분석 정보/악성코드 분석 정보

[주의]Flash Player로 위장한 Ransomware

TACHYON & ISARC 2011. 8. 25. 18:04
1. 개 요


해외를 중심으로 지속적인 유포가 이루어지는 Ransomware중 Flash Player의 아이콘 및 파일명을 도용한 변종이 발견
되었다. 해당 Ransomware는 파일명 등 속성 값을 위장하는 사회공학 기법으로 사용자들을 현혹하기 때문에 일반 사용자들의 경우 이러한 사회공학 기법을 악용하는 Ransomware에 대한 각별한 주의가 요망되고 있다. Ransomware는 감염 특성상 일단 감염되면 사후 대응이 어려우며, 금전적 손실 등을 유발할 수 있기 때문에 사전에 감염되지 않도록 예방하는 것이 무엇보다 중요하다.

[주의]Ransomware의 해외 유포 증가

http://erteam.nprotect.com/193
  

2. 유포 경로 및 감염 증상

위와 같이 정상 파일명으로 위장한 Ransomware의 경우 SNS나 메신저 등의 링크접속을 통해 유포될 수 있으며, 이메일의 첨부파일 형태나 국내외 특정 웹 사이트를 해킹하여 삽입한 보안 취약점을 통해서도 유포가 가능하다.

해당 Ransomware는 하기 그림과 같이 Flash Player의 파일명과 아이콘으로 위장한것이 특징이다.


파일명과 아이콘이 Flash Player와 유사하기 때문에 일반 사용자의 경우 별다른 의심없이 해당 악성파일을 실행할 수 있다. 해당 악성파일이 실행되면 곧바로 아래의 그림과 같이 정상적인 PC사용을 방해하는 화면이 출력될 수 있다.


위 그림의 본문 내용을 통해 정상적인 PC사용을 위해서는 일종의 복호화 키가 필요하며, 키를 원할 경우 특정 휴대전화 번호로 일정 금액을 송부하도록 유도하고 있다. 또한, 감염 후 위 그림과 같은 상황이 발생하면 PC의 다른 기능은 일체 사용이 불가능하며, 하단 부분의 흰색 텍스트바에 유효 코드에 대한 입력만이 가능하다.

해당 악성파일이 실행되면 내부적으로 아래의 그림과 같은 동작을 진행하게 된다.

 

클릭하면 확대된 화면을 보실 수 있습니다.


위 그림을 통해 해당 Ransomware에 감염될 경우 특정 프로세스(exeplorer.exe)에 대한 종료와 함께 추가적인 악성파일이 생성된다는 것을 알 수 있으며, 생성된 악성파일에 대한 레지스트리 등록 부분 또한 확인이 가능하다.

추가적으로 생성되는 "swap32.exe"파일은 원 숙주 파일인 "flashplayer.exe"의 복사본이며, 아래와 같은 레지스트리 등록값을 통해 매번 Explorer.exe와 함께 실행될 수 있도록 한다.

※ 레지스트리 등록값

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  - 이 름 : Shell
  - 데이터 : "Explorer.exe, C:\Documents and Settings\(사용자계정)\Local Settings\Application
                Data\Aware Products\Temp\Cache\Extension\swap32.exe"


해당 Ransomware는 사용자가 입력한 유효 코드와 비교를 하기 위하여 내부에 실제 유효 코드를 가지고 있으며, 아래의 그림과 같이 트레이싱을 통해 실제 유효 코드에 대한 확인이 가능하다.
  

◆ 복호화를 위한 유효 코드


※ 실제 유효 코드

유효 코드는 "123456545" 이며, 해당 코드를 입력하면 복호화 되어 다시 정상적으로 PC사용이 가능하다.
  

3. 예방 조치 방법

위와 같은 Ransomware는 이전에도 언급했지만 사전 대응이 무엇보다 중요하다. 감염되고 나면 일체의 PC사용이 불가능 하기 때문이다. 물론, 감염된 PC의 하드디스크를 정상 PC에 연결하여 해당 Ransomware를 제거하거나 분석을 통해 알 수 있는 유효 코드를 입력하면 해결이 가능하지만 일반 사용자의 경우 이러한 복구 과정을 수행하기에 어려움이 많을 수 있다.

때문에 가장 효율적으로 이러한 Ransomware에 대비하기 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 발신처가 의심되는 이메일이나 SNS/메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이번에 발견된 악성파일에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 유사한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

- Trojan/W32.Agent.112128.LY