분석 정보/랜섬웨어 분석 정보

[악성코드 분석] Locky의 변종, Zepto 랜섬웨어 주의

TACHYON & ISARC 2016. 7. 22. 13:19

Locky의 변종, Zepto 랜섬웨어 분석 보고서 



 

 

1. 개요

연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

FB823FF1EC737DAA.docm

파일크기

39,533 byte

진단명

Trojan-Downloader/W32.MSWord.Gen

악성동작

랜섬웨어 다운로더

네트워크

195.***.***.188 – 랜섬웨어 다운로드






 

구분

내용

파일명

filarmon.exe

파일크기

369,152 byte

진단명

Ransom/W32.Locky.369152

악성동작

파일 암호화

네트워크

148.***.**.29 – C&C

m****v*3.m****st.com – C&C

d****o****y**v.k****t***v.vds.f****th.ru – C&C

 


2-2. 유포 경로

Locky 가 주로 이메일을 통해 유포된 것처럼 Zepto 또한 같은 방식으로 유포된다. 사용자가 메일의 첨부파일을 여는 순간 감염이 시작된며, 매크로 기능을 가진 첨부파일을 실행할 경우 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일을 다운로드 하고 실행한다.



[그림 1] 랜섬웨어를 다운로드 하는 첨부파일





2-3. 실행 과정

첨부된 워드 문서를 열면 아래의 그림과 같이 매크로 설정이 나타난다. 만약 매크로가 활성화되어 있다면 별도의 알림 창 없이 악성 동작이 바로 수행된다. 매크로는 공격자의 서버(195.***.***.188)에서 랜섬웨어 파일(filarmon.exe)을 임시 폴더 하위에 다운로드 한다. 다운로드 된 랜섬웨어 파일은 바로 실행되어 파일 암호화를 진행한다.



[그림 2] 매크로포함 워드문서 보안 경고






3. 악성 동작

3-1. 랜섬웨어 다운로드 및 복구 이미지 제거

첨부파일을 실행시키면 공격자 서버와 연결을 시도한다, 성공적으로 연결되었을 경우 아래와 같이 추가 악성코드를 다운로드 한다. 다운로드 된 파일명은 filarmon.exe 로 임시 폴더 하위에 저장 및 실행되어 파일 암호화를 수행한다.


[그림 3] 네트워크를 통한 파일 다운로드



filarmon.exe 는 윈도우 정상 프로세스 vssadmin.exe 를 통해 시스템 복구 이미지를 삭제한다. 이는 파일이 암호화 된 후사용자가 감염 이전으로 시스템을 복구하는 것을 방지하는 것으로 대부분의 랜섬웨어에서 쉽게 볼 수 있는 동작이다.

 

[그림 4] VSS 제거


 



3-2. 파일 암호화

랜섬웨어는 공격자의 C&C 서버와 통신을 시도한다. 통신이 정상적으로 이루어질 경우 랜섬웨어는 파일에 대한 암호화를 시작한다. 암호화 시 아래의 그림과 같이 원본의 내용과 파일명이 모두 바꾸고, 확장자를 .zepto 로 변경한다. 감염 대상이 되는 파일 확장자는 아래와 같다.


구분

내용

zepto 랜섬웨어
암호화 감염 대상 확장자

.123 .3dm .3ds .3g2 .3gp .602 .aes .arc .asc .asf .asm .asp .avi .bak .bat .bmp .brd .cgm
.cmd .cpp .crt .csr .csv .dbf .dch .dif .dip .djv .djvu .doc .docb .docm .docx .dot .dotm
.dotx .fla .flv .frm .gif .gpg .hwp .ibd .jar .java .jpeg .jpg .key .lay .lay6 .ldf .m3u .m4u
.max .mdb .mdf .mid .mkv .mov .mp3 .mp4 .mpeg .mpg .ms11 .myi .nef .odb .odg
.odp .ods .odt .otg .otp .ots .ott .p12 .pas .pdf .pem .php .png .pot .potm .potx
.ppam .pps .ppsm .ppsx .ppt .pptm .pptx .psd .rar .raw .rtf .sch .sldm .sldx .slk .stc .std
.sti .stw .svg .swf .sxc .sxd .sxi .sxm .sxw .tar .tbk .tgz .tif .tiff .txt .uop .uot .vbs .vdi .vmdk
.vmx .vob .wav .wb2 .wk1 .wks .wma .wmv .xlc .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw
.zip .c .h .onetoc2 .SQLITE3 .SQLITEDB .litesql .litemod .forge .d3dbsp .asset .qcow2 .tar.bz2…

[표 1] 암호화하는 확장자


[그림 5] 암호화된 파일과 랜섬노트 파일


암호화가 진행됨에 따라 각 폴더에 랜섬노트(HELP_instructions.html)를 생성한다. 랜섬노트에는 이 랜섬웨어에서 사용한 암호화 방식(RSA-2048, AES-128)의 설명과 복호화 방법이 내포돼있다.



[그림 6] 랜섬노트 내용




4. 결론

랜섬웨어에 감염된 파일은 복호화 키를 알아내지 못하면 복구가 불가능하다. 랜섬웨어로 인한 피해가 여전히 나타나고 있으므로 사전에 주의를 하는 것이 매우 중요하다. 


랜섬웨어 피해를 최소화하기 위해선 불명확한 파일은 다운로드 받지 않고, 모르는 링크와 이메일 접속을 금지하며 만일의 사태를 대비하여 중요파일을 상시 백업하는 습관을 가져야 한다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신 버전으로 업데이트하는 것이 중요하다. 


해당 MS 매크로 파일과 랜섬웨어 파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 


[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면