전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석



1. 개요 


지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다.


기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다.


Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기 때문에 Windows 사용자들은 신속하게 긴급 패치를 조치하여야 한다. 또한, 2014년 4월 이후로 보안 업데이트 등 모든 지원이 종료된 Windows XP 및 Windows Server 2003등에 긴급보안패치도 발표하였기 때문에 사용자는 반드시 업데이트할 것을 권고한다.


이번 분석보고서에서는 일명 워너크라이로 불리는 ‘WannaCryptor’ 랜섬웨어에 대해 알아보고자 한다. 






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mssecsvc.exe(임의의 파일명)

파일크기

3,723,264 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

SMB 취약점 공격, 숙주 파일

 


구분

내용

파일명

tasksche.exe

파일크기

3,514,368 Byte

진단명

Ransom/W32.WannaCry.Zen

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

Windows SMB(Server Message Block) 취약점을 악용하여 유포 되는 것으로 확인 된다. SMB 프로토콜은 네트워크에서 파일 및 프린터 등을 액세스 하는데 사용되는 프로토콜을 의미한다.



2-3. 실행 과정

‘WannaCryptor’ 랜섬웨어는 Windows SMB 원격 코드 실행 취약점을 악용하여 감염이 되기 때문에 2017년 3월 14일에 발표된 MS사의 SMB 취약점 패치를 업데이트 하지 않은 사용자 PC에 네트워크를 통하여 감염된다.

감염된 사용자 PC에서는 숙주파일이 먼저 실행이 되고, 숙주파일에서는 동일한 네트워크를 사용하고 있지만 SMB 취약점 패치를 하지 않은 다른 PC를 검색하여 또다시 유포 한다. 숙주 파일이 실행되면 “http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” URL 에 접속을 시도하며, 해당 URL 에 접속하지 못할 경우, 악성동작을 수행한다. (해당 URL 은 변종마다 다를 수 있다)


해당 악성코드에 감염이 된 PC에서는 숙주파일로부터 드롭된 ‘tasksche.exe’ 파일이 실행되어 악성동작과 관련한 여러 파일을 생성하여 암호화 동작을 수행한다. 


[그림 1]  ‘WannaCryptor’ 랜섬웨어 실행 흐름[그림 1] ‘WannaCryptor’ 랜섬웨어 실행 흐름






암호화가 진행된 후 사용자의 바탕화면은 아래와 같이 변경되는 것을 확인할 수 있다.


[그림 2]  ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] ‘WannaCryptor’ 랜섬웨어에 감염 된 사용자 바탕화면





3. 숙주 파일 동작


3-1. 서비스 생성

해당 악성파일은 URL을 체크 한 후에 “mssecsvc2.0” 라는 서비스를 생성한다.


[그림 3]  mssecsvc2.0 서비스 생성[그림 3] mssecsvc2.0 서비스 생성






3-2. 파일 드롭 및 실행

해당 악성코드는 다음과 같이 ‘tasksche.exe’ 라는 파일을 생성하여 ‘-i’ 인자를 주어 실행한다. 이 실행 파일은 실제 랜섬웨어 동작을 수행하는 파일이다.


[그림 4]  tasksche.exe 파일 생성[그림 4] tasksche.exe 파일 생성





3-3. 전파 방식

‘WannaCryptor’ 랜섬웨어의 숙주파일은 다른 PC들을 감염시키기 위해 랜덤으로 IP값을 생성하고 445번 port를 이용하여 감염을 시도한다. 


[그림 5] 악성코드 유포[그림 5] 악성코드 유포





4. 드롭파일 동작(tasksche.exe)


4-1. 파일 생성

‘WannaCryptor’ 랜섬웨어에 감염이 되면 숙주파일은 임의의 경로에 ‘tasksche.exe’ 파일을 드롭하고 실행한다. 그리고 드롭된 파일이 실행 되면 같은 경로에 아래 [그림 6] 과 같이 랜섬웨어와 관련된 다수의 파일을 압축해제 한다.


[그림 6] 악성파일 다수 생성[그림 6] 악성파일 다수 생성




압축해제 된 파일들의 역할은 다음과 같다. 

구분

내용

b.wnry

암호화 동작 수행 후 변경할 바탕화면 이미지 파일

c.wnry

Tor 관련 파일

f.wnry

암호화 된 파일 목록

r.wnry

랜섬노트 텍스트 파일

s.wnry

Tor 관련 압축파일

t.wnry

암화화 관련 DLL 파일 (실제 메모리에 Load되어 암호화 동작 수행)

u.wnry

랜섬노트 실행 파일 (@WanaDecryptor@.exe)

taskdl.exe

.WNCRYPT 확장자 파일목록 조회 및 삭제

taskse.exe

원격세션 관련 파일

[1] 압축 해제 된 악성코드 파일목록



압축 해제 된 파일 중 msg 하위 경로에 다음과 같이 여러 언어를 지원한다는 것을 확인 할 수 있다.


[그림 7] msg폴더 내부에 있는 국가별 언어 파일[그림 7] msg폴더 내부에 있는 국가별 언어 파일



또한 TaskData 하위 경로에는 토르(Tor)와 관련 된 파일이 생성된다. 이는 추적을 어렵게 하기 사용되는 것으로 확인된다.


[그림 8] Tor 관련 파일 생성[그림 8] Tor 관련 파일 생성





4-2. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 암호화 대상이 되는 파일을 찾아 암호화 한 뒤 ‘.WNCRY’ 라는 확장자를 덧붙인다. 

구분

내용

암호화 대상 파일

확장자

".doc", ".docx", ".docb", ".docm", ".dot", ".dotm", ".dotx", ".xls", ".xlsx", ".xlsm", ".xlsb" ,".xlw", ".xlt", ".xlm", ".xlc", ".xltx", ".xltm", ".ppt", ".pptx", ".pptm", ".pot", ".pps", ".ppsm", ".ppsx", ".ppam", ".potx", ".potm", ".pst", ".ost", ".msg", ".eml", ".edb", ".vsd", ".vsdx", ".txt", ".csv", ".rtf", ".123", ".wks", ".wk1", ".pdf", ".dwg", ".onetoc2", ".snt", ".hwp", ".602", ".sxi", ".sti", ".sldx", ".sldm", ".sldm", ".vdi", ".vmdk", ".vmx", ".gpg", ".aes", ".ARC", ".PAQ", ".bz2", ".tbk", ".bak", ".tar", ".tgz", ".gz", ".7z", ".rar", ".zip", ".backup", ".iso", ".vcd", ".jpeg", ".jpg", ".bmp", ".png", ".gif", ".raw", ".cgm", ".tif", ".tiff", ".nef", ".psd", ".ai", ".svg", ".djvu", ".m4u", ".m3u", ".mid", ".wma", ".flv", ".3g2", ".mkv", ".3gp", ".mp4", ".mov", ".avi", ".asf", ".mpeg", ".vob", ".mpg", ".wmv", ".fla", ".swf", ".wav", ".mp3", ".sh", ".class", ".jar", ".java", ".rb", ".asp", ".php", ".jsp", ".brd", ".sch", ".dch", ".dip", ".pl", ".vb", ".vbs", ".ps1", ".bat", ".cmd", ".js", ".asm", ".h", ".pas", ".cpp", ".c", ".cs", ".suo", ".sln", ".ldf", ".mdf", ".ibd", ".myi", ".myd", ".frm", ".odb", ".dbf", ".db", ".mdb", ".accdb", ".sql", ".sqlitedb", ".sqlite3", ".asc", ".lay6", ".lay", ".mml", ".sxm", ".otg", ".odg", ".uop", ".std", ".sxd", ".otp", ".odp", ".wb2", ".slk", ".dif", ".stc", ".sxc", ".ots", ".ods", ".3dm", ".max", ".3ds", ".uot", ".stw", ".sxw", ".ott", ".odt", ".pem", ".p12", ".csr", ".crt", ".key", ".pfx", ".der"

[2] 암호화 대상 파일 확장자



암호화 된 파일은 아래와 같은 형태가 되며, “@Please_Read_Me@.txt”, “@WanaDecryptor@.exe “ 라는 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 9] 암호화 된 파일과 랜섬노트[그림 9] 암호화 된 파일과 랜섬노트





4-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본 관리 도구인 vssadmin.exe를 사용한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화[그림 10] 시스템 복원 기능 삭제 및 부팅 복구 무력화




4-4. 금전 요구

파일 암호화가 완료되면 ‘WannaCryptor’ 랜섬웨어는 암호화된 파일에 대하여 비트코인을 요구한다. 해당 랜섬웨어는 랜섬노트를 28개의 언어로 지불방법을 설명하고 있으며, 지불방법으로 $300를 비트코인으로 요구한다. 또한 주어진 시간이 지나면 복호화 비용을 두배 가격으로 올리거나 영구 삭제한다는 내용을 포함하고 있다.


[그림 11] 비트코인 요구 실행 파일[그림 11] 비트코인 요구 실행 파일



[그림 12] 텍스트 형식의 랜섬노트[그림 12] 텍스트 형식의 랜섬노트






5. 참고 공지 사항






6. 결론

이번에 전 세계적으로 발생한 ‘WannaCryptor’ 랜섬웨어 는 Windows 취약점을 악용하여 유포된다는 점에서 사용자PC의 Windows 업데이트가 얼마나 중요한지를 일깨워주는 사례로 기억 될 것으로 보인다. 여타 랜섬웨어들과는 다르게 웜의 성격을 보이는 유포 방식을 사용한다는 점에서 추가적으로 다른 악성코드와 결합된 새로운 형태의 악성코드가 발견되거나, SMB 취약점 업데이트를 미처 하지 못한 사용자들을 대상으로 한 다른 랜섬웨어의 공격이 발생할 여지가 있다. 그러므로 Microsoft에서 제공하는 Windows 보안 업데이트를 신속하게 진행 할 것을 요구한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 Windows 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며 워너크라이 랜섬웨어 취약점 점검툴인 nProtect WannaCry Checker를 통해 점검 및 임시 조치가 가능하다.


워너크라이 취약점 점검툴 nProtect WannaCry Checker 다운로드

 


[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Venus Locker의 변종, LLTP Locker 감염 주의



1. 개요 


‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다.


지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다.


이번 보고서에서는 Venus Locker의 변종, ‘LLTP Locker’ 랜섬웨어에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

LLTP_Ransom.exe

파일크기

956,928 byte

진단명

Ransom/W32.LLTP.956928

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, P2P사이트, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘LLTP Locker’ 랜섬웨어가 실행되면 http://moniestealer.co.nf로 피해자의 PC이름, 사용자 계정, 그리고 식별자 문자열인‘LLTP2.4.0’을 전송한다.


[그림 1] 감염 시 패킷 전송[그림 1] 감염 시 패킷 전송



그 후 파일암호화를 진행하는데, LLPT 랜섬웨어의 경우, 특이 하게도 암호화 후에 원본 파일 확장명에 따라 두가지 형식의 새로운 확장자명으로 변경 한다. 

파일 암호화가 완료되면 사용자의 바탕화면은 아래와 같이 변경되고 .EXE와 .TXT 형태의 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면


[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드






3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 ‘2가지’ 확장자명 으로 암호화 한다. 

아래 [표 1] 에 해당하는 파일의 경우 암호화 후 확장자가 “.ENCRYPTED_BY_LLTP”로 변경된다. 

구분

내용

암호화 대상 파일

확장자

".txt",".ini",".php",".html",".css",".py",".c",".cxx",".aspx",".cpp",".cc",".h",".cs",             ".sln",

".log",".pl",".java",".doc",".dot",".docx",".docm",".dotx",".dotm",".rtf",".wpd",".docb",

".wps",".msg",".xls",".xlt",".xlm",".xlsx",".xlsm",".xltx",".xltm","xlsb",".xla",".xlam",

".xll",".xlw",".ppt",".pot",".pps",".pptx",".pptm",".potx",".potm",".ppam",".ppsx",

".ppsm",".sldx",".sldm",".class",".jar",".csv",             ".xml",".dwg",".dxf",".asp"

[표 1] 암호화 대상 파일 확장자


암호화 된 파일 확장자명이 ".ENCRYPTED_BY_LLTPp"으로 변경되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일

확장자

".asf",".pdf",".xls",".docx",".xlsx",".mp3",".waw",".jpg",".jpeg",".txt",".ost",".oab",

".jsp",".rtf",".doc",".rar",".zip",".psd",".tif",".wma",".gif",".bmp",".ppt",".pptx",".docm",

".xlsm",".pps",".ppsx",".ppd",".eps",".png",".ace",".djvu",".tar",".cdr",".max", ".wmv",

".avi",".wav",".mp4",".pdd",".php",".aac",".ac3",".amf",".amr",".dwg",".dxf",".accdb",

".mod",".tax2013",".tax2014",".oga",".ogg",".pbf",".ra",".raw",".saf",".val",".wave",

".wow",".wpk",".3g2",".3gp",".3gp2",".3mm",".amx",".rpt",".avs",".bik",".dir",".divx",

".dvx",".evo",".flv",".qtq",".tch",".rts",".rum",".rv",   ".scn",".srt",".stx",".svi",".swf",".trp",

".vdo",".wm",".wmd",".wmmp",".wmx",".wvx",".xvid",".3d",".3d4",".3df8",".pbs",

".adi",".ais",".amu",".arr",".bmc",".bmf",".cag",".cam",".dng",".ink",".ini",".jif",".jiff",

".jpc",".jpf",".jpw",".mag",".mic",".mip",".msp",".nav",".ncd",".odc",".odi",".opf",".qif",

".xwd",".abw",".act",".adt",".aim",".ans",".asc",".ase",".bdp",".bdr",".bib",".boc",".crd",

".diz",".dot",".dotm",".dotx",".dvi",".dxe",".mlx",".err",".euc",".faq",".fdr",".fds",".gthr",

".idx",".kwd",".lp2",".ltr",".man",".mbox",".msg",".nfo",".now",".odm",".oft",".pwi",

".rng",".rtx",".run",".ssa",".text",".unx",".wbk",".wsh",".7z",".arc",".ari",".arj",".car",".cbr",

".cbz",".gz",".gzig",".jgz",".pak",".pcv",".puz",".rev",".sdn",".sen",".sfs",".sfx",".sh",".shar",

".shr",".sqx",".tbz2",".tg",".tlz",".vsi",".wad",".war",".xpi",".z02",".z04",".zap",".zipx",

".zoo",".ipa",".isu",".jar",".js",".udf",".adr",".ap",".aro",".asa",".ascx",".ashx",".asmx",

".asp",".indd",".asr",".qbb",".bml",".cer",".cms",".crt",".dap",".htm",".moz",".svr",".url",

".wdgt",".abk",".bic",".big",".blp",".bsp",".cgf",".chk",".col",".cty",".dem",".elf",".ff",

".gam",".grf",".h3m",".h4r",".iwd",".ldb",".lgp",".lvl",".map",".md3",".mdl",".nds",

".pbp",".ppf",".pwf",".pxp",".sad",".sav",".scm",".scx",".sdt",".spr",".sud",".uax",".umx",

".unr",".uop",".usa",".usx",".ut2",".ut3",".utc",".utx",".uvx",".uxx",".vmf",".vtf",".w3g",

".w3x",".wtd",".wtf",".ccd",".cd",".cso",".disk",".dmg",".dvd",".fcd",".flp",".img",".isz",

".mdf",".mds",".nrg",".nri",".vcd",".vhd",".snp",".bkf",".ade",".adpb",".dic",".cch",".ctt",

".dal",".ddc",".ddcx",".dex",".dif",".dii",".itdb",".itl",”.kmz",".lcd",".lcf",".mbx",".mdn",

".odf",".odp",".ods",".pab",".pkb",".pkh",".pot",".potx",".pptm",".psa",".qdf",".qel",

".rgn",".rrt",".rsw",".rte",".sdb",".sdc",".sds",".sql",".stt",".tcx",".thmx",".txd",".txf",

".upoi",".vmt",".wks",".wmdb",".xl",".xlc",".xlr",".xlsb",".xltx",".ltm",".xlwx",".mcd",

".cap",".cc",".cod",".cp",".cpp",".cs",".csi",".dcp",".dcu",".dev",".dob",".dox",".dpk",

".dpl",".dpr",".dsk",".dsp",".eql",".ex",".f90",".fla",".for",".fpp",".jav",".java",".lbi",".owl",

".pl",".plc",".pli",".pm",".res",".rsrc",".so",".swd",".tpu",".tpx",".tu",".tur",".vc",".yab", 

".aip",".amxx",".ape",".api",".mxp",".oxt",".qpx",".qtr",".xla",".xlam",".xll",".xlv",".xpt",

".cfg",".cwf",".dbb",".slt",".bp2",".bp3",".bpl",".clr", ".dbx",".jc",".potm",".ppsm",

".prc",".prt",".shw",".std",".ver",".wpl",".xlm",".yps",".1cd",".bck",".html",".bak",".odt",

".pst",".log",".mpg",".mpeg",".odb",".wps",".xlk",".mdb",".dxg",".wpd",".wb2",".dbf",

".ai",".3fr",".arw",".srf",".sr2",".bay",".crw",".cr2",".dcr",".kdc",".erf",".mef",".mrw",".nef",

".nrw",".orf",".raf",".rwl",".rw2",".r3d",".ptx",".pef",".srw",".x3f",".der",".pem",".pfx",

".p12",".p7b",".p7c",".jfif",".exif",".docb",".xlt",".xltm",".xlw",".ppam",".sldx",".sldm",

".class",".db",".pdb",".dat",".csv",".xml",".spv",".grle",".sv5",".game",".slot",".aaf",".aep",

".aepx",".plb",".prel",".prproj",".eat",".ppj", ".indl",".indt",".indb",".inx",".idml",".pmd",

".xqx",".svg",".as3",".as"

[2] 암호화 대상 파일 확장자



해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA알고리즘을 사용하여 암호화 한다.

암호화 된 파일은 아래와 같은 형태가 되며, 바탕화면에 “LEAME.txt”, “RansomNote.exe”라는 랜섬노트가 생성된 것을 확인할 수 있다.


[그림 4] 암호화 된 파일과 랜섬노트[그림 4] 암호화 된 파일과 랜섬노트



'LLTP Locker'랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 

구분

내용

예외 대상 목록의

경로

"Program Files","Program Files (x86)","Windows","Python27","Python34",

"AliWangWang",  "Avira","wamp",  "Avira","360","ATI","Google","Intel",

"Internet Explorer","Kaspersky Lab","Microsoft Bing Pinyin","Microsoft Chart Controls",

"Microsoft Games","Microsoft Office","Microsoft.NET","MicrosoftBAF","MSBuild",

"QQMailPlugin","Realtek","Skype","Reference Assemblies","Tencent", "USB Camera2",

"WinRAR","Windows Sidebar","Windows Portable Devices","Windows Photo Viewer",

"Windows NT","Windows Media Player","Windows Mail","NVIDIA Corporation",

"Adobe","IObit","AVAST Software","CCleaner","AVG","Mozilla Firefox","VirtualDJ",

"TeamViewer","ICQ","java","Yahoo!"

[3] 예외 대상 경로




3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC의 볼륨 쉐도우 복사본이 제거된다.


[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제




3-3. 금전 요구

파일 암호화가 완료되면 'LLTP Locker'랜섬웨어는 암호화된 파일에 대하여 금전을 요구한다. 해당 랜섬웨어는 랜섬노트를 3가지 형식의 포멧으로 사용자에게 지불방법을 설명한다.

변경된 바탕화면과 바탕화면에 생성 된 “LEAME.txt” 는 영문으로, “RansomeNote.exe”는 스페인어로 사용자에게 비트코인 지불 방법을 안내한다.


[그림 6] 스페인어로 작성되어진 랜섬노트[그림 6] 스페인어로 작성되어진 랜섬노트


[그림 7] 영문 랜섬노트[그림 7] 영문 랜섬노트




3-4. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 .exe포멧의 랜섬노트를 띄워 사용자에게 감염되었다는 것을 계속 인지하도록 유도 한다.


[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가



그리고 바탕화면을 변경하기 위해서 아래 그림과 같이 Wallpaper의 값을 해당 이미지 경로로 변경한다.


[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가



4. 결론

‘LLTP Locker’에 대해서는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 여타 랜섬웨어와 같이 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 그 피해가 커질 것으로 예상된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의



1. 개요 


‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.

CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.

이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

revenge.exe

파일크기

116,224 byte

진단명

Ransom/W32.Revenge.116224

악성동작

파일 암호화

해쉬(MD5)

3BCEADD4C2C546ABA24E24307F1DEFCD

 



2-2. 유포 경로

웹브라우저의 취약점을 공격하는 ‘RIG Exploit Kit’을 이용하여 웹을 통해 유포된다.



2-3. 실행 과정

해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 확장자를 REVENGE 로 변경한다. 파일 암호화 시 사용 된 AES 암호화 키는 다시 한번 RSA-1024 방식으로 암호화 된다. 또한 관리자 권한으로 실행하기 위해서 ‘Windows Defender’ 가짜 메시지를 출력하여, 사용자의 클릭을 유도해 권한을 상승한다. 파일 암호화 이후 아래 그림과 같은 .txt 포맷의 랜섬노트를 띄운다.

랜섬노트에는 ‘Revenge’ 랜섬웨어 복호화를 안내하는 내용이 있으며, 결제를 위한 메일 주소를 포함하고 있다.


[그림1] 랜섬노트[그림1] 랜섬노트




WMI Commandline Utility를 이용하여 원본악성코드를 호출한다. 권한 상승을 유도하기 위해서 ‘Windows Defender’에서 출력된 메시지처럼 사용자의 [계속] 버튼을 클릭하도록 만든다.


[그림2] 암호화 진행 중 첫번째 팝업 출력[그림2] 암호화 진행 중 첫번째 팝업 출력




‘Windows Defender’ 가짜 메시지 창의 [계속] 버튼을 사용자가 클릭하게 되면 아래와 같이 사용자 계정 컨트롤 팝업창을 허용할지 묻는다. 만약 [아니오]를 누르면 해당 메시지 창은 계속해서 발생된다.


[그림3] 암호화 진행 중 두번째 팝업 출력[그림3] 암호화 진행 중 두번째 팝업 출력




관리자 권한으로 실행할지 여부를 묻는 팝업창에서 허용 하게 되면 원본악성코드를 관리자 권한으로 실행 한다. 이러한 과정은 PC사용자를 Windows defender에서 실행하는 과정으로 보이도록 유도한다.


[그림4] 암호화 진행 중 세번째 팝업 출력[그림4] 암호화 진행 중 세번째 팝업 출력




해당 랜섬웨어는 [그림5]와 같이 .REVENGE의 문자로 확장자를 바꾼다. 그리고 대상 폴더 마다 “# !!!HELP_FILE!!!#.TXT” 라는 랜섬노트를 생성한다.


[그림5] 암호화 된 파일[그림5] 암호화 된 파일





3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다.


[그림 6] 암호화 대상 파일 확장자 일부 내용[그림 6] 암호화 대상 파일 확장자 일부 내용




해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한 후, 파일의 확장자를 .REVENGE 로 변경한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA-1024 공개 키를 사용하여 암호화 한다.





3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 사용한다. 아래 그림의 Command Line과 같은 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.


[그림7] 쉐도우 파일 삭제[그림7] 쉐도우 파일 삭제






4. 결론

최근 ‘Revenge’ 랜섬웨어와 같이 한국인 사용자도 함께 겨냥한 랜섬웨어들이 지속적으로 등장하고 있다. 이에 대비하여 국내 사용자들은 인터넷 사용에 있어 주의를 기울여야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹 브라우저를 항상 최신버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융정보 탈취 악성코드 분석 




1. 개요 


분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. 


MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다.


이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PrimePC.exe

파일크기

777,479 Bytes

진단명

Banker/W32.Agent.777479

악성동작

드롭퍼 (숙주파일)

 

구분

내용

파일명

[RANDOM_01].dll

파일크기

45,056 Bytes

진단명

Banker/W32.Agent.45056.D

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

[RANDOM_02].dll

파일크기

301,316 Bytes

진단명

Banker/W32.Agent.301316

주요 악성동작

금융 정보 탈취 및 변조

 

구분

내용

파일명

[RANDOM_03].dll

파일크기

28,672 Bytes

진단명

Banker/W32.Agent.28672.B

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

wshtcpip.dll (변조)

파일크기

19,456 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 

구분

내용

파일명

midimap.dll (변조)

파일크기

18,944 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 


2-2. 실행 과정

숙주 악성코드는 여러 파일을 드롭하고 다양한 동작을 수행한다. 세세한 동작을 제외한 주요 동작에 관한 큰 흐름은 아래 그림과 같다. 아래의 흐름도에서 [Random_c].dll[Random_d].dll변조 된 wshtcpip.dllmdidimap.dll 을 통해 로드 되어 악성행위를 수행한다.


[그림 1] 주요 동작 흐름[그림 1] 주요 동작 흐름


해당 악성코드는 일명 ‘메모리 해킹 악성코드’ 로 불린다. 이는 금융 거래 시에 암호화 되어 있어야 하는 민감한 정보들이 일시적으로 메모리 상에 복호화 되어 적재 되어 있는 데이터를 탈취/변조 하기 때문이다. 또한, 공격자는 금융 거래 시에 사용 되는 보안 모듈을 분석하여 해당 보안 모듈에서의 유의미한 데이터를 탈취하도록 했다.





3. 악성 동작


3-1. 파일 드롭

숙주 파일(본 보고서에서 PrimePC.exe) 실행 시 %TEMP% 경로 하위에 임의의 이름([tickCount].tmp)으로 생성한 임시 파일을 생성한다. 해당 임시 파일은 숙주 파일과 동일 한 파일로, 생성 이후 숙주 파일로 의해 다시 실행된다. 새로운 프로세스로 동작하는 임시파일은 숙주 파일의 내용을 변경하고, 또 다른 임의의 파일명을 가진 파일([tickCount].exe)을 %TEMP% 폴더 하위에 생성한다.


해당 파일은 다시 여러 파일을 드롭한다. 또한, 정상 wshtcpip.dll midimap.dll 을 변조하며, 특정 보안 모듈의 동작을 방해한다. 해당 파일이 드롭 하는 주요 파일은 아래와 같다. 


경로

파일 명

파일 크기

비고

%TEMP%

ahnmove.bat

-

자가 삭제 batch 파일

%TEMP%

[RANDOM_01].dll

45,056 Bytes

백신 프로세스에 DLL 인젝션,

코드 패칭

프로세스 종료

%TEMP%

%SYSTEM%

[RANDOM_02].dll

301,316 Bytes

변조 wshtcpip.dll 에 의해 로드

추가 모듈 다운로드

백신 동작 방해

온라인 뱅킹 관련 정보 탈취

%TEMP%

%SYSTEM%

[RANDOM_03].dll

28,672 Bytes

변조 midimap.dll 에 의해 로드
추가 파일 다운로드 및 실행

백신 동작 방해

%SYSTEM%

wshtcpip.dll

19,456 Bytes

변조 된 wshtcpip.dll

%SYSTEM%

midimap.dll

18,944 Bytes

변조 된 midimap.dll

(※ “%SYSTEMROOT%” 환경변수 경로를 편의상 줄여 “%SYSTEM%” 로 한다.)




3-2. 시스템 DLL 변조

윈도우 정상 DLL인 wshtcpip.dllmidimap.dll 을 악성 DLL로 변조한다. 변조 된 DLL 은 LoadLibrary 을 사용하여 각각 “[RANDOM_02].dll(295KB)” 과 “[RANDOM_03].dll(28KB)” 을 로딩 하는 역할을 한다. 그 외 나머지 부분은 정상 시스템 파일과 동일 하다. 로드 되는 특정 악성 DLL은 숙주파일로 부터 %SYSTEM% 폴더 하위에 이미 드롭 되어 있기 때문에 로드 될 수 있다.


이로 인해 wshtcpip.dll midimap.dll 을 기본적으로 로드하는 프로세스는 모두 추가적으로 “[RANDOM_02].dll” 과 “[RANDOM_03].dll” 까지 로드하게 된다.


[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정




3-3. 백신 무력화

특정 보안 업체의 제품 설치 유무를 검사 한 뒤 존재하면 백신 프로그램 서비스를 중지시키고, 특정 보안 파일을 언로드 및 제거 한다.


[그림 3] 서비스 중지 및 드라이브 파일 제거[그림 3] 서비스 중지 및 드라이브 파일 제거




3-4. 프로세스 종료

변조된 wshtcpi.dll 에 의해 [RANDOM_02].dll 이 “iexplore.exe”에 로드 된 경우 특정 백신 업체의 제품 프로세스를 조회하여 종료시킨다. 또한 윈도우 타이틀의 이름이 특정 문자열과 맞을 경우 종료 메시지를 전달한다. 검사하는 윈도우 타이틀은 아래와 같다. 


검사하는 윈도우 타이틀

바람의 나라 – 고대 고구려

리니지 :: 보안&편의 서비스

액션쾌감!!! 던전앤파이터

메이플스토리

바람의나라

월드 오브 워크래프트

Dungeon & Fighter

Elsword

LineageWindows Client

 




3-5. 추가 파일 다운로드 및 실행

위와 마찬가지로 [RANDOM_02].dll 이 “iexplore.exe” 에 로드 된 경우, 추가 파일을 다운로드 및 실행한다. 다운로드 주소는 특정 알고리즘으로 인코딩 되어 있으며, 복호화 시 분석중인 샘플의 경우 “http://w**b.l***x.com:89/up4/jpg.rar” 과 같다. 해당 파일이 다운로드에 성공하면 실행된다.


[그림 4] 추가 파일 다운로드 시도 URL[그림 4] 추가 파일 다운로드 시도 URL


[그림 5] 추가 파일 다운로드[그림 5] 추가 파일 다운로드





3-6. 사용자 PC 정보 탈취

현재 PC의 정보를 수집하여 특정 URL로 전송한다. 수집하는 정보는 하기와 같으며, 분석 샘플의 대상 원격지는 http://a**f.8*****6.com:85 이다. 


수집 정보

해쉬화 된 PC 정보 (mac)

OS 정보 (os)

설치 된 보안 프로그램 명 (avs)

던전 앤 파이터 설치 여부 (ps)

실행 중인 프로세스 개수 (pnum)

 

 






3-7. 금융 정보 탈취

[RANDOM_02.dll] 이 “explorer.exe” 또는 “iexplore.exe” 에 로드되면 %TEMP% 폴더 하위에 nx1.dat 파일이 존재하는지 확인한다. 존재할 경우 해당 파일의 내용을 읽어 특정 원격지로 전송한다. nx1.dat 파일은 추후 NPKI 를 포함한 탈취 정보가 저장 된다.


[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송



또한, 현재 로드 된 호스트 프로세스가 “dllhost.exe”, “I3GEX.exe” 가 아닌지 확인 한 뒤 금융정보 탈취 과정으로 진입한다. 탈취 과정은 새로운 스레드를 생성하여 동작한다.


[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입



URL 주소에 “w*******k.com”, “b*****g.n******p.com” 문자열이 존재 할 경우, NPKI 탈취 동작과 특정 보안 업체의 DLL 을 후킹한다. 

NPKI 탈취 동작의 경우 여러 경로로 탐색을 시도하여 SignCert.der 과 SignPri.key 파일의 경로를 얻어온다.


[그림 9] 각 경로 별로 NPKI 관련 파일 탐색[그림 9] 각 경로 별로 NPKI 관련 파일 탐색




후킹의 경우 해당 모듈을 패치한 코드에서 이체 정보, 금융 정보 등을 탈취하며, 수집한 정보들을 조합하여 특정 원격지로 전송한다. 수집 할 수 있는 정보는 다음과 같다. 


수집 할 수 있는 정보

고유 해쉬 값 (zmac)

인증서 비밀번호 (zsp)

계좌 비밀 번호 (yhp)

이체 비밀 번호 (yhsp)

보안 카드 번호 (mbi)

보안 카드 값 (mbp)

NPKI 정보

프록시 IP 정보

 

 





4. 결론

해당 악성코드는 윈도우 정상 DLL 을 변조하여 금융 정보 탈취를 시도한다. 변조 대상이 되는 wshtcpip.dll 과 midimap.dll 은 일반적으로 사용되는 파일이므로 변조 시 더 큰 위협이 될 수 있다. 금융 정보 탈취로 인해 사용자는 금전적인 피해를 입을 수도 있다. 뿐만 아니라 추가적인 파일을 다운로드 할 수 있으므로 더욱 주의하여야 한다.

악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 최신 업데이트하여 PC 를 보호하여야 한다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석




1. 개요 


생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Mamianune.exe

파일크기

20,027 Bytes

진단명

Virus/W32.Mamianune

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성상 주로 파일 복제나 이메일을 통해 유포되었을 확률이 높아 보인다.



2-3. 실행 과정

해당 악성코드는 실제 악성 행위를 수행하는 코드까지 2단계로 인코딩 되어있으며, 각 단계 모두 폴리모픽(Polymorphic) 기법이 적용되어 코드가 생성된다.





3. 악성 동작


3-1. 파일 감염

해당 악성코드는 감염 동작 시 아래 그림과 같이 악성코드가 삽입될 마지막 섹션에 실행 속성을 부여하고, 악성코드를 삽입한다.


[그림 1] 섹션 속성 변경[그림 1] 섹션 속성 변경


[그림 2] 악성코드 복사[그림 2] 악성코드 복사




변경된 섹션의 내용을 PE 헤더 스펙에 맞춰주기 위해 아래 그림과 같은 여러 동작을 수행한다.


[그림 3] 마지막 섹션 Virtual size 확장[그림 3] 마지막 섹션 Virtual size 확장





3-2. 폴리모픽 코드 생성

해당 악성코드는 E-mail 웜(worm) 기능을 수반하고 있으며, 파일 첨부를 위해 자신을 복제할 때마다 아래 그림과 같이 폴리모픽이 적용되어 안티-바이러스 제품들의 진단을 힘들게 한다.


[그림 4] 코드 생성[그림 4] 코드 생성





4. 결론


이러한 바이러스 기능을 수반한 악성코드는 정상 파일에 악성코드를 기생 시키기 때문에, 일반적인 악성코드에 비해 치료가 어렵다. 따라서, 사용자는 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등의 방안으로 감염에 예방해야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

최신 영화 파일로 위장한 악성코드 분석




1. 개요 


토렌트는 P2P 프로토콜로 데이터를 주고 받게 해주는 프로그램으로, 사용자들이 인터넷상에서 파일을 직접 공유할 수 있어 콘텐츠, 소프트웨어 등의 불법 유포 경로로 사용되고 있다. 최근 들어 이러한 토렌트를 악용하는 사례가 꾸준히 나타나고 있어 사용자들의 주의를 요하고 있다. 이번 보고서에서는 토렌트 사이트에서 국내 영화 ‘마스터’로 위장해 유포된 악성코드에 대해 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4

파일크기

955,519,487 byte

악성동작

백도어

네트워크

59.***.***.46

 



2-2. 유포 경로

해당 악성코드는 유명 토렌트 사이트에서 국내 영화 ‘마스터’로 위장 유포되었다. 해당 파일명은 “마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4” 이며, 파일 확장자가 .mp4라서 동영상 파일로 보이지만 실행 시 악성 동작을 수행한다.



2-3. 실행 과정

파일 실행 시 동영상은 출력되지 않고 사용자 모르게 악성코드가 동작하게 된다. 실행된 악성코드는 Program Files 폴더에 win32 라는 폴더를 생성 후 자기 자신을 ‘win32.exe’라는 이름으로 복사 후 실행한다. ‘win32.exe’는 원격지 서버와 연결을 시도하며, 연결에 성공할 경우 명령에 따른 동작을 수행하게 된다.




3. 악성 동작


3-1. 파일 확장자 변조

아래 그림과 같이 파일 확장자가 .mp4 로 되어있는 것을 확인할 수 있다. 이는 실행 파일이 아닌 동영상 파일인 것처럼 보여주지만, 사실을 그렇지 않다. 해당 파일의 확장자는 .exe 로 파일의 유형이 응용 프로그램으로 나타난다.


[그림 1] 파일 이름과 유형[그림 1] 파일 이름과 유형




이는 유니코드 문자인 RLO(Right to Left Override)를 이용한 것이다. 유니코드란 전 세계의 모든 문자를 컴퓨터에서 일관되게 표현할 수 있도록 설계된 표준으로 많은 문자 집합을 포함하고 있다. 대부분의 언어의 경우 좌측부터 우측으로 글을 읽지만, 일부의 경우 우측에서 좌측으로 읽어야 하는 경우가 있다. 이런 경우를 위한 문자가 바로 RLO이다.


바로 이 RLO를 악용하면 사용자들로부터 파일명을 속이는데 사용될 수 있다. 해당 악성코드의 경우 RLO 문자를 제외하면 파일의 이름이 “마스터.2016.720p.BRRip.AVC.AAC IHS4pm.Exe”가 되는 것이다. 하지만 파일의 이름 “S” 와 “4” 사이에 RLO를 넣으므로 “4”부터는 역순으로 출력되어 “4pm.Exe”가 “exE.mp4”로 보이게 된다. 이와 같은 방식으로 ‘.exe’ 와 ‘.scr’ 등 실행 파일의 확장자를 감출 수 있는 것이다.


[그림 2] 실제 파일 확장자[그림 2] 실제 파일 확장자






3-2. 자동 실행 등록

실행된 악성코드는 Program Files 폴더에 win32 폴더를 생성 후 그 안에 자기 자신을 win32.exe 라는 이름으로 복사한다. 그리고 사용자가 PC를 재부팅 하면 자동 실행되도록 작업 스케줄러에 등록한다.


[그림 3] 작업 스케줄러 등록[그림 3] 작업 스케줄러 등록



3-3. 원격지 서버 연결

해당 악성코드는 원격지 서버 ’59.10.197.46 ’ 와 연결을 지속적으로 시도한다.


[그림 4] 원격지 서버 연결[그림 4] 원격지 서버 연결



현재 정상적으로 연결이 이루어지지 않지만, 연결이 정상적으로 이루어질 경우 명령에 따른 동작을 수행하게 된다. 명령에 따른 동작 중 몇 가지는 다음과 같다.


우선 사용자 PC 정보를 수집하기 위한 명령어가 있고 해당 명령을 받으면 사용자 PC의 운영체제, 하드웨어, 네트워크, BIOS 등의 정보를 수집한 뒤 원격지 서버로 전송한다.





그리고 각 브라우저를 통해 저장된 쿠키나 패스워드 정보를 수집하여 원격지 서버로 전송한다.

[그림 6] 패스워드 정보 탈취[그림 6] 패스워드 정보 탈취




키로깅과 관련된 동작도 존재하고 있으며, 이를 통해 공격자는 사용자가 키보드에 어떠한 문자를 입력하는지 확인한다.

[그림 7] 키로깅[그림 7] 키로깅


이외에도 사용자 PC의 웹 캠을 조작하거나 원격에서 접속하는 등의 동작을 수행할 수 있어 추가 피해의 소지가 있다.






4. 결론


이번 악성코드는 해외에서 제작된 RAT 프로그램을 통해 생성된 파일이다. 해당 사이트에서는 자신들이 제작한 프로그램이 악성코드가 아니라 언급하고 있지만, 해외에서는 이미 악용 사례가 여럿 발생하고 있다. 이번 악성코드의 경우에도 사용자에겐 최신 영화 파일로 위장했다는 점을 비롯하여 악의적인 의도를 가지고 있다고 볼 수 있다.


토렌트의 경우 영화, 드라마, 게임 등 불법적인 다운로드의 한 수단으로 많이 사용되고 있다. 악성코드 유포자 또한 이러한 점을 이용하여 악성코드 유포의 수단으로 사용하고 있다. 특히 유포 시 잘 알려진 ‘.exe’ 나 ‘.scr’ 등의 실행 파일 확장자가 아닌 미디어 파일이나 문서 파일 등의 이름으로 위장하여 사용자가 의심하기 어렵게 한다.


만약 다운로드 한 파일의 이름에 ‘exe.’나 ‘rcs.’ 등의 문자가 포함되어 있다면 RLO 문자 등에 의해 공격자가 파일 이름을 조작한 것일 수도 있으므로 필히 주의하여야 한다. 동영상이나 사진이 있는 폴더의 경우 아래와 같은 아이콘 모양으로 나타나는 경우가 많아 파일 확장자를 착각하기 쉽다.




이러한 파일 확장자 위장을 방지하기 위해서는 다음과 같은 설정을 할 수가 있다.



아래와 같이 폴더 보기를 [자세히]로 설정할 경우 아래와 같이 파일의 유형을 나타내준다. 파일 이름이 ‘.mp4’로 끝나지만 파일의 유형이 ‘응용 프로그램’ 인 것을 확인할 수 있다. 이러한 경우 정상 미디어 파일이 아닌 악성코드 일 수도 있으므로 함부로 실행해서는 안된다.


[그림 9] 폴더 보기 변경[그림 9] 폴더 보기 변경



[그림 10] 파일 유형 보기[그림 10] 파일 유형 보기




무엇보다 무분별한 토렌트 사용은 사용자를 악성코드에 쉽게 노출시키므로 사용을 자제해야 한다. 사용자는 토렌트 이용 시 신뢰되지 않는 프로그램을 함부로 다운로드 하지 않아야 하며, 다운로드 한 프로그램을 실행 할 때 파일 이름과 유형을 확인하는 등 보안에 각별한 주의를 기울여야 한다.


관련 글: 

토렌트를 통한 유포방식의 악성코드 분석 보고서 (링크)

인기 게임으로 위장한 악성 토렌트 (링크)

HashCop_Bypass.exe 토렌트를 통한 악성코드 유포 (링크)




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

웜(Worm) 악성코드 Allaple 상세 분석




1. 개요 


컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

allaple.exe

파일크기

57,856 bytes

진단명

Worm/W32.Allaple.Gen

악성동작

Worm, DoS

 



2-2. 유포 경로

주요 유포 경로는 웜의 특성상 공유 폴더, E-mail 등 네트워크를 통하여 유포되며, 다른 악성코드와 마찬가지로 운영체제 보안 취약점을 통해 직접적으로 감염될 수 있다.




2-3. 실행 과정

해당 악성코드는 아래 그림과 같이 실제 악성 행위를 수행하는 코드까지 4단계로 인코딩 되어 있으며, 4번째 단계를 제외하고 각 단계 모두 복제될 때마다 폴리 모르픽(Polymorphic) 기법이 적용되어 코드가 생성된다.


[그림 1] 내부 동작 과정[그림 1] 내부 동작 과정


이러한 폴리 모르픽 기법이 적용되어 전파, 감염 웜이나 바이러스는 감염될 때마다 코드가 변경되어 안티-바이러스 제품이 탐지 및 치료하기 어렵도록 만든다.




3. 악성 동작


3-1. 네트워크 웜(worm) - 공유 자원

해당 악성코드는 임의의 IP를 대상으로 파일 공유 서비스 139(NetBIOS), 445(SMB) 포트에 Brute-force(무차별 대입공격)을 통하여 접근 권한 획득을 시도한다.


[그림 2] 공유 자원 접근 시도[그림 2] 공유 자원 접근 시도


[그림 3] 무차별 대입공격에 사용되는 패스워드[그림 3] 무차별 대입공격에 사용되는 패스워드



접근 성공 시 자신을 복사하여 전송한다.


[그림 4] 파일 전송[그림 4] 파일 전송





3-2. 네트워크 웜2 - 웹 서버

로컬 드라이브 중 모든 DRIVE_FIXED(hard disk drive or flash drive) 타입 드라이브를 대상으로 확장자 htm, html 파일을 탐색한다.

[그림 5] .htm과 .html 탐색[그림 5] .htm과 .html 탐색



htm, html 발견 시 아래 그림과 같은 OBJECT 태그를 삽입한다.

[그림 6] .htm과 .html 변조[그림 6] .htm과 .html 변조


자신을 드라이브 루트에 복사하고 관련 레지스트리를 생성한다.

[그림 7] 레지스트리 생성[그림 7] 레지스트리 생성


위의 동작을 완수함으로써 변조된 htm, html 파일을 브라우징 시 클라이언트에서 자동으로 복사된 Allaple 악성코드가 실행된다.





4. 결론


이러한 악성코드 피해를 예방하기 위해 필요 없는 공유 폴더 및 디스크를 최소한으로 줄이고, 접근 계정의 ID, 패스워드를 쉽게 예측할 수 없게 설정해야 하며, 공유 자원이 필요 없는 경우는 포트를 닫아 놓아야 한다. 또한 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

피해자를 가해자로, PopcornTime 랜섬웨어 분석




1. 개요 


랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. 


PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을 지불하게 할 것을 부추긴다. 


이번 보고서에서는 피해자가 또 다른 피해자를 낳게 하는 PopcornTime 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

setup.exe

파일크기

100,864 byte

진단명

Ransom/W32.PopcornTime.100864

악성동작

파일 암호화, 금전 요구

 



2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 랜섬웨어에 감염된 사용자가 비트코인을 지불하지 않고 다른 사람을 감염 시키기 위해 직접 유포할 수도 있어 출처가 불분명한 링크나 첨부 파일은 주의하여야 한다.




2-3. 실행 과정

해당 랜섬웨어가 실행되면 아래와 같은 화면이 출력된다. 이는 어떠한 파일을 다운로드하고 설치하는 것처럼 보이지만, 사실 파일 암호화가 진행되고 있는 것이다.


[그림 1] 랜섬웨어 실행 후 나타나는 화면[그림 1] 랜섬웨어 실행 후 나타나는 화면






3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 자기 자신을 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC 를 강제로 종료하더라도 다시 사용자가 PC 에 로그온하면 실행되어 암호화를 재개한다.


[그림 2] 자동 실행 등록[그림 2] 자동 실행 등록





3-2. 파일 암호화

지정된 경로에 있는 파일을 찾아 암호화를 진행한다. 암호화 된 파일에는 ‘.filock’ 이라는 확장자가 덧붙여지며, ‘save_your_files’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일과 랜섬노트를 보여준다.

[그림 3] 암호화 된 파일과 랜섬노트[그림 3] 암호화 된 파일과 랜섬노트


암호화 대상이 되는 파일의 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일 확장자

.1cd .3dm .3ds .3fr .3g2 .3gp .3pr .7z .7zip .aac .aaf .ab4 .accdb .accde .accdr .accdt .ach .acr .act .adb .adp .ads .aep .aepx .aes .aet .agdl .ai .aif .aiff .ait .al .amr .aoi .apj .apk .arch00 .arw .as .as3 .asf .asm .asp .aspx .asset .asx .atr .avi .awg .back .backup .backupdb .bak .bar .bay .bc6 .bc7 .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bmd .bmp .bpw .bsa .c .cas .cdc .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cfg .cfr .cgm .cib .class .cls .cmt .config .contact .cpi .cpp .cr2 .craw .crt .crw .cs .csh .csl .css .csv .d3dbsp .dac .dar .das .dat .dazip .db .db0 .db3 .dba .dbf .dbx .db_journal .dc2 .dcr .dcs .ddd .ddoc .ddrw .dds .der .des .desc .design .dgc .dir .dit .djvu .dmp .dng .doc .docb .docm .docx .dot .dotm .dotx .drf .drw .dtd .dwg .dxb .dxf .dxg .easm .edb .efx .eml .epk .eps .erbsql .erf .esm .exf .fdb .ff .ffd .fff .fh .fhd .fla .flac .flf .flv .flvv .forge .fos .fpk .fpx .fsh .fxg .gdb .gdoc .gho .gif .gmap .gray .grey .groups .gry .gsheet .h .hbk .hdd .hkdb .hkx .hplg .hpp .htm .html .hvpl .ibank .ibd .ibz .icxs .idml .idx .iff .iif .iiq .incpas .indb .indd .indl .indt .inx .itdb .itl .itm .iwd .iwi .jar .java .jnt .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .kf .kpdx .kwm .laccdb .layout .lbf .lck .ldf .lit .litemod .log .lrf .ltx .lua .lvl .m .m2 .m2ts .m3u .m3u8 .m4a .m4p .m4u .m4v .map .max .mbx .mcmeta .md .mdb .mdbackup .mdc .mddata .mdf .mdi .mef .menu .mfw .mid .mkv .mlb .mlx .mmw .mny .mos .mov .mp3 .mp4 .mpa .mpeg .mpg .mpp .mpqge .mrw .mrwref .msg .myd .nc .ncf .nd .ndd .ndf .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nvram .nwb .nx2 .nxl .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .ogg .oil .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pages .pak .pas .pat .pcd .pct .pdb .pdd .pdf .pef .pem .pfx .php .pif .pkpass .pl .plb .plc .plt .plus_muhd .pmd .png .po .pot .potm .potx .ppam .ppj .ppk .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pwm .py .qba .qbb .qbm .qbr .qbw .qbx .qby .qcow .qcow2 .qdf .qed .qic .r3d .ra .raf .rar .rat .raw .rb .rdb .re4 .rgss3a .rim .rm .rofl .rtf .rvt .rw2 .rwl .rwz .s3db .safe .sas7bdat .sav .save .say .sb .sd0 .sda .sdf .ses .shx .sid .sidd .sidn .sie .sis .sldasm .sldblk .sldm .sldprt .sldx .slm .snx .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stl .stm .stw .stx .sum .svg .swf .sxc .sxd .sxg .sxi .sxm .sxw .syncdb .t12 .t13 .tap .tax .tex .tga .thm .tif .tlg .tor .txt .upk .v3d .vbox .vcf .vdf .vdi .vfs0 .vhd .vhdx .vmdk .vmsd .vmx .vmxf .vob .vpk .vpp_pc .vtf .w3x .wab .wad .wallet .wav .wb2 .wma .wmo .wmv .wotreplay .wpd .wps .x11 .x3f .xf .xis .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsb3dm .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .xxx .ycbcra .yuv .zip .ztmp

[1] 암호화 대상 파일 확장자


파일 암호화가 완료된 후 아래와 같은 화면을 띄워 사용자가 랜섬웨어에 감염되었음을 알린다.

[그림 4] 파일 암호화 완료 후 출력되는 화면[그림 4] 파일 암호화 완료 후 출력되는 화면




3-3. 금액 요구 및 복호화 안내

랜섬노트에는 사용자의 파일이 암호화 되었음을 알려준다. 그리고 사용자에게 개인 ID 와 비트코인 주소를 알려주며 1 비트코인을 요구한다.

[그림 5] 랜섬노트[그림 5] 랜섬노트


랜섬노트에는 파일 복호화를 위한 두 가지 방안을 제시한다. 하나는 위에서와 언급한 바와 같이 비트코인을 지불하는 것이며, 다른 하나는 특정 링크를 다른 사람에게 보내라는 것이다. 이 링크를 통해 다른 2명 이상의 사용자가 감염되어 비트코인을 지불하면 무료로 복호화 해준다고 제시한다.

[그림 6] 복호화 방법 안내[그림 6] 복호화 방법 안내



4. 결론


PopcornTime 랜섬웨어는 피해를 입은 사용자가 랜섬웨어 유포에 동참하게끔 한다. 비트코인을 지불하는 것보다 비용 없이 복호화 해준다는 제안에 직접 악성코드를 유포 할 수 있지만, 악성코드 유포는 엄연한 위법 행위로 범죄자가 될 수 있다. 다행히 현재 유포된 PopcornTime 랜섬웨어는 복호화 키가 파일에 존재하고 있어 복호화가 가능하다. 하지만 변종이나 유사한 방식의 다른 랜섬웨어가 나타날 경우 복호화는 어려우며 사용자는 선택의 기로에 놓일 것이다.


더 이상 랜섬웨어는 특정 캠페인이나 취약점 등을 이용하는 것만 아니라 사용자를 직접 랜섬웨어 유포 경로로 사용하는 등 변화하고 있다. 따라서 개인, 기업 사용자는 랜섬웨어 감염을 피하기 위해 각별한 주의를 기울여야 한다. 랜섬웨어 피해를 예방하기 위해선 불분명한 링크나 첨부 파일은 열어보지 말고, 안티바이러스 제품을 설치, 최신 업데이트를 유지해야 한다.


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어





1. 개요 


지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 


이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

mamba.exe (임의의 파일명)

파일크기

2,415,104 byte

진단명

Ransom/W32.Dcryptor.245104

악성동작

하드 디스크 암호화

 


2-2. 유포 경로

이번 사태에 대한 정확한 유포 경로는 아직 밝혀지지 않았다. 하지만 일반적으로 Mamba 랜섬웨어가 이메일에 첨부되어 유포되었다는 점에서 출처가 명확하지 않은 첨부 파일의 열람을 주의하여야 한다.



2-3. 실행 과정


해당 랜섬웨어가 실행되면 자기 자신을 서비스로 등록하여 백그라운드에서 사용자 모르게 디스크 암호화를 진행한다. 디스크 암호화에는 오픈 소스 암호화 도구인 Disk Cryptor 가 사용된다. 암호화가 완료된 후 사용자가 PC 부팅을 시도하면 디스크에 암호가 걸려있어 부팅할 수 없게 된다.





3. 악성 동작


3-1. 서비스 및 계정 등록

Mamba 랜섬웨어는 자기 자신을 ‘DefragmentService’ 라는 이름의 서비스로 등록한다. 해당 서비스는 PC 부팅 시 자동으로 실행되도록 되어 있으며 사용자의 하드 디스크를 암호화하는 역할을 한다.


[그림 1] 새로 등록된 서비스[그림 1] 새로 등록된 서비스



‘DefragmentService’ 서비스로 디스크를 암호화하기 위해, 서비스 등록 후 새로운 사용자 계정이 생성되고 PC가 강제로 재부팅된다. 이 계정에는 로그인 암호가 설정되어 있어 사용자의 로그인이 불가하다. 사용자가 로그인 화면에서 암호를 찾는 이 때, Mamba 랜섬웨어는 앞서 언급한 서비스로 디스크 암호화를 진행한다.


[그림 2] 새로 등록된 사용자 계정[그림 2] 새로 등록된 사용자 계정



3-2. 파일 드롭

랜섬웨어가 실행되면 “C:\DC22” 라는 폴더가 생성되며 그 안에 아래와 같은 파일이 드롭 된다. 드롭 된 파일 중 “’dc*” 라는 이름을 가지고 있는 파일은 모두 오픈 소스 암호화 도구인 ‘DiskCryptor’의 파일이다.

[그림 3] 드롭 되는 파일 목록[그림 3] 드롭 되는 파일 목록


dcrypt.exe를 실행하면 다음과 같이 DiskCryptor GUI 도구가 실행되는 것을 확인할 수 있다.


[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’[그림 4] 오픈 소스 암호화 도구 ‘DiskCryptor’



3-3. 디스크 암호화

드롭 된 DiskCryptor 도구가 바로 암호화에 사용되며, Mamba는 서비스를 등록하여 사용자가 인지하지 못하도록 백그라운드에서 디스크 암호화를 진행한다. 암호화가 완료된 후 PC 를 부팅하면 다음과 같이 암호화 사실을 확인할 수 있다.

[그림 5] 암호화된 디스크[그림 5] 암호화된 디스크


패스워드 입력이 틀릴 경우 다음과 같이 ‘password incorrect’ 라는 문구가 출력되며 사용자는 PC 를 부팅할 수 없게 된다.

[그림 6] 비밀번호 입력[그림 6] 비밀번호 입력





4. 결론


제작자의 권리를 지키면서 원시 코드를 누구나 열람할 수 있는 오픈 소스는 다양한 도구로 여러 사람들에게 사용되며 영향력이 급속도로 확장되고 있다. 그러나, Hidden Tear나 Disk Cryptor와 같이 암호화 관련 오픈 소스는 공격자가 랜섬웨어 제작에 악용하는 사례가 점차 증가하고 있다. 


Mamba 랜섬웨어와 같이 디스크 자체를 암호화하는 랜섬웨어는 사용자가 계정의 암호를 찾지 못하는 이상 아무것도 할 수 없기 때문에 피해가 크다. 뿐만 아니라 이번 사례와 같이 Mamba 랜섬웨어가 철도와 같은 공공 시스템에 피해를 입혔기 때문에, 일반 사용자뿐만 아니라 기업이나 정부 관련 부서의 임직원도 랜섬웨어 피해에 각별히 주의하여야 한다. 


랜섬웨어가 유포되는 방법이 다양화되고 있는 만큼 사용자가 사전에 주의하는 것이 가장 중요하다. 랜섬웨어의 피해를 최소화 하기 위해서는 백신 제품을 설치하고 항상 최신 업데이트를 유지하여야 한다. 또한 취약한 웹페이지의 방문을 자제하여야 하며, 출처가 불분명한 이메일 첨부 파일의 경우 함부로 열어서는 안된다. 


해당 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect