[악성코드 분석] 이메일과 웹사이트로 유포된 Spora 랜섬웨어 분석

Spora 랜섬웨어 분석 보고서

1. 개요 

몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	spora.exe
파일크기	77,824 byte
진단명	Ransom/W32.Spora.77824.L
악성동작	랜섬웨어
해쉬(MD5)	57484440F7BE94394FD851DE3E416285

 

2-2. 유포 경로

랜섬웨어 Spora는 피싱 이메일와 손상된 웹사이트를 통해 유포되었다.

2-3. 실행 과정

해당 악성코드는 파일 감염 후 자신을 “/u” 파라미터로 다시 실행하는데, 이 과정에서 UAC 팝업이 나타나며 사용자가 수락할 때까지 반복해서 나타난다. 파일 암호화 이후 아래 그림과 같은 html 포맷의 랜섬노트를 띄운다.

 

[그림 1] 랜섬노트

3. 악성 동작

3-1. 파일 암호화

[그림 2]과 같은 확장자를 대상으로 파일 암호화를 진행하며, [그림 3]의 문자열을 포함하는 폴더는 암호화 대상에서 제외된다.

 

[그림 2] 암호화 대상 파일 확장자

 

[그림 3] 제외 폴더

대상 파일 암호화 시 아래 그림과 같이 각 파일마다 각각의 128바이트의 암호화 키를 생성하여 암호화 하고, 파일 암호화에 쓰인 키는 또 다시 이전에 생성해 두었던 RSA키로 암호화되어 파일 끝 부분에 붙이고, 암호화된 암호화 키의 CRC 4바이트를 마지막에 붙인다.

 

[그림 4] 암호화된 파일 구조

이로 인하여 같은 내용의 파일도 암호화된 결과가 다르며, 파일 이름의 변화 없이 파일 끝의 132 바이트를 검증하여 암호화 유무를 파악할 수 있게 된다.

3-2. 볼륨 쉐도우(shadow) 복사본 삭제

아래 그림과 같이 쉐도우 복사본을 삭제하여 복구하여 시스템 복원을 불가능하게 만든다.

 

[그림 5] 쉐도우 파일 삭제

4. 결론

해당 악성코드는 html 포맷의 랜섬노트 hidden 필드에 base64로 인코딩된 피해자 정보를 입력하여, 감염 당시 피해자의 네트워크 연결 상태와 관계없이 피해자 식별이 가능하도록 구현되어 있다. 이러한 악성코드 감염의 예방을 위해선 수시로 OS와 응용 프로그램을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 감염을 예방할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면