'잉카인터넷 백신'에 해당되는 글 2건

  1. 2018.04.04 Qwerty 랜섬웨어 감염 주의
  2. 2018.03.14 [악성코드 분석] Gold Dragon 악성코드 주의

Qwerty 랜섬웨어 감염 주의


1. 개요 


본 보고서에서 다루게 될 쿼티(Qwerty) 랜섬웨어는 ‘GPG’ 프로그램을 사용하여 파일을 암호화한다. ‘GPG’는 데이터와 통신을 암호화 시킬 수 있는 정상 프로그램으로 랜섬웨어에서 타 정상 프로그램을 사용하여 파일을 암호화하는 것은 드문 일이다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 암호화된 파일의 확장자를 ‘.[임의의 값].qwerty’로 저장하고 원본 파일을 삭제하는 방식으로 랜섬웨어 기능을 수행한다.


이번 보고서에는 패키지로 구성된 쿼티 랜섬웨어에 대해서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

find.exe

파일크기

946,702byte

진단명

Ransom/W32.Qwerty.946702

악성동작

파일 암호화




2-2. 동작 방식

쿼티 랜섬웨어는 패키지로 구성되어있어 각각의 파일을 코드에 따라 실행하여 랜섬웨어 기능을 수행한다. 아래 그림에서와   같이 ‘key.bat’ 파일을 실행하면 ‘find.exe’ 파일까지 순차적으로 실행되며, 실행된 ‘find.exe’는 ‘gpg.exe’를 통해 파일을  암호화하여 저장하고 ‘shred.exe’를 통해 원본 파일을 삭제한다.


[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일[그림 1] Qwerty 랜섬웨어 동작 방식과 패키지 파일



아래 그림에서 첫 번째 실행되는 ‘key.bat’ 파일의 내용을 살펴보면 암호화 프로그램인 ‘gpg.exe’ 파일을 사용하여 

‘qwerty-pub.key’ 파일과 ‘ownertrust.txt’ 파일의 데이터를 암호화에 사용할 키(key)로 등록하고 ‘run.js’ 파일을 실행한다. 이후 구성 파일 중 ‘qwerty-pub.key’, ‘ownertrust.txt’, ‘run.js’, ‘key.bat’ 파일을 삭제한다.


[그림 2] key.bat 파일 내용[그림 2] key.bat 파일 내용



실행된 ‘run.js’ 파일은 아래 그림과 같이 암호화 기능을 수행시키는 ‘find.exe’ 파일을 실행한다. 이때 인자를 a부터 z 드라이브를 나타내는 문자열로 설정함으로써 드라이브 전체를 암호화 대상으로 하고 있다.


[그림 3] ‘run.js’ 파일 내용[그림 3] ‘run.js’ 파일 내용







3. 악성 동작


3-1. 프로세스 종료

‘find.exe’ 파일이 실행되면 지정된 프로세스와 자식 프로세스를 강제로 종료시킨다. 지정된 프로세스 명은 아래와 같다.

 

구분

내용

대상 프로세스

sql

1c

chrome.exe

ie.exe

firefox.exe

opera.exe

safari.exe

taskmgr.exe

[1] 강제 종료 대상 프로세스 목록




3-2. 파일 암호화

이후 대상 파일에 대한 암호화를 진행하는데 정상 암호화 도구인 ‘gpg.exe’ 파일을 사용하여 암호화를 진행한다. 하나의 파일에 대한 암호화가 완료되면 확장자를 ‘.[임의의 값].qwerty’로 변경하여 저장하고 ‘shred.exe’ 파일을 실행시켜 원본 파일을 삭제한다. 이와 같은 방식을 반복하여 대상 파일을 암호화한다. 아래 그림은 테스트 파일이 암호화된 화면이다.


[그림 4] 암호화된 파일[그림 4] 암호화된 파일



[그림 4]와 같이 일부 파일이 암호화되지 않은 것을 확인할 수 있는데 이는 암호화 대상의 폴더명과 파일명에 특정 문자열을 확인하여 해당 문자열이 포함되어 있으면 암호화를 수행하지 않게 설계되어있기 때문이다. 이와 같이 암호화 예외 대상을 구분하기 위한 문자열 목록은 아래와 같다. 

 

구분

내용

화이트 리스트 문자열

Temp

TEMP

windows

Windows

WINDOWS

Program Files

PROGRAM FILES

ProgramData

gnupg

Recycle

README_DECRYPT.txt

.qwerty

.exe

.dll

[2] 화이트 리스트 문자열 목록




암호화된 폴더에 ‘README_DECRYPT.txt’라는 이름으로 랜섬노트가 하나씩 생성되며, 아래와 그림과 같이 컴퓨터가 암호화 되었음을 안내하는 내용과 파일 복구를 위해 72시간 내에 메일을 보내라는 내용을 담고있다. 


[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용[그림 5] 랜섬노트 ‘README_DECRYPT.txt’ 의 내용




3-3. 시스템 복원 기능 무력화

암호화 이후 시스템 복구를 통한 파일 복원을 방지하기 위해 아래 [표 3]과 같이 명령어를 실행한다.


명령어

기능

 

vssadmin.exe delete shadows /all /quiet

볼륨 쉐도우 복사본 삭제

 

wmic shadowcopy delete

볼륨 쉐도우 복사본 삭제

 

bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

모든 부팅 실패 무시

 

bcdedit.exe bcdedit /set {default} recoveryenabled no

복구 모드 사용 안함

 

wbadmin.exe wbadmin delete catalog -quiet

백업 카탈로그 삭제

[3] 시스템 복원 기능을 무력화하기 위해 사용되는 명령어






4. 결론

이번 쿼티 랜섬웨어는 정상적인 프로그램과 함께 패키지로 구성되어있기 때문에 일반 사용자가 정상 파일로 오인하기 쉬워 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면















Posted by nProtect & TACHYON

Gold Dragon 악성코드 주의



1. 개요 


최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.

게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자.







2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

49,152 byte

진단명

Trojan/W32.Agent.49152.CRX

악성동작

정보 탈취 / 추가 악성코드 다운 및 실행













2-3. 실행 과정

해당 '[임의의 파일명].exe' 를 실행하면 특정 프로세스를 탐색하여 종료하고, 특정 경로에 파일을 생성한다. 생성된 파일에 사용자의 바탕화면 목록, 실행중인 프로세스 목록, 랜카드 정보 등의 다양한 정보를 15분 간격으로 수집하며 이외에도 추가적인 악성코드를 다운로드 받아 실행시킨다.







3. 악성 동작


3-1. 특정 프로세스 종료

해당 악성코드는 실행 시 현재 실행 중인 프로세스 목록을 불러와서 'v3.exe' 또는 'Cleaner.exe' 같은 사용자의 PC를 보호하기 위한 프로그램 종료를 시도한다


[그림 1] 특정 프로세스 종료 코드[그림 1] 특정 프로세스 종료 코드





3-2. 사용자 정보 탈취

실행된 악성코드는 '%AppData%\Microsoft' 하위에 'HNC' 라는 이름의 폴더를 생성하고 '1.hwp' 파일을 'HNC' 폴더 안에 생성한다.


[그림 2] 수집한 정보 임시저장 파일[그림 2] 수집한 정보 임시저장 파일





이후 명령프롬프트 창에 아래와 같은 명령어를 인자로 주어 실행시킨다. 이러한 방식을 이용하여 다양한 정보를 수집한 후에 이전에 생성했던 임시 저장 파일인 '1.hwp' 파일에 저장한다.


[그림 3] 정보 탈취 명령어의 일부[그림 3] 정보 탈취 명령어의 일부





저장되는 정보의 종류로는 기본적인 PC 의 관련된 정보와 함께 랜카드 정보, 바탕화면 목록, 최근 오픈한 문서파일 정보, 실행중인 프로세스 정보 등이 해당된다.


[그림 4] 탈취하는 정보의 일부[그림 4] 탈취하는 정보의 일부




[그림 5] 랜카드 정보[그림 5] 랜카드 정보






필요한 정보를 저장한 후에 저장한 정보를 인코딩하여 특정 도메인의 공격자 서버로 전송한다. 이러한 정보수집 및 전송 행위는 15분 간격으로 반복하여 수행하며, 그 때문에 계속해서 변화하는 정보를 수집할 수 있다.


[그림 6] 수집한 정보 전송[그림 6] 수집한 정보 전송






3-3. 추가 악성코드 다운로드 및 실행

추가 악성코드를 실행하기 위해서 이전의 정보를 전송했던 곳과 같은 도메인을 통해 추가적인 데이터를 다운로드 요청한다.


[그림 7] 다운로드 요청[그림 7] 다운로드 요청





추가적인 데이터를 다운 받을 경우 이를 이전에 생성했던 '%Appdata%\Microsoft\HNC' 경로 하위에 'hupdate.ex' 파일로 생성하여 받아온 데이터를 파일에 덮어씌운다.


[그림 8] 다운받은 파일[그림 8] 다운받은 파일





새롭게 생성한 'hupdate.ex' 파일을 프로세스로 실행한다. 현재는 서버와 연결되지 않아 추가 악성코드의 실행 위험은 없으나 서버가 활성화되면 언제라도 추가적으로 악성코드를 다운받아 실행할 수 있다.


[그림 9] 추가 다운로드 파일 실행 코드[그림 9] 추가 다운로드 파일 실행 코드






4. 결론

이번 보고서에서 알아 본 'GoldDragon' 악성코드는 사용자 PC 의 정보를 수집하고 추가 악성코드를 다운받아 실행함으로써 추후의 공격을 위한 정찰병과 같은 역할로 생각할 수 있다. 

평창 올림픽 기간처럼 특별한 기간을 노리는 악성코드들의 움직임들은 빈번히 발생되었다. 평상시에도 주의를 기울여야 하지만 올림픽 기간과 같이 전세계적으로 이목이 집중 되는 기간에는 좀 더 사용자들의 주의가 필요할 것으로 보여진다.
또한, 신뢰할 수 없는 이메일의 첨부파일이나 다운받은 파일들을 실행하지 않도록 하고 사용하고 있는 OS 나 백신 제품을 항상 최신 버전으로 업데이트 하도록 하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면














Posted by nProtect & TACHYON