분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의

TACHYON & ISARC 2018. 12. 11. 13:30

Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의

1. 개요

최근 Dablio라는 이름의 Python 코드로 작성된 랜섬웨어가 유포되고 있다. 해당 랜섬웨어에 감염 시 중요 파일을 암호화시킬 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업도 불가능하게 만들기 때문에 주의가 필요하다.

 

이번 보고서에서는 Dablio 랜섬웨어의 악성 동작에 대해 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

12,662,402 bytes

 진단명

Ransom/W32.Dablio.12662402

 악성동작

파일 암호화

 

 

 

2-2. 유포 경로

해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다.


 

2-3. 실행 과정

Dablio 랜섬웨어 실행 시, 가장 먼저 악성 행위에 사용되는 다수의 Python 모듈을 드랍한다. 이후 Run 레지스트리에 자기 자신을 등록하고, 볼륨 섀도우 복사본을 삭제하여 시스템 복구 기능을 마비시킨다. 또한 윈도우 정책 레지스트리를 수정하여 “작업 관리자”, “CMD”, “레지스트리 편집기”를 차단하고 정상적인 시스템 사용을 방해한다. 마지막으로 감염 시스템을 탐색하며 감염 대상 파일을 암호화하고 랜섬노트를 출력한다.

[그림 1] Dablio 랜섬웨어의 랜섬노트[그림 1] Dablio 랜섬웨어의 랜섬노트

 

 

 

 

 

3. 악성 동작

3-1. Python 모듈 드랍

파일 암호화를 수행하기 전, 현재 실행 중인 악성 프로세스의 환경변수 중 “_MEIPASS2” 변수의 존재 여부를 확인한다. “_MEIPASS2” 변수를 전달받지 못했다면 “%TEMP%” 경로에 무작위 폴더를 생성하고 악성 행위에 사용되는 Python 모듈 파일을 드랍한다. 이후 “_MEIPASS2” 변수에 Python 모듈을 드랍한 폴더 경로를 입력하고 프로세스를 다시 실행한다

 

[그림 2] 악성 행위에 사용되는 Python 모듈[그림 2] 악성 행위에 사용되는 Python 모듈

 

 

 

3-2. 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

프로세스 환경 변수 “_MEIPASS2”를 제대로 전달 받았다면 본격적인 악성 행위를 시작한다. 먼저 “vssadmin.exe” 파일을 실행하여 볼륨 섀도우 복사본을 삭제하고 시스템 복원 기능을 마비시킨다. 또한 “bcdedit.exe” 파일을 실행하여 윈도우 복구 모드와 오류 복구 알림 기능을 비활성화한다.

 

명령어 

기능 

 vssadmin.exe delete shadows /all /Quite

볼륨 섀도우 복사본 삭제 

 bcdedit.exe /set {default} recoveryenabled no

 윈도우 복구 모드 비활성화

 bcdedit /set {default} bootstatuspolicy ignoreallfailures

윈도우 오류 복구 알림 비활성화 

[표 1] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화

 

 

 

3-3. 자동 실행 등록

이후 자신을 복제하여 “windll.exe”라는 파일명으로 생성하고, Run 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.

 

[그림 3] 자동 실행 등록[그림 3] 자동 실행 등록

 

 

 

3-4. 일부 시스템 기능 비활성화

또한 윈도우 시스템 정책과 관련된 레지스트리를 수정하여 “작업 관리자”, “CMD”, “레지스트리 편집기”, 등 일부 정상 기능을 사용하지 못하게 만든다.

 

레지스트리 경로 

지스트리 값

기능

 HKCU\Software\

Microsoft\Windows

\CurrentVersion\

Policies\System

 DisableTaskMgr

 작업 관리자 비활성화

DisableCMD 

CMD 실행 비활성화 

DisableRegistryTools 

레지스트리 편집기 비활성화 

 HKCU\Software\

Microsoft\Windows

\CurrentVersion

\Policies\Explorer

 NoRun

 시작메뉴에서 실행 명령 삭제

[표 2] 수정된 윈도우 시스템 정책 관련 레지스트리
 

 

3-5. 파일 암호화

마지막으로 감염 시스템의 C 드라이브를 탐색하며 암호화를 진행한다. 탐색한 파일 확장자명이 [표 3]에 포함될 경우 해당 파일을 암호화하며 파일명 앞에 “(encrypted)”라는 문자열을 추가한다.

 

구분 

내용 

암호화 대상 확장자

 "jpg", "jpeg", "bmp", "gif", "png", "svg", "psd", "raw", "mp3", "mp4", "m4a", "aac", "ogg", "flac", "wav", "wma", "aiff", "ape", "avi", "flv", "m4v", "mkv", "mov", "mpg", "mpeg", "wmv", "swf", "3gp", "doc", "docx", "xls", "xlsx", "ppt", "pptx", "odt", "odp", "ods", "txt", "rtf", "tex", "pdf", "epub", "md", "yml", "yaml", "json", "xml", "csv", "db", "sql", "dbf", "mdb", "iso"

[표 3] 암호화 대상 확장자 목록



 

 

 

 

4. 결론

이번 보고서에서 알아본 Dablio 랜섬웨어는 C 드라이브만 암호화하기 때문에 타 랜섬웨어에 비해 감염 시 피해가 적을 수도 있지만, 중요 파일을 암호화하고 시스템 기능을 마비시키는 랜섬웨어의 기능을 충실히 실행하기 때문에 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 4] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 5] TACHYON Internet Security 5.0 랜섬웨어 차단 기능