체제 외에도 리눅스 운영체제를 대상으로 공격을 시도할 수 있다는 것을 알 수 있다.


또한, 리눅스 운영체제에서 동작할 수 있는 다른 유형의 랜섬웨어 공격이 발생할 여지가 있기 때문에, 리눅스 서버 담당자 및 일반 리눅스 사용자들은 각별히 주의하여 피해가 발생하지 않도록 주의 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

잉카인터넷 회사소개 웹사이트(INCA.CO.KR) 새 단장 안내


안녕하십니까? (주) 잉카인터넷입니다.

잉카인터넷의 회사소개, 기업문화, 사업영역, 윤리경영 등 다양한 콘텐츠를 다루고 있는 회사소개 웹사이트 INCA.CO.KR이 전문적이고 사용친화적인 디자인과 기능으로 새로 단장하였습니다.


회사소개 웹사이트잉카인터넷 회사소개 웹사이트 INCA.CO.KR




정보보안 전문기업으로서 신뢰감 있는 이미지와 누구나 쉽게 정보를 얻을 수 있도록 메뉴와 내용을 재구성한 것이 특징입니다.


웹사이트 메인에선 사용자가 자주 찾는 내용과 회사소개에서 강조하는 부분으로 구성하였으며, 정보보안 전문기업 이미지를 담도록 노력하였습니다.



회사소개 웹사이트잉카인터넷 회사소개 웹사이트 INCA.CO.KR


무엇보다 잉카인터넷의 사업영역과 정보보안 브랜드 nProtect의 주요 제품소개 페이지를 마련하여 웹사이트 이해도와 접근성을 높였습니다.


회사소개 웹사이트의 목적에 맞게 회사의 비전과 사업소개 등 다양하고 많은 내용의 콘텐츠를 담고 있습니다. 또한, 콘텐츠는 크게 회사소개, 사업영역, 경영철학, 인재채용, 오시는길의 다섯 메뉴로 재구성하여 사용자 입장에서 원하는 정보를 쉽게 얻을 수 있도록 하였습니다.


여러분의 관심과 응원 바라며 자세한 웹사이트 내용은 아래 링크에 접속하시면 확인할 수 있습니다.


제품소개 웹사이트: http://INCA.CO.KR

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

회사 메일을 이용한 피싱 메일 C&C 감염 주의



1. 개요 


이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 


이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

美 사이버 보안시장의 현재와 미래.hwp

파일크기

97,792 Byte

진단명

Trojan-Dropper/HWP.EPS.Gen

악성동작

드롭퍼

 

구분

내용

파일명

jusched.exe

파일크기

70,656 Byte

진단명

Trojan/W32.Snarebot.70656

악성동작

C&C

 



2-2. 유포 경로

특정 회사의 사내 그룹 및 개인 메일 계정으로 유입되었다.


[그림 1] 첨부 된 메일 내용 [그림 1] 첨부 된 메일 내용




2-3. 실행 과정

아래그림과 같이 이메일에 있는 첨부파일(.HWP)을 사용자가 열람할 경우, 시작 프로그램 폴더에 LNK 파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 악성 실행파일을 추가로 생성한다. 해당 악성코드는 사용자 PC를 재부팅 하였을 때 생성된 LNK 파일에 특정 인자 값을 지정하여 실행파일을 실행한다.


[그림 2] 동작 흐름도[그림 2] 동작 흐름도





3. 악성 동작


3-1. 파일 드롭

메일에 첨부된 HWP 파일은 취약점을 이용한 공격방식이 아닌 HWP 정상 스크립트를 이용하여 파일 드롭을 수행하는 것으로 확인된다. 해당 HWP 파일 내부에는 파일 다운로드 기능을 하는 스크립트와 함께 드롭 될 파일의 바이너리 값이 존재한다.


[그림 3] HWP파일 내부 스크립트[그림 3] HWP파일 내부 스크립트




아래와 같이 해당 HWP 파일에서 ‘바로가기 파일(.lnk)’, ‘악성실행파일(.exe)’ 두개의 파일이 스크립트를 이용하여 드롭된다.


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭




3-2. 시작 프로그램 등록

美 사이버 보안시장의 현재와 미래.hwp’ 파일을 열람 하였을 때, 시작 프로그램 폴더에 LNK 파일을 생성하는 것을 확인 할 수 있다. 생성된 LNK파일의 속성값을 확인 하였을 때 실행파일의 경로와 함께 특정 인자 값이 존재한다. 해당 인자 값이 없을 경우 악성 실행파일은 정상적으로 실행이 되지 않는다.


[그림 5] 생성 된 LNK 파일과 인자 값[그림 5] 생성 된 LNK 파일과 인자 값





3-3. 원격지 연결 시도

해당 악성코드는 LNK 파일을 통하여 하기의 원격지 서버에 연결을 시도 한다. 또한 C&C 명령을 받아 동작을 수행 할 때 마다 원격지 서버와 통신을 한다. 이는 해당 공격자의 명령과 데이터를 주고 받기 위한 동작으로 확인된다.

하지만 현재 분석시점에서는 해당 원격지서버는 접속이 정상적으로 이루어지지 않는다. 


[그림 6] 원격지 서버 연결 시도1[그림 6] 원격지 서버 연결 시도1


[그림 7] 원격지 서버 연결 시도2[그림 7] 원격지 서버 연결 시도2



원격지 연결 시도 후, HTTP상태 코드를 확인하여 연결이 성공적으로 이루어 졌는지 확인한다. 


[그림 8] 원격지 서버 연결 상태 확인[그림 8] 원격지 서버 연결 상태 확인





3-4. C&C 명령 테이블

현재 원격지 서버와 연결이 정상적으로 이루어지지 않고 있지만, 원격지 연결이 성공적으로 이루어질 경우 원격지 서버로부터 명령을 받아 추가적인 동작을 수행할 수 있다. 전체적인 C&C 동작 목록은 아래와 같다.


[그림 9] C&C 명령 테이블1[그림 9] C&C 명령 테이블1


[그림 10] C&C 명령 테이블2[그림 10] C&C 명령 테이블2




3-5. C&C 명령 주요 동작

다음은 ‘jusched.exe’ 악성코드의 C&C 명령에 따른 주요 동작을 확인 한 내용이다. 

정보 수집 및 전송

PC 정보

시스템 드라이브 정보

프로세스&모듈 정보

파일 속성 및 데이터

파일 및 폴더 정보

CAB 관련 파일 데이터

[1] 정보 수집 및 전송



해당 악성코드는 감염 PC이름과 시스템 정보를 수집한다.


[그림 11] 사용자 PC정보 수집[그림 11] 사용자 PC정보 수집



또한 감염 PC의 시스템 드라이브의 정보를 수집한다.

[그림 12] 시스템 드라이브 정보 수집[그림 12] 시스템 드라이브 정보 수집



C&C 명령을 통하여 특정 이름과 일치하는 파일이나 디렉토리 정보를 수집한다.


[그림 13] 파일 및 디렉터리 정보 수집[그림 13] 파일 및 디렉터리 정보 수집

 



추가 악성 동작

특정 프로세스 실행

특정 파일 다운로드

지정 프로세스 종료

지정한 파일 변조

 

 

[2] 추가 악성 행위




공격자는 특정 파일의 날짜, 디렉터리 생성 시간, 마지막 접근 시간, 수정 시간을 변경한다.


[그림 14] TimeStamp 변경 시도[그림 14] TimeStamp 변경 시도



아래 그림은 특정 문자열을 디코딩 하였을 때 다음과 같은 문자열로 변경된다. 해당 문자열은 명령프롬프트(cmd.exe)를 이용하여 파일을 실행하는데 사용되는 것을 확인 할 수 있다.


[그림 15] cmd 명령어를 통한 파일 실행[그림 15] cmd 명령어를 통한 파일 실행


 

문자열

디코딩

%7toDt%7tJ>%7

%s /c %s 2>%s

%7toDt%7t>%7tJ>%s

%s /c %s > %s 2>&1

[3] Decoding



C&C 명령 동작 내용중 일부는 원격지 서버로부터 특정 프로세스를 실행한다는 것을 알 수 있다.


[그림 16] C&C 명령을 통하여 특정 프로세스 실행[그림 16] C&C 명령을 통하여 특정 프로세스 실행




원격지 C&C 명령을 통해 파일 이름과 데이터를 받아와 특정 파일을 생성할 수 있다. 이는 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다.


[그림 17] 특정 파일 추가 다운로드[그림 17] 특정 파일 추가 다운로드




4. 결론

이번에 분석한 악성코드는 HWP 첨부파일을 다운로드하여 여는 순간, 사용자 PC가 감염되어 악성 동작을 수행하기 때문에 감염사실을 인지하기 어렵다. C&C악성코드 같은 경우 감염 후 바로 동작을 수행 할 수도 있지만 일정 시간 동안 대기 상태로 존재하다가 추후 공격자의 명령을 수행할 수 있다는 점 때문에 국내주요기관 및 기업은 이메일에 첨부된 파일을 열람 시 주의를 하여야 한다.   


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석



1. 개요 


지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다.


기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다.


Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기 때문에 Windows 사용자들은 신속하게 긴급 패치를 조치하여야 한다. 또한, 2014년 4월 이후로 보안 업데이트 등 모든 지원이 종료된 Windows XP 및 Windows Server 2003등에 긴급보안패치도 발표하였기 때문에 사용자는 반드시 업데이트할 것을 권고한다.


이번 분석보고서에서는 일명 워너크라이로 불리는 ‘WannaCryptor’ 랜섬웨어에 대해 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mssecsvc.exe(임의의 파일명)

파일크기

3,723,264 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

SMB 취약점 공격, 숙주 파일

 


구분

내용

파일명

tasksche.exe

파일크기

3,514,368 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

Windows SMB(Server Message Block) 취약점을 악용하여 유포 되는 것으로 확인 된다. SMB 프로토콜은 네트워크에서 파일 및 프린터 등을 액세스 하는데 사용되는 프로토콜을 의미한다.



2-3. 실행 과정

‘WannaCryptor’ 랜섬웨어는 Windows SMB 원격 코드 실행 취약점을 악용하여 감염이 되기 때문에 2017년 3월 14일에 발표된 MS사의 SMB 취약점 패치를 업데이트 하지 않은 사용자 PC에 네트워크를 통하여 감염된다.

감염된 사용자 PC에서는 숙주파일이 먼저 실행이 되고, 숙주파일에서는 동일한 네트워크를 사용하고 있지만 SMB 취약점 패치를 하지 않은 다른 PC를 검색하여 또다시 유포 한다. 숙주 파일이 실행되면 “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” URL 에 접속을 시도하며, 해당 URL 에 접속하지 못할 경우, 악성동작을 수행한다. (해당 URL 은 변종마다 다를 수 있다)


해당 악성코드에 감염이 된 PC에서는 숙주파일로부터 드롭된 ‘tasksche.exe’ 파일이 실행되어 악성동작과 관련한 여러 파일을 생성하여 암호화 동작을 수행한다. 


[그림 1]  ‘WannaCryptor’ 랜섬웨어 실행 흐름[그림 1] ‘WannaCryptor’ 랜섬웨어 실행 흐름






암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경되는 것을 확인할 수 있다.


[그림 2]  ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면





3. 숙주 파일 동작


3-1. 서비스 생성

해당 악성파일은 URL을 체크 한 후에 “mssecsvc2.0” 라는 서비스를 생성한다.


[그림 3]  mssecsvc2.0 서비스 생성[그림 3] mssecsvc2.0 서비스 생성






3-2. 파일 드롭 및 실행

해당 악성코드는 다음과 같이 ‘tasksche.exe’ 라는 파일을 생성하여 ‘-i’ 인자를 주어 실행한다. 이 실행 파일은 실제 랜섬웨어 동작을 수행하는 파일이다.


[그림 4]  tasksche.exe 파일 생성[그림 4] tasksche.exe 파일 생성





3-3. 전파 방식

‘WannaCryptor’ 랜섬웨어의 숙주파일은 다른 PC들을 감염시키기 위해 랜덤으로 IP값을 생성하고 445번 port를 이용하여 감염을 시도한다. 


[그림 5] 악성코드 유포[그림 5] 악성코드 유포





4. 드롭파일 동작(tasksche.exe)


4-1. 파일 생성

‘WannaCryptor’ 랜섬웨어에 감염이 되면 숙주파일은 임의의 경로에 ‘tasksche.exe’ 파일을 드롭하고 실행한다. 그리고 드롭된 파일이 실행 되면 같은 경로에 아래 [그림 6] 과 같이 랜섬웨어와 관련된 다수의 파일을 압축해제 한다.


[그림 6] 악성파일 다수 생성[그림 6] 악성파일 다수 생성




압축해제 된 파일들의 역할은 다음과 같다. 

구분

내용

b.wnry

암호화 동작 수행 후 변경할 바탕화면 이미지 파일

c.wnry

Tor 관련 파일

f.wnry

암호화 된 파일 목록

r.wnry

랜섬노트 텍스트 파일

s.wnry

Tor 관련 압축파일

t.wnry

암화화 관련 DLL 파일 (실제 메모리에 Load되어 암호화 동작 수행)

u.wnry

랜섬노트 실행 파일 (@WanaDecryptor@.exe)

taskdl.exe

.WNCRYPT 확장자 파일목록 조회 및 삭제

taskse.exe

원격세션 관련 파일

[1] 압축 해제 된 악성코드 파일목록



압축 해제 된 파일 중 msg 하위 경로에 다음과 같이 여러 언어를 지원한다는 것을 확인 할 수 있다.


[그림 7] msg폴더 내부에 있는 국가별 언어 파일[그림 7] msg폴더 내부에 있는 국가별 언어 파일



또한 TaskData 하위 경로에는 토르(Tor)와 관련 된 파일이 생성된다. 이는 추적을 어렵게 하기 사용되는 것으로 확인된다.


[그림 8] Tor 관련 파일 생성[그림 8] Tor 관련 파일 생성





4-2. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.WNCRY’ 라는 확장자를 덧붙인다. 

구분

내용

암호화 대상 파일

확장자

".doc", ".docx", ".docb", ".docm", ".dot", ".dotm", ".dotx", ".xls", ".xlsx", ".xlsm", ".xlsb" ,".xlw", ".xlt", ".xlm", ".xlc", ".xltx", ".xltm", ".ppt", ".pptx", ".pptm", ".pot", ".pps", ".ppsm", ".ppsx", ".ppam", ".potx", ".potm", ".pst", ".ost", ".msg", ".eml", ".edb", ".vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", ".onetoc2", ".snt", ".hwp", ".602", ".sxi", ".sti", ".sldx", ".sldm", ".sldm", ".vdi", ".vmdk", ".vmx", ".gpg", ".aes", ".ARC", ".PAQ", ".bz2", ".tbk", ".bak", ".tar", ".tgz", ".gz", ".7z", ".rar", ".zip", ".backup", ".iso", ".vcd", ".jpeg", ".jpg", ".bmp", ".png", ".gif", ".raw", ".cgm", ".tif", ".tiff", ".nef", ".psd", ".ai", ".svg", ".djvu", ".m4u", ".m3u", ".mid", ".wma", ".flv", ".3g2", ".mkv", ".3gp", ".mp4", ".mov", ".avi", ".asf", ".mpeg", ".vob", ".mpg", ".wmv", ".fla", ".swf", ".wav", ".mp3", ".sh", ".class", ".jar", ".java", ".rb", ".asp", ".php", ".jsp", ".brd", ".sch", ".dch", ".dip", ".pl", ".vb", ".vbs", ".ps1", ".bat", ".cmd", ".js", ".asm", ".h", ".pas", ".cpp", ".c", ".cs", ".suo", ".sln", ".ldf", ".mdf", ".ibd", ".myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", ".sqlite3", ".asc", ".lay6", ".lay", ".mml", ".sxm", ".otg", ".odg", ".uop", ".std", ".sxd", ".otp", ".odp", ".wb2", ".slk", ".dif", ".stc", ".sxc", ".ots", ".ods", ".3dm", ".max", ".3ds", ".uot", ".stw", ".sxw", ".ott", ".odt", ".pem", ".p12", ".csr", ".crt", ".key", ".pfx", ".der"

[2] 암호화 대상 파일 확장자



암호화 된 파일은 아래와 같은 형태가 되며, “@Please_Read_Me@.txt”, “@WanaDecryptor@.exe “ 라는 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 9] 암호화 된 파일과 랜섬노트[그림 9] 암호화 된 파일과 랜섬노트





4-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화




4-4. 금전 요구

파일 암호화가 완료되면 ‘WannaCryptor’ 랜섬웨어는 암호화된 파일에 대하여 비트코인을 요구한다. 해당 랜섬웨어는 랜섬노트를 28개의 언어로 지불방법을 설명하고 있으며, 지불방법으로 $300를 비트코인으로 요구한다. 또한 주어진 시간이 지나면 복호화 비용을 두배 가격으로 올리거나 영구 삭제한다는 내용을 포함하고 있다.


[그림 11] 비트코인 요구 실행 파일[그림 11] 비트코인 요구 실행 파일



[그림 12] 텍스트 형식의 랜섬노트[그림 12] 텍스트 형식의 랜섬노트






5. 참고 공지 사항






6. 결론

이번에 전 세계적으로 발생한 ‘WannaCryptor’ 랜섬웨어 는 Windows 취약점을 악용하여 유포된다는 점에서 사용자PC의 Windows 업데이트가 얼마나 중요한지를 일깨워주는 사례로 기억 될 것으로 보인다. 여타 랜섬웨어들과는 다르게 웜의 성격을 보이는 유포 방식을 사용한다는 점에서 추가적으로 다른 악성코드와 결합된 새로운 형태의 악성코드가 발견되거나, SMB 취약점 업데이트를 미처 하지 못한 사용자들을 대상으로 한 다른 랜섬웨어의 공격이 발생할 여지가 있다. 그러므로 Microsoft에서 제공하는 Windows 보안 업데이트를 신속하게 진행 할 것을 요구한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 Windows 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며 워너크라이 랜섬웨어 취약점 점검툴인 nProtect WannaCry Checker를 통해 점검 및 임시 조치가 가능하다.


워너크라이 취약점 점검툴 nProtect WannaCry Checker 다운로드

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect