‘Scarab ransomware’ 감염 주의



1. 개요 


사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다.


기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다.


이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Scarab_Ransom.exe

파일크기

350,208 byte

진단명

Ransom/W32.Scarab.350208

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 실행파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘Scarab ransomware’ 는 실행 시, 사용자의 파일을 암호화하고, 암호화한 파일 이름에 .[resque@plague.desi].scarab 문자와 확장자를 덧붙인다. 또한, 암호화 된 폴더에 ‘IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ 랜섬노트를 생성하며, 암호화가 완료되면 바탕화면과 대상 폴더에 랜섬노트가 생성된다.




3. 악성 동작


3-1. 파일 암호화

‘Scarab ransomware’ 랜섬웨어는 원본 프로세스에서 파일 암호화 동작을 수행하지 않고 실제 원본파일이름과 동일한 자식프로세스를 생성하여 파일 암호화 동작을 수행한다.


[그림 1] 자식 프로세스 생성[그림 1] 자식 프로세스 생성



사용자 PC 를 탐색하며 아래 [표 1] 에 해당하는 파일의 경우 암호화 한 뒤. ‘ [resque@plague.desi].scarab’ 이라는 확장자를 덧붙인다.   

구분

내용

암호화 대상 파일

확장자

efs,000,001,1,101,103,108,110,123,128,1cd,1sp,1st,3,3d,3d4,3dd,3df,3df8,3dm,3dr,3ds,3dxml,3fr,3g2,3ga,
3gp,3gp2,3mm,3pr,3w,4w7,602,7z,7zip,8,89t,89y,8ba,8bc,8be,8bf,8bi8,8bl,8bs,8bx,8by,8li,8svx,8xt,9xt,9xy,
a$v,a2c,aa,aa3,aac,aaf,aah,aaui,ab4,ab65,abc,abk,abt,abw,ac2,ac3,ac5,acc,accdb,accde,accdr,accdt,ace,acf,
ach,acp,acr,acrobatsecuritysettings,acrodata,acroplugin,acrypt,act,ad,ada,adb,adc,add,ade,adi,adoc,ados,
adox,adp,adpb,adr,ads,adt,aea,aec,aep,aepx,aes,aet,afdesign,afm,afp,agd1,agdl,age3rec,age3sav,age3scn,
age3xrec,age3xsav,age3xscn,age3yrec,age3ysav,age3yscn,ahf,ai,aif,aiff,aim,aip,ais,ait,ak,al,al8,ala,alb3,alb4,
alb5,alb6,ald,ali,allet,alt3,alt5,amf,aml,amr,amt,amu,amx,amxx,anl,ann,ans,ansr,anx,aoi,ap,apa,apd,ape,apf,

apj,apk,apnx,apo,app,approj,apr,apt,apw,apxl,arc,arch00,arff,ari,arj,aro,arr,ars,arw,as,as$,as3,asa,asc,ascm,

ascx,asd,ase,asf,ashx,ask,asl,asm,asmx,asn,asnd,asp,aspx,asr,asset,ast,asv,asvx,asx,ath,atl,atomsvc,atw,

automaticdestinations-ms,aux,av,avi,avn,avs,awd,awe,awg,awp,aws,awt,aww,awwp,ax,azf,azs,azw,azw1,

azw3,azw4,b,b27,b2a,back,backup,backupdb,bad,bak,bak~,bamboopaper,bank,bar,bau,bax,bay,bbcd,bbl,

bbprojectd,bbs,bbxt,bc5,bc6,bc7,bcd,bck,bcp,bdb,bdb2,bdp,bdr,bdt2,bdt3,bean,bfa,bgt,bgv,bi8,bib,bibtex,

bic,big,bik,bil,bin,bina,bizdocument,bjl,bk,bk!,bk1,bk2,bk3,bk4,bk5,bk6,bk7,bk8,bk9,bkf,bkg,bkp,bks,bkup,

bld,blend,blend2,blg,blk,blm,blob,blp,bmc,bmf,bmk,bml,bmm,bmml,bmp,bmpr,bna,boc,book,bop,bp1,bp2

,bp3,bpf,bpk,bpl,bpm,bpmc,bps,bpw,brd,breaking_bad,brh,brl,brs,brx,bsa,bsk,bso,bsp,bst,btd,btf,btoa,btx,

burn,burntheme,bvd,bwd,bwf,bwp,bxx,bzabw,c,c2e,c6,cadoc,cae,cag,calca,cam,camproj,cap,capt,car,caro,cas,

cat,catproduct,cawr,cbf,cbor,cbr,cbz,cc,ccc,ccd,ccf,cch,ccitt,cd,cd1,cd2,cdc,cdd,cddz,cdf,cdi,cdk,cdl,cdm,cdml,

cdmm,cdmz,cdpz,cdr,cdr3,cdr4,cdr5,cdr6,cdrw,cds,cdt,cdtx,cdx,cdxml,ce1,ce2,cef,cer,cert,cf5,cfd,cfg,cfp,cfr,cgf,

cgfiletypetest,cgi,cgm,cgp,chi,chk,chm,chml,chmprj,chp,chpscrap,cht,chtml,cib,cida,cif,cipo,civ4worldbuildersave,

civbeyondswordsave,cl2arc,cl2doc,clam,clarify,class,clb,clkd,clkt,clp,clr,cls,clx,cmf,cml,cmp,cms,cmt,cmu,cnf,cng,

cnt,cnv,cod,col,comicdoc,comiclife,compositionmodel,compositiontemplate,con,conf,config,contact,converterx,

cp,cpc,cpd,cpdt,cphd,cpi,cpio,cpp,cpy,cr2,crashed,craw,crb,crd,creole,cri,crjoker,crs,crs3,crt,crtr,crw,crwl,crypt,

crypted,cryptowall,cryptra,cs,cs8,csa,cse,csh,csi,csl,cso,csp,csr,css,cst,csv,ctbl,ctd,cte,ctf,ctl,ctt,ctxt,cty,cue,current,

cvj,cvl,cvw,cw3,cwf,cwk,cwn,cwr,cws,cwwp,cyi,cys,d,d3dbsp,dac,dadx,dag,dal,dap,das,dash,dat,database,datx,

dayzprofile,dazip,db,db_journal,db0,db3,dba,dbb,dbc,dbf,dbfv,db-journal,dbk,dbr,dbs,dbx,dc2,dc4,dca,dcd,

dcf,dch,dco,dcp,dcr,dcs,dct5,dcu,ddc,ddcx,ddd,ddif,ddoc,ddrw,dds,deb,debian,dec,ded,default,del,dem,der,

des,desc,description,design,desklink,det,deu,dev,dex,dfe,dfl,dfm,dft,dfti,dgc,dgm,dgpd,dgr,dgrh,dgs,dhe,dic,did,

dif,dii,dim,dime,dip,dir,directory,disc,disco,disk,dit,divx,diz,djbz,djv,djvu,dk@p,dlc,dlg,dmbk,dmg,dmp,dmtemplate,

dmv,dna,dng,dnl,dob,doc,doc#,docb,doce,docenx,dochtml,docl,docm,docmhtml,docs,docset,docstates,doct,

documentrevisions-v100,docx,docxl,docxml,dok,dot,dothtml,dotm,dotmenx,dotx,dotxenx,dox,doxy,doz,dp,dpd,dpi

,dpk,dpl,dpr,drd,dream,drf,drm,drmx,drmz,drw,dsc,dsd,dsdic,dsf,dsg,dsk,dsl,dsn,dsp,dsy,dtd,dtm,dtml,dtp,dtx,dump,

dvb,dvd,dvi,dvs,dvx,dvz,dwd,dwdoc,dwf,dwfx,dwg,dwlibrary,dwp,dwt,dxb,dxd,dxe,dxf,dxg,dxn,dxr,dxstudio,dzp,e3s,

e4a,easmx,ebk,ebs,ec4,ecc,ecr,edb,edd,edf,edl,edml,edn,edoc,edrwx,edt,edz,efa,efax,eff,efl,efm,efr,eftx,efu,efx,egr,

egt,ehp,eif,eip,ekm,el6,eld,elf,elfo,eln,emc,emf,eml,emlxpart,emm,enc,enciphered,encrypted,enfpack,ent,enx,enyd,

eob,eot,ep,epdf,epf,epk,eprtx,eps,epsf,ept,epub,eql,erbsql,erd,ere,erf,err,es,es3,esc,esd,esf,esm,esp,ess,esv,et,ete,

etng,etnt,ets,etx,euc,evo,evy,ewl,ex,exc,exd,exf,exif,exprwdhtml,exprwdxml,exx,ez,ezc,ezm,ezs,ezz,f4v,f90,f96,fac,

fadein,fae,faq,fax,fbd,fbp6,fbs,fcd,fcf,fcstd,fd,fdb,fdf,fdoc,fdr,fds,fdseq,fdw,fdx,fed,feed-ms,feedsdb-ms,ff,ffa,ffd,

ffdata,fff,ffl,ffo,fft,ffx,fh,fhd,fig,fin,fl,fla,flac,flag,flat,flf,flib,flka,flkb,flm,flp,fls,flt,fltr,flv,flvv,fly,fm,fm3

,fmc,fmd,fmf,fml,fmp,fmp3,fnf,fo,fodg,fodp,fods,fodt,folio,for,forge,fos,fountain,fp,fpage,fpdoclib,fpenc,fphomeop,

fpk,fplinkbar,fpp,fpt,fpx,fra,frag,frdat,frdoc,freepp,frelf,frm,fs,fsc,fsd,fsf,fsh,fsp,fss,ft10,ft11,ft7,ft8,ft9,ftil,ftr,fwk,

fwtemplate,fxd,fxg,fxo,fxr,fzh,fzip,ga3,gam,gan,gcsx,gct,gdb,gdc,gdoc,ged,gev,gevl,gfe,gform,gfx,ggb,ghe,gho,gif,gil,

giw,glink,glk,glo,glos,gly,gml,gmp,gnd,gno,gofin,gp4,gpd,gpf,gpg,gpn,gpx,gpz,gra,grade,gray,grey,grf,grk,grle,groups,

gry,gs,gsa,gsf,gsheet,gslides,gsm,gthr,gui,gul,gvi,gxk,gxl,gz,gzig,gzip,h,h1q,h1s,h1w,h2o,h3m,h4r,haml,hbk,hbl,hbx,hcl,

hcw,hda,hdd,hdl,hdt,hdx,hed,help,helpindex,hex,hfd,hft,hhs,hkdb,hkx,hlf,hlp,hlx,hlx2,hlz,hm2,hmskin,hnd,hoi4,hot,

hp2,hpd,hpj,hplg,hpo,hpp,hps,hpt,hpw,hqx,hrx,hs,hsm,hsx,hta,htm,htm~,html,htmls,htmlz,htms,htpasswd,htz5,hvpl,

hw3,hwp,hwpml,hwt,hxe,hxi,hxq,hxr,hxs,hyp,hype,iab,iaf,ial,ibank,ibcd,ibd,ibk,ibz,icalevent,icaltodo,icc,icml,icmt,ico,

ics,icst,icxs,idap,idc,idd,idl,idml,idp,idx,ie5,ie6,ie7,ie8,ie9,iff,ifp,ign,igr,ihf,ihp,iif,iiq,iks,ila,ildoc,img,imp,imr,incp,incpas,

ind,indb,indd,indl,indp,indt,inf,info,ink,inld,inlk,inp,inprogress,inrs,inss,installhelper,insx,internetconnect,inx,ioca,iof,

ipa,ipf,ipr,ish1,ish2,ish3,iso,ispx,isu,isz,itdb,ite,itl,itm,itmz,itp,its,ivt,iw44,iwa,iwd,iwi,iwprj,iwtpl,ix,ixv,jac,jar,jav,java,

jb2,jbc,jbig,jbig2,jc,jdd,jfif,jge,jgz,jhd,jiaf,jias,jif,jiff,jnt,joe,jp1,jpc,jpe,jpeg,jpf,jpg,jpgx,jpm,jpw,jrf,jrl,jrprint,js,jsd,json,jsp,

jspa,jspx,jtd,jtdc,jtt,jtx,just,jw,jwl,jww,k25,kbd,kbf,kc2,kdb,kdbx,kdc,kde,kdf,kes,key,keynote,key-ef,kf,kfm,kfp,kid,klq,

klw,kmz,knt,kos,kpdx,kpr,ksd,ksp,kss,ksw,kuip,kwd,kwm,kwp,laccdb,lastlogin,lat,latex,lax,lay,lay6,layout,lbf,lbi,lbl,lcd,

lcf,lcn,ldb,ldf,lfe,lgp,lhd,lib,lit,litemod,ll3,llv,lmd,lngttarch2,lnk,localstorage,log,logonxp,lok,lot,lp,lp2,lp7,lpa,lpc,lpd,lpdf,

lpx,lrf,ls5,lst,ltcx,ltm,ltr,ltx,lua,lvd,lvivt,lvl,lvw,lwd,lwo,lwp,lyx,m,m13,m14,m2,m2ts,m3u,m3u8,m4a,m4p,m4u,m4v,m7p

,maca,mag,maker,maml,man,manu,map,mapimail,marc,markdn,mars,mass,max,maxfr,maxm,mbbk,mbox,mbx,mc9,

mcd,mcdx,mcf,mcgame,mcmac,mcmeta,mcrp,mcw,md,md0,md1,md2,md3,md5,mdb,mdbackup,mdbhtml,mdc,

mdccache,mddata,mdf,mdg,mdi,mdk,mdl,mdn,mds,mecontact,med,mef,meh,mell,mellel,menu,meo,met,

metadata_never_index,mf,mfa,mfp,mfw,mga,mgmt,mgourmet,mgourmet3,mhp,mht,mhtenx,mhtmlenx,mi,mic,mid,

mif,mim,mime,mindnode,mip,mission,mix,mjd,mjdoc,mke,mkv,mla,mlb,mlj,mlm,mls,mlsxml,mlx,mm,mm6,mm7,mm8,

mmap,mmc,mmd,mme,mmjs,mml,mmo,mmsw,mmw,mny,mo,mobi,mod,moneywell,mos,mov,movie,moz,mp1,mp2,

mp3,mp4,mp4v,mpa,mpe,mpeg,mpf,mpg,mph,mpj,mpq,mpqge,mpr,mpt,mpv,mpv2,mrd,mru,mrw,mrwref,ms,msd,

mse,msg,mshc,msi,msie,msl,mso,msor,msp,msq,ms-tnef,msw,mswd,mtdd,mtml,mto,mtp,mts,mtx,mug,mui,mvd,mvdx,

mvex,mwd,mwii,mwpd,mwpp,mws,mxd,mxg,mxp,myd,mydocs,myi,mz,n3,narrative,nav,navmap,nb,nbak,nbf,nbp,ncd,

ncf,nd,ndd,ndf,ndl,ndr,nds,ne1,ne3,nef,nfo,nfs11save,ng,njx,nk2,nmbtemplate,nmu,nokogiri,nop,note,now,npd,npdf,npp

,npt,nrbak,nrg,nri,nrl,nrmlib,nrw,ns2,ns3,ns4,nsd,nsf,nsg,nsh,nst,ntf,ntl,ntp,nts,number,numbers,nvd,nvdl,nvram,nwb,

nwbak,nwcab,nwcp,nx^d,nx__,nx1,nx2,nxl,nyf,oa2,oa3,oab,oad,oas,obd,obj,obr,obt,obx,obz,ocdc,ocs,oda,odb,odc,

odccubefile,odf,odg,odh,odi,odif,odm,odo,odp,ods,odt,odt#,odttf,odz,officeui,ofn,oft,oga,ogc,ogg,oil,ojz,okm,ole,

ole2,olf,olv,oly,omlog,omp,onb,one,oos,oot,opd,opf,opj,oplx,opn,opt,opx,opxs,orf,ort,osd,osdx,ost,otc,otf,otg,oth,

oti,otn,otp,ots,ott,otw,out,ovd,owl,oxps,oxt,p10,p12,p2s,p3x,p65,p7b,p7c,p7z,pab,pack,pad,pages,pages-tef,pak,paq,pas,pat,paux,pbd,pbf,pbk,pbp,pbr,pbs,pbx5script,pbxscript,pcd,pcf,pcj,pct,pcv,pcw,pd,pdb,pdc,pdcr,

pdd,pdf,pdf_,pdf_profile,pdf_tsid,pdfa,pdfe,pdfenx,pdfl,pdfua,pdfvt,pdfx,pdfxml,pdfz,pdg,pdp,pdz,peb,pef,pem,

pez,pf,pfc,pfd,pfl,pfm,pfsx,pft,pfx,pg,pgs,php,phr,phs,pih,pixexp,pj2,pj4,pj5,pk,pkb,pkey,pkg,pkh,pkpass,pl,plan,

plb,plc,pld,pli,pln,plus_muhd,pm,pm3,pm4,pm5,pm6,pm7,pmd,pmt,pmv,pmx,png,pnu,po,pod,pool,pot,pothtml,

potm,potx,pp3,ppam,ppd,ppdf,ppf,ppj,ppp,pps,ppsenx,ppsm,ppsx,ppt,ppte,ppthtml,pptl,pptm,pptmhtml,pptt,

pptx,ppws,ppx,prc,prd,pref,prel,prf,prj,prn,pro,pro4,pro4dvd,pro5,pro5dvd,pro5plx,pro5x,proofingtool,props,

proqc,prproj,prr,prs,prt,prtc,prv,ps,ps2,ps3,psa,psafe3,psb,psd,pse8db,psf,psg,psi2,psip,psk,psm,psmd,

pspimage,pst,psw,psw6,pswx,psz,pt3,pt6,ptc,ptf,pth,ptk,ptn,ptn2,pts,ptx,pub,pubf,pubhtml,pubmhtml,pubx,puz,pvd,pve,

pvf,pw,pwd,pwe,pwf,pwi,pwm,pwp,pwre,pxd,pxl,pxp,py,pys,pzc,pzf,pzt,qba,qbb,qbl,qbm,qbr,qbw,qbx,qby,qch,qcow,

qcow2,qct,qdf,qed,qel,qfl,qfxx,qhp,qht,qhtm,qic,qif,qlgenerator,qpx,qrt,qt,qtq,qtr,qtw,quox,qvw,qwd,qwt,qxb,qxd,qxl

,qxp,qxt,r00,r01,r02,r03,r0f,r0z,r3d,ra,ra2,raf,ram,ramd,rap,rar,rat,raw,razy,rb,rbc,rcb,rd,rd1,rdb,rdf,rdfs,rdi,rdo,

rdoc,rdoc_options,rdz,re4,rec,rels,res,resbuild,rest,result,rev,rf,rf1,rft,rgn,rgo,rgss3a,rha,rhif,rim,rit,rlf,rll,rm,rm5,r

md,rmf,rmh,rna,rng,rnt,rnw,ro3,rofl,roi,ros,rov,row,rox,rpf,rpt,rptr,rrd,rrpa,rrt,rrx,rs,rsdf,rsdoc,rsm,rsp,rsrc,rst,

rsw,rt,rt_,rtdf,rte,rtf,rtf_,rtfd,rtk,rtpi,rts,rtsl,rtsx,rtx,rum,run,rv,rvf,rvt,rw2,rwl,rwlibrary,rwz,rxdoc,rzk,rzx,s3db,

s8bn,sa5,sa7,sa8,saas,sad,saf,safe,safetext,sam,sas7bdat,sav,save,say,sb,sbn,sbo,sbpf,sbsc,sbst,sc2save,scd,

scdoc,sce,sch,scm,scmt,scn,scr,scriv,scrivx,scs,scspack,scssc,sct,scw,scx,sd,sd0,sd1,sda,sdb,sdc,sdd,sddraft,

sdf,sdi,sdl,sdmdocument,sdn,sdo,sdoc,sdp,sdr,sds,sdt,sdv,sdw,search-ms,secure,sef,sel,sen,

seq,sequ,server,ses,set,setup,sev,sff,sfs,sfx,sgf,sgi,sgl,sgm,sgml,sgz,sh,sh6,shar,shb,show,

shr,shs,shtml,shw,shy,sic,sid,sidd,sidn,sie,sik,sis,sky,sla,sldm,sldx,slf,slk,slm,slt,slz,sm,smd,sme,smf,smh,smlx,smn,smp,

sms,smwt,smx,smz,snb,snf,sng,snk,snp,snt,snx,so,soi,spb,spd,spdf,spk,spl,spm,spml,sppt,spr,sprt,sprz,sql,sqlite,sqlite3,

sqlitedb,sqllite,sqx,sr2,src,srf,srfl,srs,srt,srw,ssa,ssh,ssi,ssiw,ssm,ssx,st4,st5,st6,st7,st8,stc,std,sti,stm,stp,stpz,struct,

stt,stw,stx,stxt,sty,sud,suf,sum,surf,svd,svdl,svg,svi,svm,svn,svp,svr,svs,swd,swdoc,sweb,swf,switch,swp,sxc,sxd,sxe,

sxg,sxi,sxl,sxm,sxml,sxw,syn,syncdb,t,t01,t03,t05,t10,t12,t13,t14,t2,t2k,t2t,t4g,t80,ta1,ta2,ta9,tabula-doc,

tabula-docstyle,tah,tar,tax,tax2009,tax2013,tax2014,tb,tbb,tbd,tbk,tbkx,tbz2,tcd,tch,tck,tcx,tdg,tdl,tdoc,tdr,te1,

template,tex,texi,texinfo,text,textclipping,textile,tfd,tfm,tfr,tfrd,tg,tga,tgz,thm,thml,thmx,thr,tib,tif,tiff,tjp,tk3,tlb,

tld,tlg,tlt,tlx,tlz,tm,tm3,tmb,tmd,tml,tmlanguage,tmv,tmz,tns,tnsp,toast,toc,topx,tor,torrent,totalslayout,tp,tpl,tpo,

tpsdb,tpu,tpx,trashinfo,trif,trp,ts,tsc,tt11,tt2,ttax,ttxt,tu,tur,tvd,twdi,twdx,tww,tx,txd,txe,txf,txm,txn,txt,txtrpt,u3d,

uax,ubz,ucd,udb,udf,udl,uea,uhtml,ukr,ulf,uli,ulys,ump,umx,unity3d,unr,unx,uof,uop,uos,uot,updf,upk,upoi,upp,

urd-journal,urf,url,urp,usa,usx,ut2,ut3,utc,utd,ute,utf8,uti,utm,uts,utx,uu,uud,uue,uvx,uxx,v,v2t,val,vault,vbadoc,

vbd,vbk,vbox,vbs,vc,vcal,vcd,vce,vcf,vdf,vdi,vdo,vdoc,vdt,ver,vf,vfs0,vhd,vhdx,view,viz,vlc,vlt,vmbx,vmdk,vmf,vmg,

vmm,vmsd,vmt,vmx,vmxf,vob,voprefs,vor,vp,vpk,vpl,vpp_pc,vs,vsd,vsdx,vsf,vsi,vspolicy,vst,vstx,vtf,vthought,vtv,vtx,

vw,vw3,w,w2p,w3g,w3x,w51,w52,w60,w61,w6bn,w6w,w8bn,w8tn,wab,wad,waff,wallet,war,wav,wave,waw,wb,wb2,

wb3,wbk,wbt,wbxml,wbz,wcf,wcl,wcn,wcp,wcst,wd0,wd1,wd2,wdbn,wdgt,wdl,wdn,wdoc,wdx9,web,webdoc,webpart,

wep,wflx,wht,wiz,wk!,wk1,wk3,wk4,wkb,wki,wkl,wks,wlb,wld,wll,wls,wlxml,wm,wma,wmd,wmdb,wmf,wmga,wmk,wml,

wmlc,wmmp,wmo,wms,wmv,wmx,wn,wolf,word,wordlist,wotreplay,wow,wp,wp42,wp5,wp50,wp6,wp7,wpa,wpc2,

wpd,wpd0,wpd1,wpd2,wpd3,wpe,wpf,wpk,wpl,wpost,wps,wpt,wpw,wr1,wrf,wri,wrlk,ws,ws1,ws2,ws3,ws4,ws5,ws6,

ws7,wsd,wsf,wsh,wsp,wtbn,wtd,wtf,wtmp,wtp,wts,wtt,wtx,wvw,wvx,wwcx,wwi,wwl,wws,wwt,wxmx,wxp,wyn,wzn,

wzs,x11,x16,x3f,x3g,xamlx,xar,xav,xbd,xbrl,xci,xda,xdc,xdf,xdo,xdoc,xdw,xf,xfd,xfdf,xfi,xfl,xfn,xfo,xfp,xfx,xgml,xht,xhtm,

xhtml,xif,xig,xis,xjf,xl,xla,xlam,xlb,xlc,xle,xlf,xline,xlist,xlk,xll,xlm,xlnk,xlr,xls,xlsb,xlse,xlshtml,xlsl,xlsm,xlst,xlsx,xlsxl,xlt,

xlthtml,xltm,xltx,xlv,xlw,xlwx,xma,xmdf,xml,xmmap,xmn,xmp,xms,xmt_bin,xmta,xpd,xpi,xpm,xps,xpse,xpt,xpwe,xqm,

xqr,xqx,xrdml,xsc,xsd,xsig,xsl,xslt,xtbl,xtd,xtg,xtml,xtps,xtrl,xv0,xv2,xv3,xvg,xvid,xvl,xwd,xweb3htm,xweb3html,

xweb4stm,xweb4xml,xwf,xwp,xxe,xxx,xy,xy3,xy4v,xyd,yab,ycbcra,yenc,yml,ync,yps,yuv,z02,z04,zap,zip,zipx,zoo,zps,ztmp

[표 1] 암호화 대상 파일 확장자




암호화 된 파일의 모습은 아래 [그림 2]와 같으며, 바탕화면과 대상 폴더 마다 랜섬노트가 생성된 것을 확인할 수 있다.


[그림2] 암호화 된 파일과 랜섬노트[그림2] 암호화 된 파일과 랜섬노트






3-2. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.


[그림3] 쉐도우 파일 삭제[그림3] 쉐도우 파일 삭제






3-3. 금전 요구

파일 암호화가 완료되면 ‘Scarab Ransomware’ 는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 E-MAIL 주소로 개인식별키를 작성하여 보내면 복호화 키를 준다는 내용을 포함하고 있다.


[그림 4] 암호화 완료 후 나타나는 랜섬노트[그림 4] 암호화 완료 후 나타나는 랜섬노트






4. 결론

이번 보고서에서 알아 본 ‘Scarab Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 랜섬웨어가 회사나 공공기관 만을 상대로 유포하는 것이 아니기 때문에 개인 사용자일 경우에도 안심하지 않고 항상 주의하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2017년 6월 악성코드 통계




악성코드 Top20

2017년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 137,087건이 탐지되었다. 

순위

진단명

유형

탐지 건수

1

Worm/W32.Agent.57344

Worm

137,087

2

Trojan.TeslaCrypt.ES

Trojan

9,289

3

Virus/W32.Ramnit

Virus

7,619

4

Trojan/XF.Sic

Trojan

6,584

5

Trojan/W32.Agent.174399.B

Trojan

5,393

6

Gen:Variant.Razy.107843

Trojan

5,039

7

Virus/W32.Virut.Gen

Virus

4,697

8

Gen:Variant.Adware.Hebogo.1

Adware

3,644

9

Worm/W32.Small.38400

Worm

2,788

10

Trojan-Spy/W32.SpyEyes.2147928

Trojan

2,512

11

Adware/LiveIcon.C

Adware

2,426

12

Abuse-Worry/W32.SpyAgent.1694560

Abuse-Worry

2,420

13

Trojan/W32.Agent.3584.MQ

Trojan

2,420

14

Trojan/XF.XF.Sic

Trojan

2,362

15

Trojan/W32.Agent.413696.UP

Trojan

2,076

16

Worm.VBS.AO

Worm

2,042

17

Adware/NetworkExpress.W

Adware

2,037

18

Adware.GenericKD.5056229

Adware

2,023

19

Trojan/W32.Agent.1720320.BN

Trojan

1,889

20

Adware/NetworkExpress.Y

Adware

1,875

[] 20176월 악성코드 탐지 Top 20




악성코드 유형 비율

6월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Adware(애드웨어)와 Virus(바이러스)가 각각 41%, 27%로 가장 높은 비중을 차지하였고, Trojan(트로이목마)이 17%, Downloader(다운로더)와 Worm(웜)이 각각 3%씩으로 그 뒤를 따랐다.


[그림] 2017년 6월 악성코드 유형 비율[그림] 2017년 6월 악성코드 유형 비율









악성코드 진단 수 전월 비교

6월에는 악성코드 유형별로 5월과 비교하였을 때 Virus와 Worm 진단이 다소 증가하였다.


[그림] 2017년 6월 악성코드 진단 수 전월 비교[그림] 2017년 6월 악성코드 진단 수 전월 비교









주 단위 악성코드 진단 현황

6월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 마지막 주에 다소 증가한 현상을 보이고 있다.


[그림] 2017년 6월 주 단위 악성코드 진단 현황[그림] 2017년 6월 주 단위 악성코드 진단 현황








저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어



1. 개요 


현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다.


또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다.


2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다.







2. 분석 정보


2-1. 유포 경로

최초 유포는 우크라이나 세무관련 프로그램의 업데이트 프로그램 변조를 통해 유포된 것으로 추정되고 있다. 추가적으로 이메일을 통한 유포 가능성은 높지만 정확하게 확인 되지 않은 상태이다.

또한, 네트워크 전파는 SMB취약점뿐 아니라 PSEXEC와 WMIC 를 통해서도 이루어질 수 있으나, 로컬 네트워크로만 전파되는 특징을 가진다.




2-2. 실행 과정

랜섬웨어가 구동된 경우 MBR 감염을 수행하고 ‘C:\Windows’ 폴더를 제외한 모든 폴더를 대상으로 특정 확장자의 파일을 암호화 한다. 암호화 된 후 확장명을 변경하지는 않는다. 특정 시간 이후에 재부팅이 되도록 시스템이 설정된다. 재부팅 이후 가짜 CHKSDK 화면을 출력하며 화면이 출력하는 동안 MFT 암호화를 진행할 것으로 추정된다.


[그림 1] 가짜 CHKSDK 화면[그림 1] 가짜 CHKSDK 화면






3. 악성 동작


3-1. MBR 파괴

[그림2] MBR 파괴 전과 후 비교[그림2] MBR 파괴 전과 후 비교




3-2. 파일 암호화

해당 랜섬웨어는 C:\windows 를 제외한 모든 폴더에 다음 표에 확장자를 가진 파일에 대해 암호화를 시도한다

사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 


구분

내용

암호화 대상
파일

확장자

.3ds  .7z  .accdb  .ai  .asp  .aspx  .avhd  .back  .bak  .c  .cfg  .conf  .cpp.cs  .ctl  .dbf  .disk  .djvu  .doc  .docx  .dwg  .eml  .fdb  .gz  .h  .hdd .kdbx  .mail  .mdb  .msg  .nrg  .ora  .ost  .ova  .ovf  .pdf  .php  .pmf  .ppt  .pptx  .pst  .pvi  .py  .pyc  .rar  .rtf  .sln  .sql  .tar  .vbox  .vbs  .vcb  .vdi  .vfd  .vmc  .vmdk  .vmsd  .vmx  .vsdx  .vsv  .work  .xls  .xlsx  .xvd  .zip

[ 1] 암호화 대상 확장자



파일 암호화는 AES를 사용하며, AES키는 RSA로 암호화 되어 저장된다.



3-3. 금전 요구

암호해제 비용으로는 $300을 비트코인으로 요구하고 있으며, 비트코인 지불 후 개인고유키와 지불한 비트코인 월렛 아이디를 이메일로 보낼 것을 요구한다.


하지만, 이메일 제공사인 posteo사에서 계정을 정지시켜 놓은 상태이므로 복호화 키를 받는 것은 불가능하다. 따라서 랜섬웨어에 감염되었다고 비트코인을 지불해서는 안된다.   


만약 해당 랜섬웨어에 감염되었다면, 랜섬웨어에 의해 재부팅 되기 전 컴퓨터를 종료하고 전문가에게 도움을 요청해야 피해를 최소화 할 수 있다.


[그림 3] 랜섬노트[그림 3] 랜섬노트






4. 결론

이번 Petya 랜섬웨어 변종은 WanaCryptpr 랜섬웨어와 같이 Eternal Blue 취약점을 공격하는 방식이 추가되었다. Petya 랜섬웨어는 지속적으로 변종이 발견되고 있으며 시간이 흐를수록 더 위험성이 높아지고 있다. 


이번 Petya 랜섬웨어에서 새로 추가된 전파 기법은 이전 WanaCryptor 에서 이미 이슈화 되었지만, 해당 취약점에 대한 업데이트가 아직 미흡하여 많은 피해를 입힌 것으로 보인다. 앞으로도 동일한 취약점 뿐 만 아니라 다른 취약점을 이용한 악성코드들이 발견 될 가능성이 많기 때문에 항상 최신 업데이트를 유지해야 할 것이다.



Petya 랜섬웨어 예방방법

  • MS17-010 을 포함한 Windows를 최신 업데이트를 적용한다.
  • SMBv1 비활성화 또는 445 port를 차단한다. 
  • (https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)
  • 백신을 최신상태로 유지한다.
  • 중요정보의 경우 주기적으로 백업한다.

아울러, 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0의 MBR 보호 기능을 사용하면 MBR 변조를 차단할 수 있다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호[그림 4] nProtect Anti-Virus/Spyware V4.0 MBR보호





저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

회사 메일을 이용한 피싱 메일 C&C 감염 주의



1. 개요 


이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 


이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

美 사이버 보안시장의 현재와 미래.hwp

파일크기

97,792 Byte

진단명

Trojan-Dropper/HWP.EPS.Gen

악성동작

드롭퍼

 

구분

내용

파일명

jusched.exe

파일크기

70,656 Byte

진단명

Trojan/W32.Snarebot.70656

악성동작

C&C

 



2-2. 유포 경로

특정 회사의 사내 그룹 및 개인 메일 계정으로 유입되었다.


[그림 1] 첨부 된 메일 내용 [그림 1] 첨부 된 메일 내용




2-3. 실행 과정

아래그림과 같이 이메일에 있는 첨부파일(.HWP)을 사용자가 열람할 경우, 시작 프로그램 폴더에 LNK 파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 악성 실행파일을 추가로 생성한다. 해당 악성코드는 사용자 PC를 재부팅 하였을 때 생성된 LNK 파일에 특정 인자 값을 지정하여 실행파일을 실행한다.


[그림 2] 동작 흐름도[그림 2] 동작 흐름도





3. 악성 동작


3-1. 파일 드롭

메일에 첨부된 HWP 파일은 취약점을 이용한 공격방식이 아닌 HWP 정상 스크립트를 이용하여 파일 드롭을 수행하는 것으로 확인된다. 해당 HWP 파일 내부에는 파일 다운로드 기능을 하는 스크립트와 함께 드롭 될 파일의 바이너리 값이 존재한다.


[그림 3] HWP파일 내부 스크립트[그림 3] HWP파일 내부 스크립트




아래와 같이 해당 HWP 파일에서 ‘바로가기 파일(.lnk)’, ‘악성실행파일(.exe)’ 두개의 파일이 스크립트를 이용하여 드롭된다.


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭




3-2. 시작 프로그램 등록

美 사이버 보안시장의 현재와 미래.hwp’ 파일을 열람 하였을 때, 시작 프로그램 폴더에 LNK 파일을 생성하는 것을 확인 할 수 있다. 생성된 LNK파일의 속성값을 확인 하였을 때 실행파일의 경로와 함께 특정 인자 값이 존재한다. 해당 인자 값이 없을 경우 악성 실행파일은 정상적으로 실행이 되지 않는다.


[그림 5] 생성 된 LNK 파일과 인자 값[그림 5] 생성 된 LNK 파일과 인자 값





3-3. 원격지 연결 시도

해당 악성코드는 LNK 파일을 통하여 하기의 원격지 서버에 연결을 시도 한다. 또한 C&C 명령을 받아 동작을 수행 할 때 마다 원격지 서버와 통신을 한다. 이는 해당 공격자의 명령과 데이터를 주고 받기 위한 동작으로 확인된다.

하지만 현재 분석시점에서는 해당 원격지서버는 접속이 정상적으로 이루어지지 않는다. 


[그림 6] 원격지 서버 연결 시도1[그림 6] 원격지 서버 연결 시도1


[그림 7] 원격지 서버 연결 시도2[그림 7] 원격지 서버 연결 시도2



원격지 연결 시도 후, HTTP상태 코드를 확인하여 연결이 성공적으로 이루어 졌는지 확인한다. 


[그림 8] 원격지 서버 연결 상태 확인[그림 8] 원격지 서버 연결 상태 확인





3-4. C&C 명령 테이블

현재 원격지 서버와 연결이 정상적으로 이루어지지 않고 있지만, 원격지 연결이 성공적으로 이루어질 경우 원격지 서버로부터 명령을 받아 추가적인 동작을 수행할 수 있다. 전체적인 C&C 동작 목록은 아래와 같다.


[그림 9] C&C 명령 테이블1[그림 9] C&C 명령 테이블1


[그림 10] C&C 명령 테이블2[그림 10] C&C 명령 테이블2




3-5. C&C 명령 주요 동작

다음은 ‘jusched.exe’ 악성코드의 C&C 명령에 따른 주요 동작을 확인 한 내용이다. 

정보 수집 및 전송

PC 정보

시스템 드라이브 정보

프로세스&모듈 정보

파일 속성 및 데이터

파일 및 폴더 정보

CAB 관련 파일 데이터

[1] 정보 수집 및 전송



해당 악성코드는 감염 PC이름과 시스템 정보를 수집한다.


[그림 11] 사용자 PC정보 수집[그림 11] 사용자 PC정보 수집



또한 감염 PC의 시스템 드라이브의 정보를 수집한다.

[그림 12] 시스템 드라이브 정보 수집[그림 12] 시스템 드라이브 정보 수집



C&C 명령을 통하여 특정 이름과 일치하는 파일이나 디렉토리 정보를 수집한다.


[그림 13] 파일 및 디렉터리 정보 수집[그림 13] 파일 및 디렉터리 정보 수집

 



추가 악성 동작

특정 프로세스 실행

특정 파일 다운로드

지정 프로세스 종료

지정한 파일 변조

 

 

[2] 추가 악성 행위




공격자는 특정 파일의 날짜, 디렉터리 생성 시간, 마지막 접근 시간, 수정 시간을 변경한다.


[그림 14] TimeStamp 변경 시도[그림 14] TimeStamp 변경 시도



아래 그림은 특정 문자열을 디코딩 하였을 때 다음과 같은 문자열로 변경된다. 해당 문자열은 명령프롬프트(cmd.exe)를 이용하여 파일을 실행하는데 사용되는 것을 확인 할 수 있다.


[그림 15] cmd 명령어를 통한 파일 실행[그림 15] cmd 명령어를 통한 파일 실행


 

문자열

디코딩

%7toDt%7tJ>%7

%s /c %s 2>%s

%7toDt%7t>%7tJ>%s

%s /c %s > %s 2>&1

[3] Decoding



C&C 명령 동작 내용중 일부는 원격지 서버로부터 특정 프로세스를 실행한다는 것을 알 수 있다.


[그림 16] C&C 명령을 통하여 특정 프로세스 실행[그림 16] C&C 명령을 통하여 특정 프로세스 실행




원격지 C&C 명령을 통해 파일 이름과 데이터를 받아와 특정 파일을 생성할 수 있다. 이는 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다.


[그림 17] 특정 파일 추가 다운로드[그림 17] 특정 파일 추가 다운로드




4. 결론

이번에 분석한 악성코드는 HWP 첨부파일을 다운로드하여 여는 순간, 사용자 PC가 감염되어 악성 동작을 수행하기 때문에 감염사실을 인지하기 어렵다. C&C악성코드 같은 경우 감염 후 바로 동작을 수행 할 수도 있지만 일정 시간 동안 대기 상태로 존재하다가 추후 공격자의 명령을 수행할 수 있다는 점 때문에 국내주요기관 및 기업은 이메일에 첨부된 파일을 열람 시 주의를 하여야 한다.   


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

Venus Locker의 변종, LLTP Locker 감염 주의



1. 개요 


‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다.


지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다.


이번 보고서에서는 Venus Locker의 변종, ‘LLTP Locker’ 랜섬웨어에 대하여 알아보고자 한다. 




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

LLTP_Ransom.exe

파일크기

956,928 byte

진단명

Ransom/W32.LLTP.956928

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, P2P사이트, 무료 다운로드 웹 사이트를 통해 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

‘LLTP Locker’ 랜섬웨어가 실행되면 http://moniestealer.co.nf로 피해자의 PC이름, 사용자 계정, 그리고 식별자 문자열인‘LLTP2.4.0’을 전송한다.


[그림 1] 감염 시 패킷 전송[그림 1] 감염 시 패킷 전송



그 후 파일암호화를 진행하는데, LLPT 랜섬웨어의 경우, 특이 하게도 암호화 후에 원본 파일 확장명에 따라 두가지 형식의 새로운 확장자명으로 변경 한다. 

파일 암호화가 완료되면 사용자의 바탕화면은 아래와 같이 변경되고 .EXE와 .TXT 형태의 랜섬노트가 생성되는 것을 확인할 수 있다.


[그림 2] 감염 된 사용자 바탕화면[그림 2] 감염 된 사용자 바탕화면


[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드[그림 3] 바탕화면을 변경하기 위해 .jpg 다운로드






3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 ‘2가지’ 확장자명 으로 암호화 한다. 

아래 [표 1] 에 해당하는 파일의 경우 암호화 후 확장자가 “.ENCRYPTED_BY_LLTP”로 변경된다. 

구분

내용

암호화 대상 파일

확장자

".txt",".ini",".php",".html",".css",".py",".c",".cxx",".aspx",".cpp",".cc",".h",".cs",             ".sln",

".log",".pl",".java",".doc",".dot",".docx",".docm",".dotx",".dotm",".rtf",".wpd",".docb",

".wps",".msg",".xls",".xlt",".xlm",".xlsx",".xlsm",".xltx",".xltm","xlsb",".xla",".xlam",

".xll",".xlw",".ppt",".pot",".pps",".pptx",".pptm",".potx",".potm",".ppam",".ppsx",

".ppsm",".sldx",".sldm",".class",".jar",".csv",             ".xml",".dwg",".dxf",".asp"

[표 1] 암호화 대상 파일 확장자


암호화 된 파일 확장자명이 ".ENCRYPTED_BY_LLTPp"으로 변경되는 파일의 확장자는 다음과 같다.

구분

내용

암호화 대상 파일

확장자

".asf",".pdf",".xls",".docx",".xlsx",".mp3",".waw",".jpg",".jpeg",".txt",".ost",".oab",

".jsp",".rtf",".doc",".rar",".zip",".psd",".tif",".wma",".gif",".bmp",".ppt",".pptx",".docm",

".xlsm",".pps",".ppsx",".ppd",".eps",".png",".ace",".djvu",".tar",".cdr",".max", ".wmv",

".avi",".wav",".mp4",".pdd",".php",".aac",".ac3",".amf",".amr",".dwg",".dxf",".accdb",

".mod",".tax2013",".tax2014",".oga",".ogg",".pbf",".ra",".raw",".saf",".val",".wave",

".wow",".wpk",".3g2",".3gp",".3gp2",".3mm",".amx",".rpt",".avs",".bik",".dir",".divx",

".dvx",".evo",".flv",".qtq",".tch",".rts",".rum",".rv",   ".scn",".srt",".stx",".svi",".swf",".trp",

".vdo",".wm",".wmd",".wmmp",".wmx",".wvx",".xvid",".3d",".3d4",".3df8",".pbs",

".adi",".ais",".amu",".arr",".bmc",".bmf",".cag",".cam",".dng",".ink",".ini",".jif",".jiff",

".jpc",".jpf",".jpw",".mag",".mic",".mip",".msp",".nav",".ncd",".odc",".odi",".opf",".qif",

".xwd",".abw",".act",".adt",".aim",".ans",".asc",".ase",".bdp",".bdr",".bib",".boc",".crd",

".diz",".dot",".dotm",".dotx",".dvi",".dxe",".mlx",".err",".euc",".faq",".fdr",".fds",".gthr",

".idx",".kwd",".lp2",".ltr",".man",".mbox",".msg",".nfo",".now",".odm",".oft",".pwi",

".rng",".rtx",".run",".ssa",".text",".unx",".wbk",".wsh",".7z",".arc",".ari",".arj",".car",".cbr",

".cbz",".gz",".gzig",".jgz",".pak",".pcv",".puz",".rev",".sdn",".sen",".sfs",".sfx",".sh",".shar",

".shr",".sqx",".tbz2",".tg",".tlz",".vsi",".wad",".war",".xpi",".z02",".z04",".zap",".zipx",

".zoo",".ipa",".isu",".jar",".js",".udf",".adr",".ap",".aro",".asa",".ascx",".ashx",".asmx",

".asp",".indd",".asr",".qbb",".bml",".cer",".cms",".crt",".dap",".htm",".moz",".svr",".url",

".wdgt",".abk",".bic",".big",".blp",".bsp",".cgf",".chk",".col",".cty",".dem",".elf",".ff",

".gam",".grf",".h3m",".h4r",".iwd",".ldb",".lgp",".lvl",".map",".md3",".mdl",".nds",

".pbp",".ppf",".pwf",".pxp",".sad",".sav",".scm",".scx",".sdt",".spr",".sud",".uax",".umx",

".unr",".uop",".usa",".usx",".ut2",".ut3",".utc",".utx",".uvx",".uxx",".vmf",".vtf",".w3g",

".w3x",".wtd",".wtf",".ccd",".cd",".cso",".disk",".dmg",".dvd",".fcd",".flp",".img",".isz",

".mdf",".mds",".nrg",".nri",".vcd",".vhd",".snp",".bkf",".ade",".adpb",".dic",".cch",".ctt",

".dal",".ddc",".ddcx",".dex",".dif",".dii",".itdb",".itl",”.kmz",".lcd",".lcf",".mbx",".mdn",

".odf",".odp",".ods",".pab",".pkb",".pkh",".pot",".potx",".pptm",".psa",".qdf",".qel",

".rgn",".rrt",".rsw",".rte",".sdb",".sdc",".sds",".sql",".stt",".tcx",".thmx",".txd",".txf",

".upoi",".vmt",".wks",".wmdb",".xl",".xlc",".xlr",".xlsb",".xltx",".ltm",".xlwx",".mcd",

".cap",".cc",".cod",".cp",".cpp",".cs",".csi",".dcp",".dcu",".dev",".dob",".dox",".dpk",

".dpl",".dpr",".dsk",".dsp",".eql",".ex",".f90",".fla",".for",".fpp",".jav",".java",".lbi",".owl",

".pl",".plc",".pli",".pm",".res",".rsrc",".so",".swd",".tpu",".tpx",".tu",".tur",".vc",".yab", 

".aip",".amxx",".ape",".api",".mxp",".oxt",".qpx",".qtr",".xla",".xlam",".xll",".xlv",".xpt",

".cfg",".cwf",".dbb",".slt",".bp2",".bp3",".bpl",".clr", ".dbx",".jc",".potm",".ppsm",

".prc",".prt",".shw",".std",".ver",".wpl",".xlm",".yps",".1cd",".bck",".html",".bak",".odt",

".pst",".log",".mpg",".mpeg",".odb",".wps",".xlk",".mdb",".dxg",".wpd",".wb2",".dbf",

".ai",".3fr",".arw",".srf",".sr2",".bay",".crw",".cr2",".dcr",".kdc",".erf",".mef",".mrw",".nef",

".nrw",".orf",".raf",".rwl",".rw2",".r3d",".ptx",".pef",".srw",".x3f",".der",".pem",".pfx",

".p12",".p7b",".p7c",".jfif",".exif",".docb",".xlt",".xltm",".xlw",".ppam",".sldx",".sldm",

".class",".db",".pdb",".dat",".csv",".xml",".spv",".grle",".sv5",".game",".slot",".aaf",".aep",

".aepx",".plb",".prel",".prproj",".eat",".ppj", ".indl",".indt",".indb",".inx",".idml",".pmd",

".xqx",".svg",".as3",".as"

[2] 암호화 대상 파일 확장자



해당 악성코드는 AES-256 알고리즘을 사용하여 파일을 암호화 한다. 파일을 암호화 하는데 사용 한 AES암호화 키는 다시 RSA알고리즘을 사용하여 암호화 한다.

암호화 된 파일은 아래와 같은 형태가 되며, 바탕화면에 “LEAME.txt”, “RansomNote.exe”라는 랜섬노트가 생성된 것을 확인할 수 있다.


[그림 4] 암호화 된 파일과 랜섬노트[그림 4] 암호화 된 파일과 랜섬노트



'LLTP Locker'랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다. 

구분

내용

예외 대상 목록의

경로

"Program Files","Program Files (x86)","Windows","Python27","Python34",

"AliWangWang",  "Avira","wamp",  "Avira","360","ATI","Google","Intel",

"Internet Explorer","Kaspersky Lab","Microsoft Bing Pinyin","Microsoft Chart Controls",

"Microsoft Games","Microsoft Office","Microsoft.NET","MicrosoftBAF","MSBuild",

"QQMailPlugin","Realtek","Skype","Reference Assemblies","Tencent", "USB Camera2",

"WinRAR","Windows Sidebar","Windows Portable Devices","Windows Photo Viewer",

"Windows NT","Windows Media Player","Windows Mail","NVIDIA Corporation",

"Adobe","IObit","AVAST Software","CCleaner","AVG","Mozilla Firefox","VirtualDJ",

"TeamViewer","ICQ","java","Yahoo!"

[3] 예외 대상 경로




3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 암호화 하기 이전 상태로 되돌리는 것을 방지하기 위해 WMIC.exe(윈도우 관리 도구)아래 명령어를 실행한다. 이 명령어가 실행되면 사용자 PC의 볼륨 쉐도우 복사본이 제거된다.


[그림 5] 쉐도우 파일 삭제[그림 5] 쉐도우 파일 삭제




3-3. 금전 요구

파일 암호화가 완료되면 'LLTP Locker'랜섬웨어는 암호화된 파일에 대하여 금전을 요구한다. 해당 랜섬웨어는 랜섬노트를 3가지 형식의 포멧으로 사용자에게 지불방법을 설명한다.

변경된 바탕화면과 바탕화면에 생성 된 “LEAME.txt” 는 영문으로, “RansomeNote.exe”는 스페인어로 사용자에게 비트코인 지불 방법을 안내한다.


[그림 6] 스페인어로 작성되어진 랜섬노트[그림 6] 스페인어로 작성되어진 랜섬노트


[그림 7] 영문 랜섬노트[그림 7] 영문 랜섬노트




3-4. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 .exe포멧의 랜섬노트를 띄워 사용자에게 감염되었다는 것을 계속 인지하도록 유도 한다.


[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가[그림 8] 윈도우 로그인 시 랜섬노트가 실행되게 레지스트리 값 추가



그리고 바탕화면을 변경하기 위해서 아래 그림과 같이 Wallpaper의 값을 해당 이미지 경로로 변경한다.


[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가[그림 9] 바탕화면을 변경시키기 위해 레지스트리 값 추가



4. 결론

‘LLTP Locker’에 대해서는 아직 다른 랜섬웨어와 같이 큰 피해 사례가 발견되지 않았지만, 여타 랜섬웨어와 같이 사회공학을 이용한 지속적인 스팸 메일 공격을 시도하면 그 피해가 커질 것으로 예상된다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면


저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

금융정보 탈취 악성코드 분석 




1. 개요 


분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. 


MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다.


이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

PrimePC.exe

파일크기

777,479 Bytes

진단명

Banker/W32.Agent.777479

악성동작

드롭퍼 (숙주파일)

 

구분

내용

파일명

[RANDOM_01].dll

파일크기

45,056 Bytes

진단명

Banker/W32.Agent.45056.D

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

[RANDOM_02].dll

파일크기

301,316 Bytes

진단명

Banker/W32.Agent.301316

주요 악성동작

금융 정보 탈취 및 변조

 

구분

내용

파일명

[RANDOM_03].dll

파일크기

28,672 Bytes

진단명

Banker/W32.Agent.28672.B

주요 악성동작

보안 프로세스 동작 방해

 

구분

내용

파일명

wshtcpip.dll (변조)

파일크기

19,456 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 

구분

내용

파일명

midimap.dll (변조)

파일크기

18,944 Bytes

진단명

Virus/W32.Patched.Gen

악성동작

악성 DLL 로딩

 


2-2. 실행 과정

숙주 악성코드는 여러 파일을 드롭하고 다양한 동작을 수행한다. 세세한 동작을 제외한 주요 동작에 관한 큰 흐름은 아래 그림과 같다. 아래의 흐름도에서 [Random_c].dll[Random_d].dll변조 된 wshtcpip.dllmdidimap.dll 을 통해 로드 되어 악성행위를 수행한다.


[그림 1] 주요 동작 흐름[그림 1] 주요 동작 흐름


해당 악성코드는 일명 ‘메모리 해킹 악성코드’ 로 불린다. 이는 금융 거래 시에 암호화 되어 있어야 하는 민감한 정보들이 일시적으로 메모리 상에 복호화 되어 적재 되어 있는 데이터를 탈취/변조 하기 때문이다. 또한, 공격자는 금융 거래 시에 사용 되는 보안 모듈을 분석하여 해당 보안 모듈에서의 유의미한 데이터를 탈취하도록 했다.





3. 악성 동작


3-1. 파일 드롭

숙주 파일(본 보고서에서 PrimePC.exe) 실행 시 %TEMP% 경로 하위에 임의의 이름([tickCount].tmp)으로 생성한 임시 파일을 생성한다. 해당 임시 파일은 숙주 파일과 동일 한 파일로, 생성 이후 숙주 파일로 의해 다시 실행된다. 새로운 프로세스로 동작하는 임시파일은 숙주 파일의 내용을 변경하고, 또 다른 임의의 파일명을 가진 파일([tickCount].exe)을 %TEMP% 폴더 하위에 생성한다.


해당 파일은 다시 여러 파일을 드롭한다. 또한, 정상 wshtcpip.dll midimap.dll 을 변조하며, 특정 보안 모듈의 동작을 방해한다. 해당 파일이 드롭 하는 주요 파일은 아래와 같다. 


경로

파일 명

파일 크기

비고

%TEMP%

ahnmove.bat

-

자가 삭제 batch 파일

%TEMP%

[RANDOM_01].dll

45,056 Bytes

백신 프로세스에 DLL 인젝션,

코드 패칭

프로세스 종료

%TEMP%

%SYSTEM%

[RANDOM_02].dll

301,316 Bytes

변조 wshtcpip.dll 에 의해 로드

추가 모듈 다운로드

백신 동작 방해

온라인 뱅킹 관련 정보 탈취

%TEMP%

%SYSTEM%

[RANDOM_03].dll

28,672 Bytes

변조 midimap.dll 에 의해 로드
추가 파일 다운로드 및 실행

백신 동작 방해

%SYSTEM%

wshtcpip.dll

19,456 Bytes

변조 된 wshtcpip.dll

%SYSTEM%

midimap.dll

18,944 Bytes

변조 된 midimap.dll

(※ “%SYSTEMROOT%” 환경변수 경로를 편의상 줄여 “%SYSTEM%” 로 한다.)




3-2. 시스템 DLL 변조

윈도우 정상 DLL인 wshtcpip.dllmidimap.dll 을 악성 DLL로 변조한다. 변조 된 DLL 은 LoadLibrary 을 사용하여 각각 “[RANDOM_02].dll(295KB)” 과 “[RANDOM_03].dll(28KB)” 을 로딩 하는 역할을 한다. 그 외 나머지 부분은 정상 시스템 파일과 동일 하다. 로드 되는 특정 악성 DLL은 숙주파일로 부터 %SYSTEM% 폴더 하위에 이미 드롭 되어 있기 때문에 로드 될 수 있다.


이로 인해 wshtcpip.dll midimap.dll 을 기본적으로 로드하는 프로세스는 모두 추가적으로 “[RANDOM_02].dll” 과 “[RANDOM_03].dll” 까지 로드하게 된다.


[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정[그림 2] 변조 된 wshtcpip.dll 에서 악성 DLL을 로드하는 과정




3-3. 백신 무력화

특정 보안 업체의 제품 설치 유무를 검사 한 뒤 존재하면 백신 프로그램 서비스를 중지시키고, 특정 보안 파일을 언로드 및 제거 한다.


[그림 3] 서비스 중지 및 드라이브 파일 제거[그림 3] 서비스 중지 및 드라이브 파일 제거




3-4. 프로세스 종료

변조된 wshtcpi.dll 에 의해 [RANDOM_02].dll 이 “iexplore.exe”에 로드 된 경우 특정 백신 업체의 제품 프로세스를 조회하여 종료시킨다. 또한 윈도우 타이틀의 이름이 특정 문자열과 맞을 경우 종료 메시지를 전달한다. 검사하는 윈도우 타이틀은 아래와 같다. 


검사하는 윈도우 타이틀

바람의 나라 – 고대 고구려

리니지 :: 보안&편의 서비스

액션쾌감!!! 던전앤파이터

메이플스토리

바람의나라

월드 오브 워크래프트

Dungeon & Fighter

Elsword

LineageWindows Client

 




3-5. 추가 파일 다운로드 및 실행

위와 마찬가지로 [RANDOM_02].dll 이 “iexplore.exe” 에 로드 된 경우, 추가 파일을 다운로드 및 실행한다. 다운로드 주소는 특정 알고리즘으로 인코딩 되어 있으며, 복호화 시 분석중인 샘플의 경우 “http://w**b.l***x.com:89/up4/jpg.rar” 과 같다. 해당 파일이 다운로드에 성공하면 실행된다.


[그림 4] 추가 파일 다운로드 시도 URL[그림 4] 추가 파일 다운로드 시도 URL


[그림 5] 추가 파일 다운로드[그림 5] 추가 파일 다운로드





3-6. 사용자 PC 정보 탈취

현재 PC의 정보를 수집하여 특정 URL로 전송한다. 수집하는 정보는 하기와 같으며, 분석 샘플의 대상 원격지는 http://a**f.8*****6.com:85 이다. 


수집 정보

해쉬화 된 PC 정보 (mac)

OS 정보 (os)

설치 된 보안 프로그램 명 (avs)

던전 앤 파이터 설치 여부 (ps)

실행 중인 프로세스 개수 (pnum)

 

 






3-7. 금융 정보 탈취

[RANDOM_02.dll] 이 “explorer.exe” 또는 “iexplore.exe” 에 로드되면 %TEMP% 폴더 하위에 nx1.dat 파일이 존재하는지 확인한다. 존재할 경우 해당 파일의 내용을 읽어 특정 원격지로 전송한다. nx1.dat 파일은 추후 NPKI 를 포함한 탈취 정보가 저장 된다.


[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송[그림 7] 해당 프로세스에 로드 된 경우 특정 정보를 전송



또한, 현재 로드 된 호스트 프로세스가 “dllhost.exe”, “I3GEX.exe” 가 아닌지 확인 한 뒤 금융정보 탈취 과정으로 진입한다. 탈취 과정은 새로운 스레드를 생성하여 동작한다.


[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입[그림 8] 현재 인젝션 된 프로세스를 확인한 뒤 금융정보를 탈취 과정으로 진입



URL 주소에 “w*******k.com”, “b*****g.n******p.com” 문자열이 존재 할 경우, NPKI 탈취 동작과 특정 보안 업체의 DLL 을 후킹한다. 

NPKI 탈취 동작의 경우 여러 경로로 탐색을 시도하여 SignCert.der 과 SignPri.key 파일의 경로를 얻어온다.


[그림 9] 각 경로 별로 NPKI 관련 파일 탐색[그림 9] 각 경로 별로 NPKI 관련 파일 탐색




후킹의 경우 해당 모듈을 패치한 코드에서 이체 정보, 금융 정보 등을 탈취하며, 수집한 정보들을 조합하여 특정 원격지로 전송한다. 수집 할 수 있는 정보는 다음과 같다. 


수집 할 수 있는 정보

고유 해쉬 값 (zmac)

인증서 비밀번호 (zsp)

계좌 비밀 번호 (yhp)

이체 비밀 번호 (yhsp)

보안 카드 번호 (mbi)

보안 카드 값 (mbp)

NPKI 정보

프록시 IP 정보

 

 





4. 결론

해당 악성코드는 윈도우 정상 DLL 을 변조하여 금융 정보 탈취를 시도한다. 변조 대상이 되는 wshtcpip.dll 과 midimap.dll 은 일반적으로 사용되는 파일이므로 변조 시 더 큰 위협이 될 수 있다. 금융 정보 탈취로 인해 사용자는 금전적인 피해를 입을 수도 있다. 뿐만 아니라 추가적인 파일을 다운로드 할 수 있으므로 더욱 주의하여야 한다.

악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 최신 업데이트하여 PC 를 보호하여야 한다.


조그만 관심을 가지면 많은 피해를 예방할 수 있다. 위 악성코드는 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 11] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석




1. 개요 


생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Mamianune.exe

파일크기

20,027 Bytes

진단명

Virus/W32.Mamianune

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성상 주로 파일 복제나 이메일을 통해 유포되었을 확률이 높아 보인다.



2-3. 실행 과정

해당 악성코드는 실제 악성 행위를 수행하는 코드까지 2단계로 인코딩 되어있으며, 각 단계 모두 폴리모픽(Polymorphic) 기법이 적용되어 코드가 생성된다.





3. 악성 동작


3-1. 파일 감염

해당 악성코드는 감염 동작 시 아래 그림과 같이 악성코드가 삽입될 마지막 섹션에 실행 속성을 부여하고, 악성코드를 삽입한다.


[그림 1] 섹션 속성 변경[그림 1] 섹션 속성 변경


[그림 2] 악성코드 복사[그림 2] 악성코드 복사




변경된 섹션의 내용을 PE 헤더 스펙에 맞춰주기 위해 아래 그림과 같은 여러 동작을 수행한다.


[그림 3] 마지막 섹션 Virtual size 확장[그림 3] 마지막 섹션 Virtual size 확장





3-2. 폴리모픽 코드 생성

해당 악성코드는 E-mail 웜(worm) 기능을 수반하고 있으며, 파일 첨부를 위해 자신을 복제할 때마다 아래 그림과 같이 폴리모픽이 적용되어 안티-바이러스 제품들의 진단을 힘들게 한다.


[그림 4] 코드 생성[그림 4] 코드 생성





4. 결론


이러한 바이러스 기능을 수반한 악성코드는 정상 파일에 악성코드를 기생 시키기 때문에, 일반적인 악성코드에 비해 치료가 어렵다. 따라서, 사용자는 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등의 방안으로 감염에 예방해야 한다. 상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

다운로더 악성동작 Tufik 바이러스 분석




1. 개요 


바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

tufik.exe

파일크기

41,472 Bytes

진단명

Virus/W32.Tufik

악성동작

파일 바이러스

다운로더

 



2-2. 유포 경로

해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다.




2-3. 실행 과정

실행된 악성코드는 자신을 %SystemRoot%\system\alg.exe로 복사하여 재실행 후 다운로드 및 파일 감염 등 악성 동작을 수행한다.




3. 악성 동작


3-1. 파일 감염

해당 악성코드의 감염 형태는 섹션 스펙에 따라, 아래 그림과 같이 악성 섹션을 추가하는 Type1-1과 기존 섹션을 늘려 악성 코드를 추가하는 Type 1-2, 악성 파일 뒤에 원본 파일을 그대로 붙이는 Type 2로 나뉜다.


[그림 1] 감염 형태[그림 1] 감염 형태




Type 1-1은 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 있으면 아래 그림처럼 섹션을 추가해준다.


[그림 2] Type 1-1 생성[그림 2] Type 1-1 생성



Type 1-2는 PE 스펙 상 파일 크기가 실제 파일 크기와 같으며, 섹션 헤더를 추가할 공간이 없으면 조건에 맞는 섹션을 선택하여 아래 그림처럼 섹션 크기를 늘린 후 악성 코드를 복사한다.


[그림 3] Type 1-2 생성[그림 3] Type 1-2 생성



Type 2는 PE 스펙 상 파일 크기가 실제와 같지않으면 대상 파일 원본을 보존하기 위해 아래 그림처럼 악성코드 전체를 원본 파일 앞부분에 기록한다. 이 후 원본 파일의 리소스에서 아이콘을 추출하여 원본 파일과 같이 위장한다.


[그림 3] Type 2 생성[그림 3] Type 2 생성





4. 결론


이와 같은 바이러스는 원본을 거의 훼손하지 않아 파일 대부분을 복구할 수 있지만, 다운로더 악성동작으로 다운로드 및 실행될 파일에 의한 피해가 확산될 수 있어 사용자의 주의가 필요하다. 이를 예방하기 위해선, 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

BLACK ENERGY 악성코드 분석 보고서

 


1. 개요

지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다.


                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

BlackEnergy.xls

파일크기

734,724 byte

진단명

Trojan-Dropper/X97M.BlackEnergy

악성동작

xls 매크로




 


2-2. 유포 경로

이 사건과 관련하여 언론매체에서는 MS 오피스 문서에 포함된 매크로 악성코드가 공격의 시작이라 말하고 있다. 또한, 스피어 피싱 기법을 사용하여 사용자의 흥미를 끄는 이메일 첨부파일을 통해 악성파일 실행을 유도한다. 이렇게 감염된 PC는 추가 악성 모듈 다운로드백도어 등의 동작을 수행해 감염 PC 네트워크에 대한 공격의 발판으로 이용된다.



2-3. 실행 과정

악성 .xls 파일에는 악성 코드를 생성 및 실행하는 매크로가 등록되어 있다. .xls 파일의 매크로가 실행되기 위해선 사용자가 직접 매크로를 활성화해야 한다매크로를 허용하지 않는다면 악성동작이 수행되지 않지만피해자가 관심을 가질 만한 내용으로 위장한 파일이거나매크로 사용이 빈번한 사용자라면 매크로 실행이 허용될 수 있다. (일반적으로 매크로를 허용하지 않을 시 대체로 문서의 내용을 볼 수 없다고 표기된다.)


스피어 피싱 이메일에 포함된 오피스 파일은 매크로 악성코드와 유사한 형태의 동작을 수행한다. .xls 문서 파일에서 실행되는 악성코드는 최종적으로 원격지 서버에 접속을 시도하며연결에 성공 시 추가 악성코드를 다운로드 한다.

매크로 실행을 허용하면 아래 경로에 악성 파일을 생성하고 실행한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\vba_macro.exe




[
그림매크로 보안경고 알림




[
그림엑셀 매크로 악성코드




매크로로 생성된 파일 vba_macro.exe 은 또 다른 악성파일 FONTCACHE.DAT 을 생성 및 윈도우 정상 프로세스 rundll32.exe 를 이용하여 자동실행 등록한다이후 악성동작은 이 파일을 이용해 이뤄진다.




[
그림생성된 vba_macro.exe 의 악성동작, FONTCACHE.DAT 생성





[그림자동실행 등록하는 .lnk 파일 및 그 내용




 

3. 악성 동작

3-1. 원격지 연결

APT 공격은 장기간에 걸쳐 지속적으로 이뤄지는 만큼 악성코드의 업데이트 및 네트워크, PC 정보 수집에 관한 동작이 다수를 이룬다. FONTCACHE.DAT 또한 이러한 역할을 하는 모듈로써원격 연결을 이용해 해커가 언제든 감염 PC에 접근할 수 있기 때문에 공격 대상 네트워크에 대한 지속적인 위협을 가할 수 있다.


실행중인 FONTCACHE.DAT는 RPC통신을 이용하여 원격지와 연결을 시도한다원격지 주소는 http://5.***.***.114/ Microsoft/Update/KC074913.php 와 같으며 현재는 접속되지 않지만 연결에 성공 시 추가 악성코드를 다운로드 할 것으로 보인다.





[
그림] RPC 통신




[
그림원격지 연결 시도




[그림접속 시 추가 악성파일 생성 코드

 


 

3-2. MBR 파괴

MBR(Master Boot Record)이란 파티션 된 저장장치(하드 디스크이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다.


Black Energy 의 일부인 KillDisk 의 변종으로 MBR파괴 동작을 수행하는 모듈이다실행 시 특정 레지스트리를 검사하여 중복실행 되지 않을 때에만 동작한다. %Windows% 하위에 svchost.exe 로 자신을 복사하고 이 파일을 서비스로 등록한다서비스로 동작되면 PC의 MBR영역과 함께 특정 확장자를 가진 파일을 0으로 덮어쓰고 강제 재부팅 시켜 PC를 사용 불가능한 상태로 만든다.






[그림파괴대상 물리드라이브 및 파일 확장자





[그림파괴된 MBR





[그림파괴된 파일

 


 

4. 결론

국내 사용자를 대상으로 시도 때도 없이 배포되는 KRBanker, 랜섬웨어 등을 보고있으면 우크라이나에서 발생한 해킹공격은 너무 먼 이야기로 들릴지 모른다하지만 악성코드는 해커들 사이에서 쉽게 공유되고 변형된다국내를 대상으로 한 동일 변종이 나타나지 말란 법은 없다실제로 해외 보안 업체에 따르면 Black Energy 또한 2014 10월부터 꾸준히 업데이트 되며 사용한 악성코드기도 하다.


잉카인터넷은 2011년 북한 발 MBR 파괴 공격, 3.20, 6.25 사이버테러 사태 시 PC MBR영역을 보호기능을 제공하는 nProtect MBR Guard를 제작 및 배포한 이력이 있다. nProtect MBR Guard MBR 보호 기능은 잉카인터넷 백신 AVS V4.0에 기본 탑재되어 있어부가적 프로그램 설치 없이 백신 프로그램 nProtect AVS 제품만으로도 MBR보호 동작을 수행할 수 있다.


잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.




[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면



저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

토렌트를 통한 유포방식의 악성코드 분석 보고서  



1. 개요

플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다.


토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 위키백과]


하지만 그 편의성과 접근성으로 인해 악성코드의 주요 공격수단으로 이용되고 있기도 하다. 이 보고서에서는 안전한 PC이용을 위해 토렌트를 이용한 악성코드 유포방식에 대해 살펴보겠다.

 

 

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe

파일크기

430,080 byte …

진단명

Trojan/W32.Agent.430080.SL …

악성동작

C&C, 백도어 등

 

 

2-2. 유포 경로

아래 토렌트 파일들은 모두 유명 토렌트 공유 사이트들에서 수집한 파일들이다. 공유 사이트의 성격에 따라 다르지만 일부 사이트들은 저작권 침해자료, 성인자료 공유, 기타 문제 등으로 사이트 차단이 번번이 일어난다. 문제는 이런 사이트들은 사이트가 차단될 때 마다 서버의 주소를 바꿔 운영하며, 불법 자료 공유는 끊이지 않아 완전한 차단에 어려움이 따른다.




2-3. 실행 과정

윈도우 OS에선 확장자를 통해 파일과 프로그램을 연결한다. 예를 들어 .doc 확장자를 갖고 있는 파일은 더블클릭 시 워드 프로세서가 실행된다. 이와 마찬가지로 .torrent 파일을 더블 클릭하면, 토렌트 공유 프로그램이 실행된다. 이처럼 실행을 위해 별도의 프로그램이 필요한 일반 파일과 달리, 악성 코드는 그 자체가 하나의 프로그램이다. 때문에 토렌트 공유 사용자들에게 자신을 .torrent 파일, 혹은 기타 정상 파일로 보이도록 다양한 수법을 활용해 위장하고, 사용자의 실행을 유도한다.




 

3. 유포 방식

3-1. 업로드 파일 확장자 수정

해커 입장에서 가장 간단하면서도 손쉬운 방식이다. 게시글의 첨부파일에는 일반적으로 .torrent 파일만 올린다는 점을 이용하여, 파일명을 torrent 파일처럼 보이게 바꾸고, 확장자를 .exe로 하여 업로드 하는 수법이다. 다운로드 완료 시 바로 실행버튼을 누른다면 .torrent 가 실행되는 대신, 악성코드에 감염될 것이다.



[
그림유포사례, 확장자 수정

 

여기서는 단순히 확장자를 바꾸는 예시만 있지만, 경우에 따라 파일명에 긴 공백을 넣어 다운로드 시 확장자가 노출되지 않게 하는 수법도 즐겨 사용되고 있다. 또한 실행파일의 아이콘을 임의로 설정할 수 있다는 점을 이용, 얼핏 보기에는 토렌트 파일과 차이점을 알 수 없게 만든다.


아래는 재현을 위해 임의로 설정한 예시이다. 같은 폴더에 있는 두 파일은 파일명이 동일해 보인다. 하지만 동일 폴더에 동일 파일명을 가진 두 개 파일은 함께 존재 할 수 없다. 실제로 두 파일은 정상 .torrent 파일과 긴 공백을 삽입한 악성 실행파일(.exe)이다.



    











[그림] 보기(V)-자세히(D),    보기(V)-간단히(L)

 


 

3-2. 압축파일 업로드

토렌트 공유 사이트는 첨부파일로 .torrent 파일을 업로드 하는 것이 일반적이다. 이 유포 방식은 토렌트 대신 압축파일을 업로드 해 두고, 압축을 풀면 토렌트 파일을 얻을 수 있다고 설명한다. 여러 개의 토렌트 파일을 동시에 공유하기 위해 실제로 정상 압축 파일을 공유하는 경우도 있지만, 대다수는 토렌트로 위장한 악성파일이 나올 뿐이다.



[
그림] 압축파일 유포사례

 


위 유포지 에서 다운받은 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip”파일의 압축을 풀면 마션 [자체한글] The.Martian.2015.720p.KOR.HDRip-JSC.exe” 파일을 얻을 수 있다. 토렌트 파일이 주로 사용하는 파일명을 사용하고, 아이콘 또한 토렌트 파일 같지만 이는 악성 실행파일이다.




[
그림] 마션+[자체한글]+The.Martian.2015.720p.KOR.HDRip-JSC.zip 압축 해제 결과

 


 

3-3. 도움말 파일(.chm)을 통한 유포

.chm 확장자를 갖는 파일은 컴파일 된 HTML 도움말 파일이라는 정상 파일 형식이다. 이는 검색, 색인, 온라인 도움말 등 도움말을 쉽게 찾아보기 위해 개발된 파일 형식으로 일반적으로 아래와 같은 실행 화면을 확인할 수 있다.




[
그림] 정상 .chm 파일




.chm 파일은 온라인 도움말 등의 편의기능을 제공하기 위해 일반 문서파일형식(DOC, TXT )과 다른 특징이 하나 있는데, 그것은 html 페이지를 그대로 사용할 수 있다는 점이다. 아래의 악성파일 영상 보기전에 읽어주세요.chm”에는 악성 스크립트가 삽입된 razor.htm 파일이 존재한다.



[
그림] 유포사례




[
그림] 토렌트 파일의 내용

 


.chm 파일을 실행하면 아래와 같은 화면을 확인할 수 있는데, 이는 razor.htm 파일이 출력된 것이다. razor.htm의 소스코드에는 악성서버 http://c****c***g.s****i*c.com:2721/flyy.exe 로부터 파일을 다운받아 실행하는 코드가 들어있다.



[
그림] 악성 .chm 실행 화면 (razor.htm)




[
그림] razor.htm 파일 내의 악성 스크립트 




현재는 서버에 접속이 되지 않는 상태로, .chm 파일을 실행한다고 해서 감염되진 않으나 해커가 서버를 활성화 시킨다면 언제든 악성코드를 다운 받을 수 있다는 점, 그리고 그 악성코드가 언제든 교체될 수 있다는 점에서 매우 주의가 요구된다.

 

 

3-4. 화면보호기 파일(.scr)을 통한 유포

.scr 확장자를 사용하여 유포하는 사례이다. 대부분의 동영상 플레이어는 동일 파일명을 가진 영상파일과 자막파일이 같은 폴더 내에 있을 경우, 두 파일을 자동으로 함께 재생시키는 기능이 있다. 이 때문에 자막이 있는 동영상의 경우 동일한 이름의 두 파일이 함께 공유되는 형태가 다수를 차지한다.


동영상 자막에 사용되는 확장자는 .sub, .smi.srt s로 시작하는 확장자가 많이 사용된다. 이에 익숙하지 않은 사용자의 경우 .scr 확장자 또한 자막파일로 오해하고 실행하기 쉽다. 이를 이용하여 실행을 유도하거나 혹은 .scr 파일 자체를 동영상 파일로 위장하여 유포하는 사례 등이 자주 발견된다.




[
그림] .scr 확장자를 이용한 유포사례

 



.scr 확장자는 윈도우 화면보호기를 위해 쓰이는 정상적인 확장자이다. 하지만 이 파일형식을 이용해 파일을 실행할 수 있다는 점이 문제가 된다. .scr 확장자를 이용한 악성코드 유포는 비단 토렌트 뿐 아닌 다른 형태의 유포에도 즐겨 사용되는 방법으로써, 언제나 화면보호기 파일을 이용할 때에는 신뢰할 수 있는 파일인지 검증이 요구된다.




 

4. 결론

위에 나열된 방식 외에도 악성코드가 PC를 감염시키기 위해 자신을 위장하는 방식은 실로 다양하다. 일차적으로 다운받은 파일의 확장자를 잘 확인한다면 이러한 위협으로부터 방지할 수 있다. 또한 토렌트를 이용한 이런 감염 유도는 주로 불법적인 사이트에 국한되어 있기에, 합법적인 경로를 통해 건강한 콘텐츠이용을 하는 것이 바람직하다.


토렌트로 위장한 악성코드는 C&C 서버 등 사용자의 PC에 백도어를 설치하는 형태가 다수를 차지했다. 상기 나열된 악성코드 들은 잉카인터넷 안티 바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[
그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[
그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect