워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 




1. 개요 


최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. 


DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 실행할지 묻는 것 이외에는 어떠한 보안 경고를 표시하지 않아 실행 시 주의를 요한다.


이번 분석 보고서에서는 이러한 ‘DDE’와 해당 기능의 취약점을 이용한 악성코드 유포 사례를 알아보고자 한다.




2. 분석 정보


2-1. 파일 경로

구분

내용

파일명

임의의 파일명.doc

파일크기

43,520 byte

진단명

Suspicious/W97.DDEAuto

악성동작

다운로드, 추가 악성 파일 실행











2-2. 유포 경로

이메일을 통하여 불특정 다수를 대상으로 유포되고 있으며, 이메일의 제목과 본문 등은 유포 시점에 따라 다양하게 변경되고 있다.


[그림 1] 이메일 유포 사례[그림 1] 이메일 유포 사례



2-3. 실행 과정

메일에 첨부된 파일을 실행하면 기본적으로 제한된 보기 기능의 보안 주의 메시지가 보여지게 된다. 해당 메시지를 사용자가 사전에 인지하여 종료를 눌러주면 추가적인 위협에 노출되는 것을 막을 수 있다. 하지만 대부분의 사용자들은 워드 문서를 자주 다운로드해 사용하므로 별다른 문제없이 ‘편집 사용’ 버튼을 누름으로써 실행되게 된다.


[그림 2] 이메일 첨부파일 실행 시 화면[그림 2] 이메일 첨부파일 실행 시 화면




3. DDE 기능


3-1. DDE란

‘DDE’란 윈도우 응용 프로그램간에 정보를 공유하도록 허용하는 방법이다. 예를 들어 다른 데이터 베이스 프로그램에서 폼을 변경하거나 엑셀에서 자료 항목을 변경할 때 다른 어떤 프로그램에서 동시에 사용하고있을 그 폼이나 항목 등을 함께 바뀌도록 정보 공유를 허용할 때 이용하는 기능이다. 먼저 아래의 간단한 예시로 ‘DDE’를 알아보고 이 기능을 어떻게 악의적으로 이용하는지에 대해 알아보자.



3-2. DDE를 이용한 예시

먼저 워드에서 DDE를 사용하기 위해서는 삽입 탭의 빠른 문서 요소 → 필드 → =(Formula)를 선택한다.


[그림 3] 수식 필드 추가[그림 3] 수식 필드 추가


수식 추가 후 [!수식의 끝이 잘못되었습니다.]이라고 적혀있는 오류가 있는 필드가 나타난다. 필드를 마우스 오른쪽 단추로 클릭하여 필드 코드 토글을 누른다.


[그림 4] 필드 코드로 전환[그림 4] 필드 코드로 전환


이제 필드 코드로 전환이 되었으므로 “DDEAUTO” 키워드를 이용하여 다른 프로세스를 실행 시킨다.


DDEAUTO C:\\windows\\system32\\cmd “/k calc.exe”


먼저 “DDEAUTO”DDE필드임을 워드에게 알리고, 문서가 열릴 때 자동 실행된다. “DDEAUTO”의 다음에는 실행할 파일의 전체 경로를 넣고 따옴표 사이는 실행파일의 명령어(인수)로 전달된다.


[그림 5] DDEAUTO[그림 5] DDEAUTO

 

그 다음 워드 문서를 저장 후, 컴퓨터에서 문서를 실행하면 다음과 같은 메시지 창이 두 번 보여진다. 첫번째 창은 문서 업데이트를 묻는다. 확인 시 두번째 메시지 창에서는 응용프로그램을 실행 할 지 여부를 묻는다. 이는 사용자에게 “cmd.exe”를 실행하도록 묻기 때문에 경고로 간주될 수 있지만 이러한 문구는 구문 수정으로 숨길 수 있으므로 사용자가 알아차리기 힘들다.


[그림 6] 문서 실행 시 메시지 창[그림 6] 문서 실행 시 메시지 창


사용자가 해당 메시지박스를 모두 예를 누를 시, 워드 문서 실행만으로 위 필드코드에서 입력한 명령어가 같이 실행되는 모습을 확인할 수 있다.


[그림 7] 계산기가 실행 된 모습[그림 7] 계산기가 실행 된 모습

 



4. DDE 취약점을 이용한 악의적인 문서


4-1. 문서 실행

위의 예시로 사용자가 문서 실행만으로 다른 프로세스를 실행시킬 수 있는 모습을 확인하였다. 다음은 현재 유포되고있는 이 기능을 악용한 문서이다. 해당 문서는 “입금 확인 스크린 샷입니다.” 라는 내용을 담고 있으며 사용자의 궁금증을 유발해 실행을 유도한다.


[그림 8] 실제 악성 문서 실행[그림 8] 실제 악성 문서 실행


메시지 창을 모두 누를 시 파워 쉘이 실행되고, 아래 주소에서 파일을 다운로드 하기 위해 시도한다. 해당 파일은 악성 행위에 사용될 파일로 이렇게 DDE 기능을 이용하여 악의적으로 파일을 다운로드 받거나 실행한다


[그림 9] 파워쉘을 이용하여 파일 다운로드[그림 9] 파워쉘을 이용하여 파일 다운로드


해당 필드 코드는 아래와 같이 확인이 가능하다.


[그림 10] 필드 코드[그림 10] 필드 코드





5. 결론

이번 보고서로 알아본 DDE 취약점은 사용자들에게 잘 알려지지 않은 기능을 악용한 사례이다. 해당 기능은 MS사의 정식기능이기 때문에 패치 되거나 제거 되지 않을 것으로 보여진다. 따라서, 워드 문서를 실행 시 사용자의 주의가 요구된다. DDE 기능을 비활성화 하기 위해서는 워드 프로그램에서 “파일 → 옵션 → 고급 → 일반 → 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.

[그림 11] 자동 연결 업데이트 체크 해제[그림 11] 자동 연결 업데이트 체크 해제


또한 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

[주의] 이번엔 유럽을 상대로 한 ‘BadRabbit Ransomware’ 감염 주의



1. 개요 


최근, 한국어 시스템을 노린 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 발견 된 지 얼마 지나지 않은데 이어서 이번엔 유럽국가를 상대로 공격을 시도한 ‘BadRabbit Ransomware’ 가 새롭게 발견 되었다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 터키, 독일, 불가리아 등이다.


‘BadRabbit Ransomware’ 에 감염이 되면 대상이 되는 파일을 암호화 할 뿐 아니라, 정상적으로 PC를 사용하지 못하도록 MBR영역까지 수정하기 때문에 국내 사용자도 각별한 주의가 필요하다.


이번 보고서에서는 ‘Adobe Flash Player’ 설치 파일로 위장한 ‘BadRabbit Ransomware’ 에 대해서 알아보고자 한다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

FlashUtil.exe (Adobe Flash Player 설치파일 위장)

파일크기

441,899 byte

진단명

Ransom/W32.BadRabbit.441899

악성동작

드롭퍼










구분

내용

파일명

Infpub.dat

파일크기

410,760 byte

진단명

Ransom/W32.BadRabbit.410760

악성동작

드롭퍼, 파일 암호화, 네트워크 전파











구분

내용

파일명

cscc.dat

파일크기

181,448 byte

동작

디스크 암호화에 사용되는 정상 드라이버









구분

내용

파일명

dispci.exe

파일크기

142,848 byte

진단명

Ransom/W32.BadRabbit.142848

악성동작

MBR 감염













2-2. 유포 경로

‘BadRabbit Ransomware’ 는 사용자가 특정 웹사이트를 방문하였을 때 Drive By Download 방식으로 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어의 원본 실행 파일은 ‘Adobe Flash Player’ 설치 파일로 위장되어 있으며 이 파일이 실행되면 “C:\Winodws\” 경로에 실제 악성 동작을 수행하는 ‘infpub.dat’, ‘dispci.exe’, ‘cscc.dat’ 파일들이 드롭 되어 실행 된다.


그 후 실행된 파일들은 각각의 역할에 따라 사용자 PC의 파일을 찾아 암호화 동작을 수행하거나, 부트 영역을 수정한다. 그리고 해당 작업들이 완료 되면 작업 스케줄러에 등록되어 있는 재부팅 명령에 따라 PC를 재부팅 한다.


재부팅 된 사용자 PC의 부트영역에는 암호화된 파일에 대하여 복호화 하기 위한 방법을 안내하고 있으며 Tor브라우저를 이용하여 비트 코인을 지불하라는 안내문이 작성되어 있는 것을 확인 할 수 있다.


[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일


 




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 하지만 최근 발견된 랜섬웨어들이 원본 파일명을 변경하거나 특정 문자열을 확장자 뒤에 덧붙였던 방법과는 다르게 확장자는 변경되지 않으며 손상된 파일로 표시된다. 손상된 파일을 확인하면 다음과 같이 ‘encrypted’ 라는 특정 시그니처가 추가 된 것을 확인 할 수 있다.


[그림 2] 암호화 된 파일[그림 2] 암호화 된 파일




암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

[1] 암호화 대상 파일 확장자



3-2. 네트워크 감염

‘BadRabbit Ransomware’ 는 더 많은 피해를 발생시켜 금전적 이득을 취하기 위해 감염 된 PC와 연결 된 네트워크를 대상으로 원본 악성코드 전파를 시도 한다. 


[그림 3] 동일 대역 네트워크 검색[그림 3] 동일 대역 네트워크 검색





동일한 네트워크상에 있는 다른 PC들의 IP들을 순차적으로 확인하여 SMB에 설정한 암호가 취약한지 코드 내부에 있는 임의의 계정 및 패스워드를 대입한다. 만약 SMB에 설정한 암호와 대입한 계정 및 패스워드가 일치 할 경우 추가적으로 악성코드를 ADMIN$ 공유폴더에 생성한다


[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파


 


또한, ‘ADMIN$’ 공유 폴더를 이용하여 성공적으로 악성코드를 생성 시켰다면 동일 네트워크 상에 있는 다른 PC에서 ‘wmic’ 명령어를 통해 원격호스트에서 해당 랜섬웨어를 실행되도록 한다. 


[그림 5] ‘wmic.exe’ 를 이용한 원격 실행[그림 5] ‘wmic.exe’ 를 이용한 원격 실행





3-3. 부트 영역 변조

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리나 작업 스케줄러에 암호화 동작을 수행하는 파일을 등록하였던 반면, 해당 랜섬웨어는 MBR영역을 변조하기 위해 아래 [그림 6]와 같이 재부팅 명령을 수행하거나 MBR영역을 변조하는 dispci.exe 파일을 실행하도록 한다.


[그림 6] 등록된 예약 작업[그림 6] 등록된 예약 작업




그리고 파일 암호화가 완료 되면 작업 스케줄러에 등록되어 있는 실행 시간과 명령어가 실행되어 감염 된 PC를 재부팅 한다. 재부팅 후 변조 된 부트영역을 통하여 사용자에게 파일이 암호화 되어 있음을 보여준다.


[그림 7] 감염 된 사용자 PC 부팅 화면[그림 7] 감염 된 사용자 PC 부팅 화면





3-4. 결제 유도

암호화가 완료되면 ‘Readme.txt’ 라는 랜섬 노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 8] 랜섬 노트[그림 8] 랜섬 노트




랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트 코인을 지불하라는 내용을 포함하고 있다.


[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내





4. 결론

이번 보고서에서 알아 본 ‘BadRabbit Ransomware’ 는 현재까지 주로 유럽국가를 상대로 공격을 시도하고 있다. 하지만 해당 랜섬웨어는 파일 암호화 뿐만 아니라 부트 영역을 감염 시켜 사용자를 불편하게 만들고 SMB를 이용한 네트워크 감염을 시도하기 때문에 국내 사용자도 안심 할 순 없다. 일단 감염이 되면 같은 네트워크를 사용하는 공공기관 및 회사에서 큰 피해를 줄 수 있을 것으로 보여 각별한 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면










저작자 표시 비영리 변경 금지
신고
Posted by nProtect

MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의


1. 개요 


일반적인 랜섬웨어는 사용자 PC의 파일을 암호화하고 이를 인질로 삼아 복호화를 조건으로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상적으로 운영체제를 사용할 수 있었다.


하지만 최근 일반적인 랜섬웨어의 동작방식과는 다른 컴퓨터 하드디스크의 MBR 코드를 변조시켜 운영체제가 정상적으로부팅하는 것을 막는 랜섬웨어인 ‘RedBoot Ransomware’가 발견되었다.


‘RedBoot Ransomware’ 에 감염되면 파일 암호화만 진행할 뿐 아니라 정상적으로 PC를 사용하지 못하기 때문에 자칫 큰 피해로 이어질 수 있으므로 사용자의 주의가 필요하다.


이번 보고서에서 MBR영역을 변조시키는 ‘RedBoot Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Installer.exe

파일크기

1,246,725 byte

진단명

Ransom/W32.RedBoot.1246725

악성동작

드롭퍼, 파일 암호화, 금전 요구









2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 불특정 다수를 대상으로 유포할 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭되어 실행 된다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 ‘.locked’ 확장자를 덧붙인다. 그리고 재부팅이 수행되어 정상적인 운영체제 부팅을 못하도록 한다. 




3. 악성 동작

3-1. 악성 파일 드롭

‘Redboot Ransomware’ 가 실행되면 악성동작을 하기 위해 아래와 같이 여러 악성 파일들을 사용자 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭 되어 실행 된다.



[그림 1] 드롭 된 파일[그림 1] 드롭 된 파일





구분

내용

assembler.exe

boot.asm 어셈블리 파일을 boot.bin 파일로 컴파일하는데 사용

boot.asm

새롭게 변경될 MBR 어셈블리 코드로 boot.bin 으로 컴파일 되어질 어셈블리 파일

main.exe

사용자 PC의 파일을 암호화하는 목적으로 사용

overwrite.exe

기존의 MBR 영역을 새로 컴파일 된 boot.bin으로 변조시킬 목적으로 사용

protect.exe

작업관리자 및 프로세스 해커와 같은 다양한 프로그램이 실행되는 것을 방지하는데 사용

[1] 드롭 된 파일 용도




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.locked’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

모든 확장자

[2] 암호화 대상 파일 확장자





3-3. MBR 코드 변조

파일 암호화뿐만 아니라 해당 랜섬웨어는 다음과 같이 MBR 영역 또한 변조하며 이 동작이 완료되면 PC를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 사용자가 정상적인 운영체제로 부팅하지 못하도록 만든다.

[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분


[그림 4] MBR 영역 변조 전[그림 4] MBR 영역 변조 전


[그림 5] MBR 영역 변조 후[그림 5] MBR 영역 변조 후






3-4. 복구 안내

파일 암호화가 완료되고 MBR 영역까지 변조가 되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있다. 이메일에 대한 답변으로 금전을 요구할 것으로 추정된다.


[그림 6] 변조 된 MBR영역 랜섬 노트[그림 6] 변조 된 MBR영역 랜섬 노트






4. 결론

이번 보고서에서 알아 본 ‘RedBoot Ransomware’ 와 같이 사용자 PC의 파일을 암호화하고 더 나아가 MBR영역을 변조시키는 랜섬웨어가 첨은 아니기 때문에 특별하지 않다고 느낄 수도 있다. 

하지만 여타 랜섬웨어보다 감염 시 정상적인 운영체제로 부팅하기 어려운만큼 더 큰 피해를 줄 수 있다고 예상되기 때문에 사용자들은 출처가 불분명한 이메일이나 모르는 파일을 실행할 때 항상 주의를 기울여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

CryptoMix ransomware(변종) 분석




1. 개요 


랜섬웨어는 사용자 PC에 저장되어 있는 파일들을 암호화하여 이를 인질로 삼아 금전을 요구하는 악성 코드다. 최근 국내 기업에서도 랜섬웨어로 인한 피해 사례가 급증하고 있다. 랜섬웨어 제작자는 익명성을 보장해주는 비트코인 및 토르를 이용하여 추적을 어렵게 만들기 때문에 이를 악용한 사이버 범죄는 계속해서 늘어날 것으로 보여진다.


이번 보고서에서 다루는 ‘CryptoMix Ransomware’ 변종은 앞서 말한 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CryptoMix.exe (임의의 파일명)

파일크기

241,152 byte

진단명

Ransom/W32.CryptoMix.214152

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .ERROR 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.





3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 실행 된 자기 자신과 %ProgramData%경로에 ‘BC0D3BB1E1.exe’ 이름으로 복사된 동일한 파일을 모두 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.ERROR’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.



[그림 3] 볼륨 쉐도우 복사본 삭제 [그림 3] 볼륨 쉐도우 복사본 삭제



3-4. 랜섬 노트

파일 암호화가 완료되면 복호화 방법을 알려주는 랜섬노트가 출력된다. 복호화 방법으로 이메일을 통해 식별키를 전송하라고 표기되어 있으며, 랜섬웨어 특성상 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트




4. 결론


4-1. 정보 전송 및 다운로드

이번 보고서에서 알아 본 ‘CryptoMix Ransomware’ 변종은 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






저작자 표시 비영리 변경 금지
신고
Posted by nProtect

SyncCrypt ransomware 분석




1. 개요 


사용자 PC의 중요 파일들을 암호화하고, 암호화된 파일을 풀어주는 조건으로 금전을 요구하는 랜섬웨어는 계속해서 새롭게 발견되고 있다.


랜섬웨어에 감염이 되면, 특정 파일에 대해서는 사용할 수 없기 때문에 공공기관이나 기업에서는 자칫 업무까지 마비가 

되어 엄청난 손해로 연결될 수 있다. 그렇기 때문에 중요한 파일이 있는 PC에서는 항상 주의를 할 필요가 있다.


이번 보고서에서 다루는 ‘SyncCrypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CourtOrder_845493808.wsf

파일크기

3,710 byte

진단명

Script-JS/W32.SyncCrypt-Downloader

악성동작

다운로더









구분

내용

파일명

sync.exe

파일크기

2,203,648 byte

진단명

Ransom/W32.SyncCrypt.2203648

악성동작

파일 암호화, 금전 요구








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

첨부된 ‘.wsf’ 파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .kk 확장자를 덧붙이고 바탕화면에 README라는 폴더를 만들어 랜섬노트를 생성한다.


[그림 1] 악성파일 다운로드 스크립트[그림 1] 악성파일 다운로드 스크립트






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.kk’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화




구분

내용

암호화 대상 파일

확장자

accdb, accde, accdr, adp, ach, arw, asp, aspx, backup, backupdb, bak, bat, bay, bdb, bgt, blend, bmp, bpw, cdf, cdr, cdr3, cdr4, cdr5, cdr6, cdrw, cdx, cer, cfg, class, cls, config, contact, cpp, craw, crt, crw, css, csv, d3dbsp, dbx, dcr, dcs, dds, der, dif, dit, doc, docm, docx, dot, dotm, dotx, drf, drw, dwg, dxb, dxf, edb, eml, eps, fdb, flf, fpx, frm, gif, gpg, gry, hbk, hpp, html, hwp, jpe, jpeg, jpg, kdbx, kdc, key, jar, java, laccdb, latex, ldf, lit, lua, mapimail, max, mbx, mdb, mfw, mlb, mml, mmw, midi, moneywell, mocha, mpp, nef, nml, nrw, oab, odb, odc, odf, odg, odi, odm, odp, ods, odt, otg, oth, otp, ots, p12, pas, pab, pbm, pcd, pct, pcx, pdf, pef, pem, pfx, pgm, php, pict, pntg, potm, potx, ppam, ppm, pps, ppsm, ppsx, ppt, pptm, pptx, ppz, prf, psd, ptx, pub, qbw, qbx, qpw, raf, rtf, safe, sav, save, sda, sdc, sdd, sdf, sdp, skp, sql, sqlite, sqlite3, sqlitedb, stc, std, sti, stm, stw, sxc, sxg, sxi, sxm, sxw, tex, txt, tif, tiff, vcf, wallet, wb1, wb2, wb3, wcm, wdb, wpd, wps, xlr, xls, xlsb, xlsm, xlsx, xlam, xlc, xlk, xlm, xlt, reg, rspt, profile, djv, djvu, ms11, ott, pls, png, pst, xltm, xltx, xlw, xml, r00, 7zip, vhd, aes, ait, apk, arc, asc, asm, asset, awg, back, bkp, brd, bsa, bz2, csh, das, dat, dbf, db_journal, ddd, ddoc, des, design, erbsql, erf, ffd, fff, fhd, fla, flac, iif, iiq, indd, iwi, jnt, kwm, lbf, litesql, lzh, lzma, lzo, lzx, m2ts, m4a, mdf, mid, mny, mpa, mpe, mpeg, mpg, mpga, mrw, msg, mvb, myd, myi, ndf, nsh, nvram, nxl, nyf, obj, ogg, ogv, p7b, p7m, p7r, p7s, package, pages, pat, pdb, pdd, pfr, pnm, pot, psafe3, pspimage, pwm, qba, qbb, qbm, qbr, qby, qcow, qcow2, ram, rar, ras, rat, raw, rdb, rgb, rjs, rtx, rvt, rwl, rwz, scd, sch, scm, sd2, ser, shar, shw, sid, sit, sitx, skm, smf, snd, spl, srw, ssm, sst, stx, svg, svi, swf, tar, tbz, tbz2, tgz, tlz, txz, uop, uot, upk, ustar, vbox, vbs, vcd, vdi, vhdx, vmdk, vmsd, vmx, vmxf, vob, vor, wab, wad, wav, wax, wbmp, webm, webp, wks, wma, wp5, wri, wsc, wvx, xpm, xps, xsd, zip, zoo


[표 1] 암호화 대상 파일 확장자




그리고 해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명에 대해서는 암호화 동작을 수행하지 않는다.

구분

내용

암호화 제외 대상 폴더

windows\\

program files (x86)\\

program files\\

programdata\\

winnit\\

\\system volume information\\

\\desktop\r\readme\\

\\$recycle.bin\\


[표 2] 암호화 제외 대상 폴더




3-2. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 특정 주소와 금액을 지불하였다는 이메일을 작성하면 복호화 해준다는 내용을 포함하고 있다.


[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트





4. 결론

이번 보고서에서 알아 본 ‘SyncCrypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Jigsaw (ver .korea) Ransomware 분석 보고서 



1. 개요 


최근 유창한 한국어로 작성 되어 국내 사용자들을 겨냥한 듯한 ‘Jigsaw’ 랜섬웨어가 발견 되었다.


‘Jigsaw’ 랜섬웨어는 국내에서도 공포 영화로 잘 알려진 ‘쏘우’ 에 나온 가면을 사용자에게 보여주고 일정 시간이 지나면 차례로 파일을 삭제하여 피해자가 조바심을 느끼게 하여 복호화 비용을 지불하도록 만드는 랜섬웨어이다.


특히, ‘Jigsaw’ 랜섬웨어 감염 시 나타나는 랜섬노트가 한국인이 작성했을 것으로 추측될 정도의 문장으로 구성되어 있다는 특징이 있다.


다만, 현재 분석 시점에서는 해당 랜섬웨어가 암호화동작을 수행하지 않고 있어, 제작이 진행중이거나 임시 테스트용으로 보여지며 국내를 대상으로 잠재적인 위협요소를 지니고 있어 각별한 주의가 필요하다.


이번 보고서에서는 한국어로 복호화 비용을 안내하는 ‘Jigsaw’ 랜섬웨어에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

WindowApplication.exe

파일크기

256,512 byte

악성동작

파일 암호화, 금전 요구

 


2-2. 유포 경로

정확한 경로는 밝혀지지 않았지만 해당 랜섬웨어는 암호화 동작을 수행하지 않고 있어 랜섬웨어 제작자가 임의의 테스트용으로 만들었을 것으로 추정되고 있다.



2-3. 실행 과정

해당 ‘Jigsaw’ 랜섬웨어가 실행되면 실제 암호화 동작을 수행하지는 않으며, 사용자 바탕화면에 아래 [그림 1] 와 같이 팝업 창만 띄워 사용자에게 랜섬웨어에 감염된 것처럼 보여준다.

[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>[그림 1] Jigsaw (.korea) 바탕화면 이미지 <비교>


[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>[그림 2] 기존 Jigsaw 바탕화면 이미지 <비교>






3. 악성 동작


3-1. 레지스트리 등록

해당 랜섬웨어는 레지스트리에 아래 그림과 같이 값을 추가하여, 윈도우 로그인 할 때 마다 숙주파일과 동일하지만 파일명이 바뀐 ‘firefox.exe’ 를 실행하도록 한다. 


[그림 3] 랜섬웨어 실행 레지스트리 값 추가[그림 3] 랜섬웨어 실행 레지스트리 값 추가





3-2. 파일 암호화

해당 ‘Jigsaw’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES 알고리즘을 사용하여 암호화 한 뒤, “.korea” 라는 확장자를 덧붙인다. 하지만 현재 분석 시점에서는 실제 암호화를 진행하지 않는다.

 [그림 4] AES 암호화[그림 4] AES 암호화



코드 내에 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

.jpg .jpeg .raw .tif .gif .png .bmp .3dm .max .accdb .db .dbf .mdb .pdb .sql .dwg .dxf

.c .cpp .cs .h .php .asp .rb .java .jar .class .py .js .aaf .aep .aepx .plb .prel .prproj .aet

.ppj .psd .indd .indl .indt .indb .inx .idml .pmd .xqx .xqx .ai .eps .ps .svg .swf .fla .as3

.as .txt .doc .dot .docx .docm .dotx .dotm .docb .rtf .wpd .wps .msg .pdf .xls .xlt .xlm

.xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm

.ppam .ppsx .ppsm .sldx .sldm .wav .mp3 .aif .iff .m3u .m4u .mid .mpa .wma .ra .avi

.mov .mp4 .3gp .mpeg .3g2 .asf .asx .flv .mpg .wmv .vob .m3u8 .mkv .dat .csv .efx

.sdf .vcf .xml .ses .rar .zip .7zip


[표 1] 암호화 대상 파일 확장자




3-3. 금전 요구

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 일반적인 ‘Jigsaw’ 랜섬웨어와 거의 유사한 팝업창을 띄워 사용자에게 비트코인 지불방법에 대해서 안내한다. 안내문구는 한국인이 개입하였을 것으로 추측될 만큼 유창한 한국어로 작성되어 있다.  

[그림5] 한글 랜섬노트[그림5] 한글 랜섬노트



실제 암호화 동작이 이루어지고 있지는 않지만 암호화 된 파일이 존재할 경우 이를 인질로 삼아 제한시간 내에 비트코인을 지불하지 않을 시, 파일 삭제로 위협 한다는 것을 확인 할 수 있다.


[그림6] 파일 삭제[그림6] 파일 삭제





4. 결론


이번 보고서에서 알아 본 ‘Jigsaw’ 랜섬웨어는 실제 암호화 동작이 이루어지고 있지 않기 때문에 피해 사례가 발생하지는 않았지만 국내 사용자를 대상으로 만들어진 만큼 새로운 유형에 접목시켜 유포 시 피해가 발생할 수 있어 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.













저작자 표시 비영리 변경 금지
신고
Posted by nProtect

KONNI Malware 분석 




1. 개요 


최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 


이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

How can North Korean hydrogen bomb wipe out Manhattan.scr

파일크기

266,752 byte

진단명

Trojan/W32.Konni.266752

악성동작

드롭퍼











구분

내용

파일명

winnit.exe

파일크기

104,960 byte

진단명

Trojan-Downloader/W32.Konni.104960

악성동작

악성 DLL 로딩 / 백도어











구분

내용

파일명

conhote.dll

파일크기

40,960 byte

진단명

Trojan/W32.Konni.40960

악성동작

정보탈취













2-2. 유포 경로

해당 악성코드는 사용자가 첨부된 이메일 파일을 확인 시, 실행 되도록 유도하여 유포되고 있다.



2-3. 실행 과정

이메일에 첨부되어 있는 'Word'문서로 위장한 '.scr'파일을 사용자가 문서파일로 인식하여 열람할 경우, 시작 프로그램 폴더에 LNK파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 'winnit' 폴더를 만든다. 그 후 'conhote.dll' 파일과 'winnit.exe' 파일을 추가로 생성하여 실행 한다.


[그림 1] 동작 흐름도[그림 1] 동작 흐름도






[그림 2] 첨부 된 파일 열람[그림 2] 첨부 된 파일 열람





3. 숙주 파일 악성 동작


3-1. 파일 드롭

메일에 첨부 된 '.scr'파일은 추가적인 파일 드롭을 하기 위해 'Word'문서 아이콘으로 위장하고 있다. 이는 사용자가 실제 문서 파일을 열람한 것처럼 유도하여 추가적인 악성파일 동작을 수행하기 위한 것으로 확인 된다.


[그림 3] Word아이콘으로 위장한 파일[그림 3] Word아이콘으로 위장한 파일





[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭



3-2. 시작 프로그램 등록

해당 숙주파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 링크 파일을 생성하는 것을 확인할 수 있다. 링크 파일은 %TEMP%\..\ ‘winnit’ 폴더에 생성된 ‘winnit.exe’ 파일을 가리키고 있다.


[그림 5] 생성 된 LNK 파일[그림 5] 생성 된 LNK 파일




3-3. 문서 파일 위장

해당 숙주 파일은 실행 된 경로에 동일한 이름의 ‘.doc’ 형식 문서 파일을 만들어 OPEN 한다. 이는 사용자에게 메일에 첨부 된 파일이 실제 문서 파일을 실행 시킨 것과 동일하게 느끼도록 위장하기 위한 것으로 확인 된다. 원본 숙주 파일은 cmd.exe 를 이용하여 삭제 된다. 


[그림 6] 문서 파일 위장[그림 6] 문서 파일 위장





4. 드롭 된 파일 악성 동작


4-1. 정보 전송 및 다운로드

숙주파일에서 드롭 된 실행파일에서는 아래와 같이 특정 파일의 데이터를 읽어 원하는 정보를 수집하여 전송한다.


[그림 7] 특정 서버로 정보 전송[그림 7] 특정 서버로 정보 전송



[그림 8] 데이터를 수집하여 전송하는 부분[그림 8] 데이터를 수집하여 전송하는 부분




또한 추가로 파일을 다운로드하여 추가적인 악성 동작을 수행 할 수 있도록 한다.


[그림 9] 특정 파일 추가 다운로드[그림 9] 특정 파일 추가 다운로드





4-2. 악성 DLL 로딩

숙주파일에서 같이 드롭 된 악성 DLL파일을 로드 하여 추가적인 악성 동작을 수행하도록 한다. 


[그림 10] 악성 DLL 로드[그림 10] 악성 DLL 로드





4-3. 마우스 입력 정보 탈취

공격자는 앞서 드롭 된 실행파일에서 만들어 놓은 ‘Babylone’ 폴더 내부에 “screentmp.tmp” 생성하고 마우스 입력 이벤트를 가로채는 함수를 이용하여 사용자의 마우스 입력 정보를 기록하여 가로챌 수 있다. 


[그림 11] 마우스 이벤트 후킹[그림 11] 마우스 이벤트 후킹


[그림 12] 로그 저장[그림 12] 로그 저장





5. 결론

이번 보고서에서 분석한 악성 파일은 사회공학기법을 이용해 사용자가 관심을 가질만한 주제로 호기심을 자극하여 악성파일을 실행하도록 유도하고 있다. ‘KONNI’ 악성파일은 실행하였을 때, 실제 문서파일도 보여주기 때문에 일반 사용자가 이를 알아차리기가 쉽지 않아 주의가 필요하다.

백도어의 경우 공격자에 의해 또 다른 추가적인 악성파일을 다운로드 할 수 있으며, 지속적으로 사용자의 개인 정보가 탈취 당할 수 있다. 따라서 출처가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 주기적으로 백신 프로그램으로 검사하는 습관이 필요하다.

위 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





저작자 표시 비영리 변경 금지
신고
Posted by nProtect

Reyptson Ransomware 감염 주의


1. 개요 


PC를 이용하는 사용자들의 중요 데이터를 인질로 삼아 이를 복호화하기 위한 대가로 금전을 요구하는 랜섬웨어의 유포 방식이 나날이 발전하고 있다.


랜섬웨어 제작자는 보다 많은 감염을 발생시키기 위해 여러가지 방법을 이용하는데 최근까지 발견된 랜섬웨어들의 유포 방식을 보면 사회공학기법을 이용하거나, 윈도우 취약점을 악용하여 많은 피해가 발생하였다.


이번에 발견된 ‘Reyptson’ 랜섬웨어 같은 경우 악성코드내에 사용자 이메일 계정에 등록되어 있는 주소목록 대상으로 스팸메일을 전송하는 것으로 확인되어 주의가 필요하다.


이번 보고서에서는 ‘Reyptson’ 랜섬웨어는 어떠한 동작을 수행하는지 알아보고자 한다.









2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Reyptson.exe

파일크기

342,528 byte

악성동작

파일 암호화, 금전 요구


 


 


2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어에 감염 시, 사용자 PC에 설치되어 있는 Thunderbird 이메일 계정 주소 목록을 대상으로 스팸메일을 유포하여 2차 피해를 줄 수 있을 것으로 확인 된다.


2-3. 실행 과정

‘Reyptson’ 랜섬웨어가 실행되면 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여 해당 이메일 프로그램이 설치되어 있다면 감염된 PC의 이메일 자격 증명 및 연락처 목록을 검색하여 스팸 메일을 유포한다. 


그 후 다른 랜섬웨어와 동일하게 대상 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 대상 폴더마다 랜섬노트가 생성된다.


[그림 1] Thunderbird 이메일 프로그램[그림 1] Thunderbird 이메일 프로그램


 



3. 악성 동작


3-1. 이메일 프로그램 접근

‘Reyptson’ 랜섬웨어는 사용자 PC에 Thunderbird 이메일 프로그램이 설치되어 있는지 확인하여, 해당 프로그램이 설치되어 있다면 이메일 주소 목록에 접근한다. 


[그림 2] 이메일 접근 부분[그림 2] 이메일 접근 부분






3-2. 스팸 메일 전송

이메일 주소 목록에 접근 하였다면 아래 그림과 같이 스팸 메일을 생성하여 또 다른 피해자가 발생하도록 유도하고 있다.


[그림 3] 스팸 메일 생성[그림 3] 스팸 메일 생성




3-3. 파일 암호화

그리고 ‘Reyptson’ 랜섬웨어는 암호화 대상이 되는 파일을 찾아 AES-128 알고리즘을 사용하여 암호화 한 뒤, “.Reyptson” 라는 확장자를 덧붙인다.


  [그림 4] AES-128 암호화[그림 4] AES-128 암호화


[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분[그림 5] 원본 파일 확장자에 ‘.REYPTSON’ 덧붙이는 부분



사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 [표 1]과 같다.


구분

내용

암호화 대상 파일

확장자

".doc",".dot",".wbk",".docx",".docm",".dotx",".dotm",".docb",".xls",".xlt",".xlm",".xlsx",

".xlsm", ".xltx",".xltm",".xlsb",".xla",".xlam",".xll",".xlw",".ppt",".pot",".pps",".pptx",

".pptm",".potx",".potm",".ppam",".ppsx",".ppsm",".sldx",".sldm",".accdb",".db",".accde",

".accdt",".accdr",".pdf",".ani",".anim",".apng",".art",".bmp",".bpg",".bsave",".cal",".cin",

".cpc",".cpt",".dds",".dpx",".ecw",".exr",".fits",".flic",".flif",".fpx",".gif",".hdri",".hevc",

".icer",".icns",".ico",".cur",".ics",".ilbm",".jbig",".jbig2",".jng",".jpeg",".jpeg"".2000",

".jpeg-ls",".jpeg",".xr",".kra",".mng",".miff",".nrrd",".ora",".pam",".pbm",".pgm",".ppm",

".pnm",".pcx",".pgf",".pictor",".png",".psd",".psb",".psp",".qtvr",".ras",".rbe",".jpeg-hdr",

".logluv",".tiff",".sgi",".tga",".tiff",".tiff",".ufo",".ufp",".wbmp",".webp",".xbm",".xcf",

".xpm",".xwd",".cpp",".h",".cs",".sln",".idb",".txt",".dat"

[1] 암호화 대상 파일 확장자


해당 랜섬웨어는 해당 경로에 있는 파일에 대해서는 암호화를 진행하지 않는다.


[그림 6] 예외 대상 경로[그림 6] 예외 대상 경로



3-4. 금전 요구

암호화가 진행되면서 대상 폴더에는 “Como_Recuperar_Tus_Ficheros.txt” 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다. 하지만 현재 해당 사이트는 정상적으로 접속이 이루어지지 않는다.


[그림7] 영문 랜섬노트[그림7] 영문 랜섬노트







4. 결론

이번 보고서에서 알아 본 ‘Reyptson’ 랜섬웨어는 아직 국내에서 피해 사례가 발생하지 않았지만, 올해 랜섬웨어라는 악성코드로 인하여 피해 사례가 전세계적으로 급증하고 있는만큼 새로운 형태의 랜섬웨어 대한 경계심을 가지고 항상 주의 할 필요가 있다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.









저작자 표시 비영리 변경 금지
신고
Posted by nProtect

회사 메일을 이용한 피싱 메일 C&C 감염 주의



1. 개요 


이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 


이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

美 사이버 보안시장의 현재와 미래.hwp

파일크기

97,792 Byte

진단명

Trojan-Dropper/HWP.EPS.Gen

악성동작

드롭퍼

 

구분

내용

파일명

jusched.exe

파일크기

70,656 Byte

진단명

Trojan/W32.Snarebot.70656

악성동작

C&C

 



2-2. 유포 경로

특정 회사의 사내 그룹 및 개인 메일 계정으로 유입되었다.


[그림 1] 첨부 된 메일 내용 [그림 1] 첨부 된 메일 내용




2-3. 실행 과정

아래그림과 같이 이메일에 있는 첨부파일(.HWP)을 사용자가 열람할 경우, 시작 프로그램 폴더에 LNK 파일을 생성하고 또다른 경로인 %TEMP%\..\ 상위 경로에 악성 실행파일을 추가로 생성한다. 해당 악성코드는 사용자 PC를 재부팅 하였을 때 생성된 LNK 파일에 특정 인자 값을 지정하여 실행파일을 실행한다.


[그림 2] 동작 흐름도[그림 2] 동작 흐름도





3. 악성 동작


3-1. 파일 드롭

메일에 첨부된 HWP 파일은 취약점을 이용한 공격방식이 아닌 HWP 정상 스크립트를 이용하여 파일 드롭을 수행하는 것으로 확인된다. 해당 HWP 파일 내부에는 파일 다운로드 기능을 하는 스크립트와 함께 드롭 될 파일의 바이너리 값이 존재한다.


[그림 3] HWP파일 내부 스크립트[그림 3] HWP파일 내부 스크립트




아래와 같이 해당 HWP 파일에서 ‘바로가기 파일(.lnk)’, ‘악성실행파일(.exe)’ 두개의 파일이 스크립트를 이용하여 드롭된다.


[그림 4] 악성 파일 드롭[그림 4] 악성 파일 드롭




3-2. 시작 프로그램 등록

美 사이버 보안시장의 현재와 미래.hwp’ 파일을 열람 하였을 때, 시작 프로그램 폴더에 LNK 파일을 생성하는 것을 확인 할 수 있다. 생성된 LNK파일의 속성값을 확인 하였을 때 실행파일의 경로와 함께 특정 인자 값이 존재한다. 해당 인자 값이 없을 경우 악성 실행파일은 정상적으로 실행이 되지 않는다.


[그림 5] 생성 된 LNK 파일과 인자 값[그림 5] 생성 된 LNK 파일과 인자 값





3-3. 원격지 연결 시도

해당 악성코드는 LNK 파일을 통하여 하기의 원격지 서버에 연결을 시도 한다. 또한 C&C 명령을 받아 동작을 수행 할 때 마다 원격지 서버와 통신을 한다. 이는 해당 공격자의 명령과 데이터를 주고 받기 위한 동작으로 확인된다.

하지만 현재 분석시점에서는 해당 원격지서버는 접속이 정상적으로 이루어지지 않는다. 


[그림 6] 원격지 서버 연결 시도1[그림 6] 원격지 서버 연결 시도1


[그림 7] 원격지 서버 연결 시도2[그림 7] 원격지 서버 연결 시도2



원격지 연결 시도 후, HTTP상태 코드를 확인하여 연결이 성공적으로 이루어 졌는지 확인한다. 


[그림 8] 원격지 서버 연결 상태 확인[그림 8] 원격지 서버 연결 상태 확인





3-4. C&C 명령 테이블

현재 원격지 서버와 연결이 정상적으로 이루어지지 않고 있지만, 원격지 연결이 성공적으로 이루어질 경우 원격지 서버로부터 명령을 받아 추가적인 동작을 수행할 수 있다. 전체적인 C&C 동작 목록은 아래와 같다.


[그림 9] C&C 명령 테이블1[그림 9] C&C 명령 테이블1


[그림 10] C&C 명령 테이블2[그림 10] C&C 명령 테이블2




3-5. C&C 명령 주요 동작

다음은 ‘jusched.exe’ 악성코드의 C&C 명령에 따른 주요 동작을 확인 한 내용이다. 

정보 수집 및 전송

PC 정보

시스템 드라이브 정보

프로세스&모듈 정보

파일 속성 및 데이터

파일 및 폴더 정보

CAB 관련 파일 데이터

[1] 정보 수집 및 전송



해당 악성코드는 감염 PC이름과 시스템 정보를 수집한다.


[그림 11] 사용자 PC정보 수집[그림 11] 사용자 PC정보 수집



또한 감염 PC의 시스템 드라이브의 정보를 수집한다.

[그림 12] 시스템 드라이브 정보 수집[그림 12] 시스템 드라이브 정보 수집



C&C 명령을 통하여 특정 이름과 일치하는 파일이나 디렉토리 정보를 수집한다.


[그림 13] 파일 및 디렉터리 정보 수집[그림 13] 파일 및 디렉터리 정보 수집

 



추가 악성 동작

특정 프로세스 실행

특정 파일 다운로드

지정 프로세스 종료

지정한 파일 변조

 

 

[2] 추가 악성 행위




공격자는 특정 파일의 날짜, 디렉터리 생성 시간, 마지막 접근 시간, 수정 시간을 변경한다.


[그림 14] TimeStamp 변경 시도[그림 14] TimeStamp 변경 시도



아래 그림은 특정 문자열을 디코딩 하였을 때 다음과 같은 문자열로 변경된다. 해당 문자열은 명령프롬프트(cmd.exe)를 이용하여 파일을 실행하는데 사용되는 것을 확인 할 수 있다.


[그림 15] cmd 명령어를 통한 파일 실행[그림 15] cmd 명령어를 통한 파일 실행


 

문자열

디코딩

%7toDt%7tJ>%7

%s /c %s 2>%s

%7toDt%7t>%7tJ>%s

%s /c %s > %s 2>&1

[3] Decoding



C&C 명령 동작 내용중 일부는 원격지 서버로부터 특정 프로세스를 실행한다는 것을 알 수 있다.


[그림 16] C&C 명령을 통하여 특정 프로세스 실행[그림 16] C&C 명령을 통하여 특정 프로세스 실행




원격지 C&C 명령을 통해 파일 이름과 데이터를 받아와 특정 파일을 생성할 수 있다. 이는 파일을 다운로드하여 추가적인 악성 동작을 수행할 수 있도록 한다.


[그림 17] 특정 파일 추가 다운로드[그림 17] 특정 파일 추가 다운로드




4. 결론

이번에 분석한 악성코드는 HWP 첨부파일을 다운로드하여 여는 순간, 사용자 PC가 감염되어 악성 동작을 수행하기 때문에 감염사실을 인지하기 어렵다. C&C악성코드 같은 경우 감염 후 바로 동작을 수행 할 수도 있지만 일정 시간 동안 대기 상태로 존재하다가 추후 공격자의 명령을 수행할 수 있다는 점 때문에 국내주요기관 및 기업은 이메일에 첨부된 파일을 열람 시 주의를 하여야 한다.   


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 18] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면


[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 19] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect

‘게임 핵’ 으로 위장한 악성코드 감염 주의



1. 개요 


‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.

지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Whindow.exe

파일크기

24,064 byte

악성동작

게임 계정 정보 탈취

 



2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서 공유된 것으로 확인된다.



2-3. 실행 과정

아래 그림과 같이 온라인 커뮤니티 카페에 공개용 게시 글로 특정 게임의 불법프로그램 ‘오토에임(AutoAim)’ 인 것처럼 사용방법과 함께 .EGG 확장자를 가진 압축파일을 다운로드 할 수 있도록 유도하고 있다. 실제 압축 해제 하였을 때, “오토에임.exe” 실행파일 한 개만 존재한다.


[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일[그림 1] ‘오토에임’ 으로 위장한 악성코드 첨부파일




이를 실행할 경우 %APPDATA%경로에 원본 실행 파일과 동일하지만 ‘Whindow.exe’ 이름으로 변경 된 파일이 복사되어 재 실행 된다.


[그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe [그림 2] %APPDATA%경로에서 실행되고 있는 Whindow.exe






3. 악성 동작


3-1. 시작 프로그램 등록

%APPDATA% 에 복사된 ‘Whindow.exe’을 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 레지스트리 키에 등록하여 부팅 시 자동 실행 되도록 한다.


[그림 3] 레지스트리 값 추가[그림 3] 레지스트리 값 추가




3-2. 해당 파일 방화벽 예외 추가

아래 그림과 같이 해당 악성코드는 네트워크 명령 쉘을 이용하여 방화벽에 ‘Whindow.exe(악성코드)’를 허용하도록 만든다. 이는 [그림 5]와 같이 원격지 IP로 통신을 시도하기 위한 것으로 확인된다.


[그림 4] 악성코드 실행 파일 방화벽 예외 추가[그림 4] 악성코드 실행 파일 방화벽 예외 추가


[그림 5] 해당 IP와 통신을 시도[그림 5] 해당 IP와 통신을 시도




3-3. 사용자 PC의 Cam 카메라 목록 확인

CapGetDriverDescriptionA API 함수를 사용해서 사용자 PC 에 있는 Cam 카메라 정보를 획득하는 것으로 확인된다.


[그림 6] 캠 드라이버 정보 획득[그림 6] 캠 드라이버 정보 획득





3-4. 키로깅

해당 악성코드는 HKCU\Software\b4873ebc6e6f78dfdb2b3345770c744c 경로에 [kl] 값으로 로그 파일 정보를 저장한다. 이는 감염된 사용자PC에서 게임사이트로 접속하여 키보드로 입력 시 계정 정보가 그대로 노출 된다는 것을 확인 할 수 있다.

아래 그림은 게임사이트뿐만 아니라 일반 웹사이트를 방문 시 키보드로 입력한 ID와 패스워드 등의 문자열이 그대로 노출되는 것을 확인 할 수 있다.


[그림 7] 키보드 입력 시 문자열 저장[그림 7] 키보드 입력 시 문자열 저장






4. 결론

해당 악성코드의 경우, 불법 게임 핵인 ‘오토에임’을 위장했다는 점에서, 사용자가 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 프로그램을 실행할 수 있어 문제가 되고 있다. 해당 프로그램을 유포한 온라인 카페에서도 이를 근거로 백신 삭제 및 실행 해지를 사용자에게 권하고 있음을 확인할 수 있다. 재미와 호기심으로 다운받은 불법 프로그램이 개인 정보 유출로 이루어질 수 있으므로 사용자의 각별한 주의가 필요하다.


악성코드에 의한 피해를 방지하기 위해서는 출처가 불분명한 파일을 함부로 실행해서는 안된다. 또한 백신 제품을 항상 최신으로 업데이트 하여 PC를 보호하여야 한다.



저작자 표시 비영리 변경 금지
신고
Posted by nProtect