사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면[그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.







Posted by nProtect

Hermes 2.1 랜섬웨어 감염 주의


1. 개요 


‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다.


이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다.








2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

[임의의 파일명].exe

파일크기

345,088 byte

진단명

Ransom/W32.Hermes.345088

악성동작

파일 암호화













2-2. 유포 경로

‘Sundown Exploit Kit’를 사용하여 웹 브라우저의 취약점을 악용함으로써 웹 사이트를 통해 유포되었다.





2-3. 실행 과정

‘Hermes 2.1’ 랜섬웨어는 실행 시 지정된 확장자 파일을 암호화하고 암호화된 파일의 확장자를 그대로 유지함으로써      일반적인 랜섬웨어와는 다른 행태를 보인다. 이후 사용자가 암호화된 파일을 복구하지 못하도록 쉐도우 복사본을 삭제하는데 이는 ‘cmd.exe’ 를 통해 ‘window.bat’ 파일을 실행시킴으로써 그 기능을 수행한다. 실행된 ‘window.bat’ 파일과 ‘Hermes 2.1’ 랜섬웨어는 동작이 끝나면 삭제되고 아래 [그림1]과 같이 .html 포맷의 랜섬노트를 띄운다.


[그림1] Hermes 2.1 랜섬노트[그림1] Hermes 2.1 랜섬노트



랜섬노트는 영어, 독일어, 프랑스어, 이탈리아어, 스페인어의 다양한 언어로 제공되며, 복호화 방법에 대한 안내와 함께 결제를 유도한다. 또한, 암호화된 파일이 정상적으로 복구된다는 것을 증명하기 위해, 테스트용으로 3개의 파일 복호화를 진행해준다며 이메일 주소를 공개하고 있다.









3. 악성 동작


3-1. 파일 암호화

사용자 PC 를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일의 일부 확장자는 아래 [표1]과 같다.


구분

내용

암호화 대상 파일 확장자

tif php 1cd 7z cd 1cd dbf ai arw txt doc docm docx zip rar xlsx xls xlsb xlsm jpg jpe jpeg bmp db eql sql adp mdf frm mdb odb odm odp ods dbc frx db2 dbs pds pdt pdf dt cf cfu mxl epf kdbx erf vrp grs geo st pff mft efd 3dm 3ds rib ma max lwo lws m3d mb obj x x3d c4d fbx dgn dwg 4db 4dl 4mp abs adn a3d aft ahd alf ask awdb azz bdb bib bnd bok btr bak cdb ckp clkw cma crd dad daf db3 dbk dbt dbv dbx dcb dct dcx ddl df1 dmo dnc dp1 dqy dsk dsn dta dtsx dxl eco ecx edb emd fcd fic fid fil fm5 fol fp3 fp4 fp5 fp7 fpt fzb fzv gdb gwi hdb his ib idc ihx itdb itw jtx kdb lgc maq mdn mdt mrg mud mwb s3m myd ndf ns2 ns3 ns4 nsf nv2 nyf oce oqy ora orx $$$ $01 $db $efs $er __a __b {pb ~cw ~hm 0 00 000 001 002 1 101 103 108 110 113 123 123c 123d 123dx 128 1cd 1pe 1ph 1sp 1st 256 264 2d 2mg 3 32x 3d 3d2 3d4 3da 3dc 3dd 3df 3df8 3dl 3dm 3dmf 3dmk 3don 3dp 3dr 3ds 3dt 3dv 3dw 3dx 3dxml 3fr 3g2 3ga 3gp 3gp2 3gpp 3gpp2 3me 3mm 3p2 3pe 3pr 3w 4db 4dd 4dl 4dv 4mp 4th 4w7 555 602 60d 73b 73c 73l 787 7z 7zip 8 890 89t 89y 8ba 8bc 8be 8bf 8bi 8bi8 8bl 8bs 8bx 8by 8ld 8li 8pbs 8st 8svx 8xg 8xk 8xs 8xt 8xv 9xt 9xy a a$v a00 a01 h02è‹ a1wish a26 a2c a2l a2m a2theme a2w a3l a3m a3w a4l a4m a4p a4w a52 a5l a5rpt a5w a5wcmp a65 a8s aa aa3 aac aaf aah aam aao aaui ab ab1 ab2 ab3 ab4 ab65 aba abc abcd abdata abf abi abk abkprj abp abs abt abw abx aby ac2 ac3 ac5 ac6 aca acbl acc accda accdb accdc accde accdr accdt accdu accdw accft acd ace acf acg ach aco acp acr acrobatsecuritysettings acrodata acroplugin acrypt act actm actx acv acw acx ad ada adb adblock adc adcp add addin addon ade adf adi adn ado adobebridge adoc ados adox adp adpb adpp adr ads adt adu adv advs adx adz aea aec aep aepx aes aet aetx aex afd afdesign afe aff afm afp afs aft agb agd agd1 agdl age3rec age3sav age3scn age3xrec age3xsav age3xscn age3yrec age3ysav age3yscn agg aggr agi agx ahd ahf ahl ahs ahu ai aia aif aifb aiff aim ain aip ais ait aiu aiv ajp ak al al8 ala alb alb3 alb4 alb5 alb6 alc ald ale alf ali allet alm alp alr alt3 alt5 alv alx alz am am1 am4 am5 am6 am7 amb amc amf aml amm amp amr ams amsorm amt amu amv amx amxx an an1 an2 an8 ane anim animset animset_ingame anl anm anme ann ans ansr ansym anx any aof aoi aois aom ap ap_ apa apd ape apf aph api apj apk apl aplg aplp apnx apo app applet application appref - ms approj appx appxsym appxupload apr aps apt apw apxl apz aqt ar arc arch00 arcut ard arena arf arff arg arh ari arj ark arl aro arp arpack arr ars arsc artproj arw arx as as$ as2proj as3 as3proj as4 asa asat asax asc ascii ascm ascs ascx asd asdb ase asef asf ash ashbak ashdisc ashprj ashx asi ask asl asm asmx asn asnd asp aspx asr asset asstrm ast asv asvf asvx aswcs asws asx asy atc ate atf ath ati atl atm atn atom atomsvc atr ats att atw atx aty atz au3 aut automaticdestinations autoplay aux av ava avb avc avchd avd ave avhd avi avj avn avp avs avv avx aw awcav awd awdb awe awg awlive awm awp aws awt aww awwp ax axd axe axm axp axt axx azf azs azw azw1 azw3 azw4 azz azzx b b1 b27 b2a b3d b5i b5t b64 b6i b6t ba bac back backup backupdb bad bafl bak bak~ bak2 bak3 bakx bamboopaper bank bar bas base baserproj basex bat bau bav bax bay bb bb3 bbb bbc bbcd bbl bbprojectd bbs bbxt bbz bc5 bc6 bc7 bcc bcd bci bck bckp bcl bcm bcmx bcp bcs bct bdb bdb2 bdc bdf bdic bdl bdm bdmv bdp bdr bdsproj bdt2 bdt3 bean bed bet bf bfa bfg bfm bfs bfx bgi bgl bgt bgv bgz bh bho bhx bi8 bib bibtex bic bif big bik bil bim bin bina bionix bip biq bit bitpim bix bizdocument bjl bjo bk bk! bk1 bk2 bk3 bk4 bk5 bk6 bk7 bk8 bk9 bkc bkf bkg bkk bkp bks bkup bkz blb bld blend blend1 blend2 blg blk blm bln blob blockplt blogthis blorb blp bls blt blu bluej blw blz bm2 bm3 bmc bmd bme bmf bmg bmi bmk bml bmm bmml bmp bmpr bms bmz bna bnd bndl bng bnk bnp bns bnz boc bok boo book boot bop box bp1 bp2 bp3 bpa bpb bpd bpdx bpf bpg bpk bpl bpm bpmc bpn bpnueb bpr bps bpw bpz br3 br4 br5 br6 ...

[1] 암호화 대상 파일 확장자 일부 내용



해당 랜섬웨어는 파일에 대한 암호화만 진행할 뿐 추가 확장자를 붙여 변경하지 않는다. 아래 [그림2]는 암호화된 파일의 예시이다.


 [그림2-1] 암호화 된 파일[그림2-1] 암호화 된 파일



[그림2-2] 암호화 전(왼쪽) 후(오른쪽)[그림2-2] 암호화 전(왼쪽) 후(오른쪽)







3-2. 볼륨 쉐도우(shadow) 복사본 삭제

사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 볼륨 쉐도우 복사본을 삭제한다. 아래 [그림3]의 Command Line과 같은 명령어로 ‘window.bat’ 을 실행하여 그 기능을 수행하는데 ‘window.bat’ 은 [그림 4]와 같이 볼륨 쉐도우를 삭제하는 명령어를 담고 있다.


[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행[그림3] 쉐도우 파일 삭제를 위한 ‘window.bat’ 실행



[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’[그림4] 쉐도우 파일을 삭제하는 ‘window.bat’








4. 결론



‘Hermes’ 2.1 랜섬웨어는 국내 웹 사이트를 통해 유포되었기 때문에, 인터넷 사용에 각별한 주의가 필요하다. 그 뿐만 아니라 이번 랜섬웨어의 경우 파일을 암호화한 뒤에도 확장자를 변경하지 않아 감염에 대한 인지 및 대응이 지연될 것으로 예상된다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 웹 브라우저를 항상 최신 버전으로 업데이트 해야 한다. 또한 중요한 자료는 별도로 백업해 보관해야 할 것이다. 


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.


(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)


[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능[그림6] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능



Posted by nProtect

2017년 12월 악성코드 통계




악성코드 Top20

2017년 12월(12월 1일 ~ 12월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 131,148건이 탐지되었다.


순위

진단명

유형

탐지 건수

1

Suspicious/W32.CVE-2016-3266

Trojan

21,255

2

Gen:Variant.Johnnie.80689

Backdoor

13,602

3

Trojan/W32.Obfuscated.569856.AR

Suspicious

11,098

4

Suspicious/PDF.CVE-2017-16364

Suspicious

10,286

5

Gen:Variant.Adware.Hebogo.1

Adware

8,494

6

Trojan-Dropper/W32.Inject.323584.D

Trojan

7,810

7

Ransom/W32.Cerber.294521

Virus

5,995

8

Gen:Variant.Strictor.127591

Trojan

5,586

9

Backdoor/W32.Netbus.599552

Trojan

5,442

10

Trojan/W32.Agent.3584.MQ

Trojan

4,991

11

Gen:Variant.Graftor.317235

Trojan

4,704

12

Backdoor/W32.Orcus.9216

Adware

4,622

13

Trojan/W32.Agent.100864.ZY

Trojan

4,482

14

Gen:Variant.Adware.Graftor.67318

Trojan

4,046

15

Trojan/W32.KMSAuto.163840

Adware

3,633

16

Worm.Generic.24677

Virus

3,408

17

Adware.GenericKD.12655880

Trojan

3,330

18

Virus/W32.Ramnit.B

Trojan

3,118

19

Adware.Generic.1926352

Adware

2,754

20

Trojan/W32.Agent.534016.BS

Worm

2,492

[표] 2017년 12월 악성코드 탐지 Top 20











악성코드 유형 비율

12월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스)가 49%로 가장 높은 비중을 차지하였고, Trojan(트로잔)와 Adware(애드웨어)가 각각 15%와 14%, Suspicious(의심진단)와 Backdoor(백도어)가 각각 8%, 3%씩으로 그 뒤를 따랐다.


[그림] 2017년 12월 악성코드 유형 비율[그림] 2017년 12월 악성코드 유형 비율











악성코드 진단 수 전월 비교

12월에는 악성코드 유형별로 11월과 비교하였을 때 Trojan을 제외한 대부분의 진단 수가 감소하였다.


[그림] 2017년 12월 악성코드 진단 수 전월 비교[그림] 2017년 12월 악성코드 진단 수 전월 비교











주 단위 악성코드 진단 현황

12월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 11월에 비해 감소한 추이를 보이고 있다.


[그림] 2017년 12월 주 단위 악성코드 진단 현황[그림] 2017년 12월 주 단위 악성코드 진단 현황









Posted by nProtect

HWP2018 실행파일로 위장한 악성코드 유포 주의!


1. 개요 


최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다.


이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다.


또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다.


이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

HWP2018.exe

파일크기

1,495,040 byte

진단명

Trojan-Dropper/W32.Inject.1495040

악성동작

키보드 입력값 탈취 / C&C서버와의 통신 시도












2-2. 유포 경로

해당 악성코드는 불법 소프트웨어를 사용하려는 사용자를 노려 ‘HWP2018’ 파일로 위장하고 토렌트, P2P 사이트를 통해 유포되고 있는 것으로 확인됐다.


[그림 1] 토렌트에 유포되고 있는 악성파일[그림 1] 토렌트에 유포되고 있는 악성파일




2-3. 실행 과정

해당 악성 파일을 다운로드할 경우, [그림2]와 같이 다운로드 받는 파일 목록 내 최상위 폴더에서 실행파일로 위치하여 사용자들이 실행을 유도하고 있다. 


'HWP2018.exe' 로 위장한 악성파일을 실행하면 ‘C:\’ 하위 경로에 office 폴더를 생성하고 'office.exe' 라는 파일명을 가진 파일이 복사 후 실행된다. 실행 된 'office.exe'는 계속해서 C&C 서버와 통신을 시도하며 사용자의 키보드에서 발생하는 입력값을 특정 파일에 저장하여 탈취한다.


[그림 2] 다운로드 받는 파일 목록[그림 2] 다운로드 받는 파일 목록






3. 악성 동작


3-1. 자동 실행 등록

해당 악성코드는 자기 자신을 자동 실행 레지스트리에 등록한다. 이로써 PC를 재부팅 하더라도 사용자가 PC에 로그온하면 자동 실행되어 악성동작을 수행한다.


[그림 3] 자동시작을 위한 레지스트리 값 등록[그림 3] 자동시작을 위한 레지스트리 값 등록




3-2. C&C 서버와의 통신 시도

실행 된 'office.exe'는 특정 도메인을 DNS 서버에 질의하며 통신하는 것으로 확인됐다. 하지만 현재 분석시점에서는 원격지와 정상적으로 연결되지 않는 것으로 보인다.


[그림 4] 통신 시도[그림 4] 통신 시도



해당 악성코드가 접속을 시도하는 도메인을 분석한 결과, [그림 5]와 같이 C&C서버의 위치가 ‘KR’로 되어 있는 것으로 확인할 수 있다. 따라서 해당 특징과 앞서 악성 파일이 한글 문서 편집기 파일로 위장했던 점을 미루어 보아 국내 사용자를 겨냥한 악성코드로 보여진다.


[그림 5] 도메인 정보[그림 5] 도메인 정보




3-3. 키보드 입력 탈취

'HWP2018.exe' 악성코드는 사용자의 키보드 입력값을 탈취하기 위해 다음과 같이 ‘%AppData%\Roaming’ 하위 경로에 ‘office’ 폴더를 생성하고 ‘klg_[랜덤값].dat’ 파일을 만든다.


[그림 6] 키값 로그 파일 생성[그림 6] 키값 로그 파일 생성



해당 파일에는 감염된 사용자의 키보드 입력값 및 키보드 입력이 발생한 프로세스 정보가 base64로 인코딩되어 저장된다. 현재 분석시점에서는 C&C 서버와 정상적으로 연결이 되지 않지만, 만약 C&C 서버와 연결이 이루어질 경우 ‘klg_[랜덤값].dat’ 에 저장된 키보드 입력값을 탈취할 것으로 짐작하게 한다.


[그림 7] 저장된 키보드 입력값[그림 7] 저장된 키보드 입력값






4. 결론



이번 보고서에서 알아본 바와 같이 해당 악성코드는 국내 사용자가 자주 사용하는 소프트웨어로 위장했다는 점과 안티바이러스, 백신 프로그램의 실행을 해지하거나 진단을 무시한 채 사용자가 프로그램을 실행할 수 있다는 점에서 문제가 되고 있다. 이렇게 불법으로 다운받은 소프트웨어가 개인 정보 유출로 이루어질 수 있기 때문에 사용자는 더욱 주의를 기울일 필요가 있다.


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 정품을 구입하여 사용하는 것을 권고한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect

2017년 10월 악성코드 통계




악성코드 Top20

2017년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 1,123,251건이 탐지되었다.


순위

진단명

유형

탐지 건수

1

Gen:Variant.Razy.107843

Trojan

1,123,251

2

Gen:Variant.Zusy.217219

Trojan

127,661

3

Gen:Variant.Adware.Hebogo.1

Adware

27,748

4

Suspicious/W32.CVE-2016-3266

Suspicious

22,287

5

Trojan.Androm.Gen.1

Trojan

8,033

6

Gen:Variant.Application.LoadMomey.Symmi.2

Trojan

7,625

7

Gen:Variant.Johnnie.59062

Trojan

6,846

8

Gen:Variant.Graftor.317235

Trojan

6,675

9

Suspicious/W32.CVE-2016-3274

Suspicious

5,977

10

Virus/W32.Neshta

Virus

5,484

11

Trojan/W32.Agent.3584.MQ

Trojan

5,347

12

Adware/NetworkExpress.AA

Adware

5,010

13

Worm.Generic.73749

Worm

4,707

14

Gen:Variant.Strictor.127591

Trojan

4,624

15

Gen:Variant.Johnnie.59052

Trojan

4,615

16

Trojan/W32.Agent.100864.ZY

Trojan

4,230

17

Gen:Variant.Adware.Strictor.7909

Adware

3,870

18

Gen:Trojan.Heur.RP.dq1@aaicnEkG

Trojan

3,506

19

Adware.GenericKD.12361063

Adware

3,222

20

Win32.Runouce.B@mm

Virus

3,067

[표] 2017년 10월 악성코드 탐지 Top 20




악성코드 유형 비율

10월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Virus(바이러스) 가 91%로 가장 높은 비중을 차지하였고, Adware(애드웨어)가 4%, Trojan(트로이목마)와 Suspicious(의심진단)가 각각 2%, Downloader(다운로더)가 1%로 그 뒤를 따랐다.



[그림] 2017년 10월 악성코드 유형 비율[그림] 2017년 10월 악성코드 유형 비율










악성코드 진단 수 전월 비교

10월에는 악성코드 유형별로 9월과 비교하였을 때 Virus와 Adware진단이 다소 감소하였으며, 나머지는 대부분 비슷한 진단수를 유지하였다.


[그림] 2017년 10월 악성코드 진단 수 전월 비교[그림] 2017년 10월 악성코드 진단 수 전월 비교











주 단위 악성코드 진단 현황

10월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 넷째주에 대폭 감소한 현상을 보이고 있다.


[그림] 2017년 10월 주 단위 악성코드 진단 현황[그림] 2017년 10월 주 단위 악성코드 진단 현황












Posted by nProtect

워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 




1. 개요 


최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. 


DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 실행할지 묻는 것 이외에는 어떠한 보안 경고를 표시하지 않아 실행 시 주의를 요한다.


이번 분석 보고서에서는 이러한 ‘DDE’와 해당 기능의 취약점을 이용한 악성코드 유포 사례를 알아보고자 한다.




2. 분석 정보


2-1. 파일 경로

구분

내용

파일명

임의의 파일명.doc

파일크기

43,520 byte

진단명

Suspicious/W97.DDEAuto

악성동작

다운로드, 추가 악성 파일 실행











2-2. 유포 경로

이메일을 통하여 불특정 다수를 대상으로 유포되고 있으며, 이메일의 제목과 본문 등은 유포 시점에 따라 다양하게 변경되고 있다.


[그림 1] 이메일 유포 사례[그림 1] 이메일 유포 사례



2-3. 실행 과정

메일에 첨부된 파일을 실행하면 기본적으로 제한된 보기 기능의 보안 주의 메시지가 보여지게 된다. 해당 메시지를 사용자가 사전에 인지하여 종료를 눌러주면 추가적인 위협에 노출되는 것을 막을 수 있다. 하지만 대부분의 사용자들은 워드 문서를 자주 다운로드해 사용하므로 별다른 문제없이 ‘편집 사용’ 버튼을 누름으로써 실행되게 된다.


[그림 2] 이메일 첨부파일 실행 시 화면[그림 2] 이메일 첨부파일 실행 시 화면




3. DDE 기능


3-1. DDE란

‘DDE’란 윈도우 응용 프로그램간에 정보를 공유하도록 허용하는 방법이다. 예를 들어 다른 데이터 베이스 프로그램에서 폼을 변경하거나 엑셀에서 자료 항목을 변경할 때 다른 어떤 프로그램에서 동시에 사용하고있을 그 폼이나 항목 등을 함께 바뀌도록 정보 공유를 허용할 때 이용하는 기능이다. 먼저 아래의 간단한 예시로 ‘DDE’를 알아보고 이 기능을 어떻게 악의적으로 이용하는지에 대해 알아보자.



3-2. DDE를 이용한 예시

먼저 워드에서 DDE를 사용하기 위해서는 삽입 탭의 빠른 문서 요소 → 필드 → =(Formula)를 선택한다.


[그림 3] 수식 필드 추가[그림 3] 수식 필드 추가


수식 추가 후 [!수식의 끝이 잘못되었습니다.]이라고 적혀있는 오류가 있는 필드가 나타난다. 필드를 마우스 오른쪽 단추로 클릭하여 필드 코드 토글을 누른다.


[그림 4] 필드 코드로 전환[그림 4] 필드 코드로 전환


이제 필드 코드로 전환이 되었으므로 “DDEAUTO” 키워드를 이용하여 다른 프로세스를 실행 시킨다.


DDEAUTO C:\\windows\\system32\\cmd “/k calc.exe”


먼저 “DDEAUTO”DDE필드임을 워드에게 알리고, 문서가 열릴 때 자동 실행된다. “DDEAUTO”의 다음에는 실행할 파일의 전체 경로를 넣고 따옴표 사이는 실행파일의 명령어(인수)로 전달된다.


[그림 5] DDEAUTO[그림 5] DDEAUTO

 

그 다음 워드 문서를 저장 후, 컴퓨터에서 문서를 실행하면 다음과 같은 메시지 창이 두 번 보여진다. 첫번째 창은 문서 업데이트를 묻는다. 확인 시 두번째 메시지 창에서는 응용프로그램을 실행 할 지 여부를 묻는다. 이는 사용자에게 “cmd.exe”를 실행하도록 묻기 때문에 경고로 간주될 수 있지만 이러한 문구는 구문 수정으로 숨길 수 있으므로 사용자가 알아차리기 힘들다.


[그림 6] 문서 실행 시 메시지 창[그림 6] 문서 실행 시 메시지 창


사용자가 해당 메시지박스를 모두 예를 누를 시, 워드 문서 실행만으로 위 필드코드에서 입력한 명령어가 같이 실행되는 모습을 확인할 수 있다.


[그림 7] 계산기가 실행 된 모습[그림 7] 계산기가 실행 된 모습

 



4. DDE 취약점을 이용한 악의적인 문서


4-1. 문서 실행

위의 예시로 사용자가 문서 실행만으로 다른 프로세스를 실행시킬 수 있는 모습을 확인하였다. 다음은 현재 유포되고있는 이 기능을 악용한 문서이다. 해당 문서는 “입금 확인 스크린 샷입니다.” 라는 내용을 담고 있으며 사용자의 궁금증을 유발해 실행을 유도한다.


[그림 8] 실제 악성 문서 실행[그림 8] 실제 악성 문서 실행


메시지 창을 모두 누를 시 파워 쉘이 실행되고, 아래 주소에서 파일을 다운로드 하기 위해 시도한다. 해당 파일은 악성 행위에 사용될 파일로 이렇게 DDE 기능을 이용하여 악의적으로 파일을 다운로드 받거나 실행한다


[그림 9] 파워쉘을 이용하여 파일 다운로드[그림 9] 파워쉘을 이용하여 파일 다운로드


해당 필드 코드는 아래와 같이 확인이 가능하다.


[그림 10] 필드 코드[그림 10] 필드 코드





5. 결론

이번 보고서로 알아본 DDE 취약점은 사용자들에게 잘 알려지지 않은 기능을 악용한 사례이다. 해당 기능은 MS사의 정식기능이기 때문에 패치 되거나 제거 되지 않을 것으로 보여진다. 따라서, 워드 문서를 실행 시 사용자의 주의가 요구된다. DDE 기능을 비활성화 하기 위해서는 워드 프로그램에서 “파일 → 옵션 → 고급 → 일반 → 문서를 열 때 자동 연결 업데이트” 항목의 체크를 해제하면 된다.

[그림 11] 자동 연결 업데이트 체크 해제[그림 11] 자동 연결 업데이트 체크 해제


또한 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 12] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면






Posted by nProtect

[주의] 이번엔 유럽을 상대로 한 ‘BadRabbit Ransomware’ 감염 주의



1. 개요 


최근, 한국어 시스템을 노린 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 발견 된 지 얼마 지나지 않은데 이어서 이번엔 유럽국가를 상대로 공격을 시도한 ‘BadRabbit Ransomware’ 가 새롭게 발견 되었다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 터키, 독일, 불가리아 등이다.


‘BadRabbit Ransomware’ 에 감염이 되면 대상이 되는 파일을 암호화 할 뿐 아니라, 정상적으로 PC를 사용하지 못하도록 MBR영역까지 수정하기 때문에 국내 사용자도 각별한 주의가 필요하다.


이번 보고서에서는 ‘Adobe Flash Player’ 설치 파일로 위장한 ‘BadRabbit Ransomware’ 에 대해서 알아보고자 한다. 





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

FlashUtil.exe (Adobe Flash Player 설치파일 위장)

파일크기

441,899 byte

진단명

Ransom/W32.BadRabbit.441899

악성동작

드롭퍼










구분

내용

파일명

Infpub.dat

파일크기

410,760 byte

진단명

Ransom/W32.BadRabbit.410760

악성동작

드롭퍼, 파일 암호화, 네트워크 전파











구분

내용

파일명

cscc.dat

파일크기

181,448 byte

동작

디스크 암호화에 사용되는 정상 드라이버









구분

내용

파일명

dispci.exe

파일크기

142,848 byte

진단명

Ransom/W32.BadRabbit.142848

악성동작

MBR 감염













2-2. 유포 경로

‘BadRabbit Ransomware’ 는 사용자가 특정 웹사이트를 방문하였을 때 Drive By Download 방식으로 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

해당 랜섬웨어의 원본 실행 파일은 ‘Adobe Flash Player’ 설치 파일로 위장되어 있으며 이 파일이 실행되면 “C:\Winodws\” 경로에 실제 악성 동작을 수행하는 ‘infpub.dat’, ‘dispci.exe’, ‘cscc.dat’ 파일들이 드롭 되어 실행 된다.


그 후 실행된 파일들은 각각의 역할에 따라 사용자 PC의 파일을 찾아 암호화 동작을 수행하거나, 부트 영역을 수정한다. 그리고 해당 작업들이 완료 되면 작업 스케줄러에 등록되어 있는 재부팅 명령에 따라 PC를 재부팅 한다.


재부팅 된 사용자 PC의 부트영역에는 암호화된 파일에 대하여 복호화 하기 위한 방법을 안내하고 있으며 Tor브라우저를 이용하여 비트 코인을 지불하라는 안내문이 작성되어 있는 것을 확인 할 수 있다.


[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일[그림 1] Adobe Flash로 위장 한 ‘BadRabbit’ 실행 파일


 




3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 하지만 최근 발견된 랜섬웨어들이 원본 파일명을 변경하거나 특정 문자열을 확장자 뒤에 덧붙였던 방법과는 다르게 확장자는 변경되지 않으며 손상된 파일로 표시된다. 손상된 파일을 확인하면 다음과 같이 ‘encrypted’ 라는 특정 시그니처가 추가 된 것을 확인 할 수 있다.


[그림 2] 암호화 된 파일[그림 2] 암호화 된 파일




암호화 대상이 되는 확장자는 아래와 같다.


구분

내용

암호화 대상 파일

확장자

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

[1] 암호화 대상 파일 확장자



3-2. 네트워크 감염

‘BadRabbit Ransomware’ 는 더 많은 피해를 발생시켜 금전적 이득을 취하기 위해 감염 된 PC와 연결 된 네트워크를 대상으로 원본 악성코드 전파를 시도 한다. 


[그림 3] 동일 대역 네트워크 검색[그림 3] 동일 대역 네트워크 검색





동일한 네트워크상에 있는 다른 PC들의 IP들을 순차적으로 확인하여 SMB에 설정한 암호가 취약한지 코드 내부에 있는 임의의 계정 및 패스워드를 대입한다. 만약 SMB에 설정한 암호와 대입한 계정 및 패스워드가 일치 할 경우 추가적으로 악성코드를 ADMIN$ 공유폴더에 생성한다


[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파[그림 4] ‘ADMIN$’ 를 이용한 네트워크 전파


 


또한, ‘ADMIN$’ 공유 폴더를 이용하여 성공적으로 악성코드를 생성 시켰다면 동일 네트워크 상에 있는 다른 PC에서 ‘wmic’ 명령어를 통해 원격호스트에서 해당 랜섬웨어를 실행되도록 한다. 


[그림 5] ‘wmic.exe’ 를 이용한 원격 실행[그림 5] ‘wmic.exe’ 를 이용한 원격 실행





3-3. 부트 영역 변조

다른 랜섬웨어들이 재부팅 후 자동실행을 하기 위해 레지스트리나 작업 스케줄러에 암호화 동작을 수행하는 파일을 등록하였던 반면, 해당 랜섬웨어는 MBR영역을 변조하기 위해 아래 [그림 6]와 같이 재부팅 명령을 수행하거나 MBR영역을 변조하는 dispci.exe 파일을 실행하도록 한다.


[그림 6] 등록된 예약 작업[그림 6] 등록된 예약 작업




그리고 파일 암호화가 완료 되면 작업 스케줄러에 등록되어 있는 실행 시간과 명령어가 실행되어 감염 된 PC를 재부팅 한다. 재부팅 후 변조 된 부트영역을 통하여 사용자에게 파일이 암호화 되어 있음을 보여준다.


[그림 7] 감염 된 사용자 PC 부팅 화면[그림 7] 감염 된 사용자 PC 부팅 화면





3-4. 결제 유도

암호화가 완료되면 ‘Readme.txt’ 라는 랜섬 노트 파일이 생성된다. 해당 파일을 열면 암호화 된 파일에 대하여 복호화하기 위한 방법으로 토르 브라우저를 설치하고 랜섬노트 안에 작성되어 있는 주소로 접속하라는 내용을 포함하고 있다. 


[그림 8] 랜섬 노트[그림 8] 랜섬 노트




랜섬노트에 작성되어 있는 주소를 토르브라우저를 이용하여 접속 할 경우 제한 시간 내에 비트 코인을 지불하라는 내용을 포함하고 있다.


[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내[그림 9] ‘Tor 브라우저’ 접속 시 복호화 안내





4. 결론

이번 보고서에서 알아 본 ‘BadRabbit Ransomware’ 는 현재까지 주로 유럽국가를 상대로 공격을 시도하고 있다. 하지만 해당 랜섬웨어는 파일 암호화 뿐만 아니라 부트 영역을 감염 시켜 사용자를 불편하게 만들고 SMB를 이용한 네트워크 감염을 시도하기 때문에 국내 사용자도 안심 할 순 없다. 일단 감염이 되면 같은 네트워크를 사용하는 공공기관 및 회사에서 큰 피해를 줄 수 있을 것으로 보여 각별한 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관에 유의하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면










Posted by nProtect

MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의


1. 개요 


일반적인 랜섬웨어는 사용자 PC의 파일을 암호화하고 이를 인질로 삼아 복호화를 조건으로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상적으로 운영체제를 사용할 수 있었다.


하지만 최근 일반적인 랜섬웨어의 동작방식과는 다른 컴퓨터 하드디스크의 MBR 코드를 변조시켜 운영체제가 정상적으로부팅하는 것을 막는 랜섬웨어인 ‘RedBoot Ransomware’가 발견되었다.


‘RedBoot Ransomware’ 에 감염되면 파일 암호화만 진행할 뿐 아니라 정상적으로 PC를 사용하지 못하기 때문에 자칫 큰 피해로 이어질 수 있으므로 사용자의 주의가 필요하다.


이번 보고서에서 MBR영역을 변조시키는 ‘RedBoot Ransomware’ 에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

Installer.exe

파일크기

1,246,725 byte

진단명

Ransom/W32.RedBoot.1246725

악성동작

드롭퍼, 파일 암호화, 금전 요구









2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 불특정 다수를 대상으로 유포할 것으로 추정 된다.



2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭되어 실행 된다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 ‘.locked’ 확장자를 덧붙인다. 그리고 재부팅이 수행되어 정상적인 운영체제 부팅을 못하도록 한다. 




3. 악성 동작

3-1. 악성 파일 드롭

‘Redboot Ransomware’ 가 실행되면 악성동작을 하기 위해 아래와 같이 여러 악성 파일들을 사용자 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭 되어 실행 된다.



[그림 1] 드롭 된 파일[그림 1] 드롭 된 파일





구분

내용

assembler.exe

boot.asm 어셈블리 파일을 boot.bin 파일로 컴파일하는데 사용

boot.asm

새롭게 변경될 MBR 어셈블리 코드로 boot.bin 으로 컴파일 되어질 어셈블리 파일

main.exe

사용자 PC의 파일을 암호화하는 목적으로 사용

overwrite.exe

기존의 MBR 영역을 새로 컴파일 된 boot.bin으로 변조시킬 목적으로 사용

protect.exe

작업관리자 및 프로세스 해커와 같은 다양한 프로그램이 실행되는 것을 방지하는데 사용

[1] 드롭 된 파일 용도




3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.locked’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

모든 확장자

[2] 암호화 대상 파일 확장자





3-3. MBR 코드 변조

파일 암호화뿐만 아니라 해당 랜섬웨어는 다음과 같이 MBR 영역 또한 변조하며 이 동작이 완료되면 PC를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 사용자가 정상적인 운영체제로 부팅하지 못하도록 만든다.

[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분


[그림 4] MBR 영역 변조 전[그림 4] MBR 영역 변조 전


[그림 5] MBR 영역 변조 후[그림 5] MBR 영역 변조 후






3-4. 복구 안내

파일 암호화가 완료되고 MBR 영역까지 변조가 되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있다. 이메일에 대한 답변으로 금전을 요구할 것으로 추정된다.


[그림 6] 변조 된 MBR영역 랜섬 노트[그림 6] 변조 된 MBR영역 랜섬 노트






4. 결론

이번 보고서에서 알아 본 ‘RedBoot Ransomware’ 와 같이 사용자 PC의 파일을 암호화하고 더 나아가 MBR영역을 변조시키는 랜섬웨어가 첨은 아니기 때문에 특별하지 않다고 느낄 수도 있다. 

하지만 여타 랜섬웨어보다 감염 시 정상적인 운영체제로 부팅하기 어려운만큼 더 큰 피해를 줄 수 있다고 예상되기 때문에 사용자들은 출처가 불분명한 이메일이나 모르는 파일을 실행할 때 항상 주의를 기울여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 


[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면





Posted by nProtect

CryptoMix ransomware(변종) 분석




1. 개요 


랜섬웨어는 사용자 PC에 저장되어 있는 파일들을 암호화하여 이를 인질로 삼아 금전을 요구하는 악성 코드다. 최근 국내 기업에서도 랜섬웨어로 인한 피해 사례가 급증하고 있다. 랜섬웨어 제작자는 익명성을 보장해주는 비트코인 및 토르를 이용하여 추적을 어렵게 만들기 때문에 이를 악용한 사이버 범죄는 계속해서 늘어날 것으로 보여진다.


이번 보고서에서 다루는 ‘CryptoMix Ransomware’ 변종은 앞서 말한 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CryptoMix.exe (임의의 파일명)

파일크기

241,152 byte

진단명

Ransom/W32.CryptoMix.214152

악성동작

파일 암호화, 금전 요구











2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .ERROR 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.





3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 실행 된 자기 자신과 %ProgramData%경로에 ‘BC0D3BB1E1.exe’ 이름으로 복사된 동일한 파일을 모두 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.ERROR’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화



구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 또한 부팅 구성 데이터 편집기인 bcdedit.exe를 사용하여 Windows 자동 복구를 하지 못하도록 명령어를 수행한다.



[그림 3] 볼륨 쉐도우 복사본 삭제 [그림 3] 볼륨 쉐도우 복사본 삭제



3-4. 랜섬 노트

파일 암호화가 완료되면 복호화 방법을 알려주는 랜섬노트가 출력된다. 복호화 방법으로 이메일을 통해 식별키를 전송하라고 표기되어 있으며, 랜섬웨어 특성상 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트[그림 4] 암호화 완료 후 나타나는 .txt 형식의 랜섬노트




4. 결론


4-1. 정보 전송 및 다운로드

이번 보고서에서 알아 본 ‘CryptoMix Ransomware’ 변종은 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면






Posted by nProtect

SyncCrypt ransomware 분석




1. 개요 


사용자 PC의 중요 파일들을 암호화하고, 암호화된 파일을 풀어주는 조건으로 금전을 요구하는 랜섬웨어는 계속해서 새롭게 발견되고 있다.


랜섬웨어에 감염이 되면, 특정 파일에 대해서는 사용할 수 없기 때문에 공공기관이나 기업에서는 자칫 업무까지 마비가 

되어 엄청난 손해로 연결될 수 있다. 그렇기 때문에 중요한 파일이 있는 PC에서는 항상 주의를 할 필요가 있다.


이번 보고서에서 다루는 ‘SyncCrypt Ransomware’ 는 앞서 말했던 랜섬웨어 중 하나로 최근에 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

CourtOrder_845493808.wsf

파일크기

3,710 byte

진단명

Script-JS/W32.SyncCrypt-Downloader

악성동작

다운로더









구분

내용

파일명

sync.exe

파일크기

2,203,648 byte

진단명

Ransom/W32.SyncCrypt.2203648

악성동작

파일 암호화, 금전 요구








2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.





2-3. 실행 과정

첨부된 ‘.wsf’ 파일을 실행하면 암호화 동작을 수행하는 랜섬웨어 파일이 다운로드 되어 실행된다. 다른 랜섬웨어와 동일하게 사용자 파일을 찾아 암호화 동작을 수행하며, 파일 암호화가 완료되면 .kk 확장자를 덧붙이고 바탕화면에 README라는 폴더를 만들어 랜섬노트를 생성한다.


[그림 1] 악성파일 다운로드 스크립트[그림 1] 악성파일 다운로드 스크립트






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 ‘.kk’라는 확장자를 덧붙인다.


[그림 2] 파일 암호화[그림 2] 파일 암호화




구분

내용

암호화 대상 파일

확장자

accdb, accde, accdr, adp, ach, arw, asp, aspx, backup, backupdb, bak, bat, bay, bdb, bgt, blend, bmp, bpw, cdf, cdr, cdr3, cdr4, cdr5, cdr6, cdrw, cdx, cer, cfg, class, cls, config, contact, cpp, craw, crt, crw, css, csv, d3dbsp, dbx, dcr, dcs, dds, der, dif, dit, doc, docm, docx, dot, dotm, dotx, drf, drw, dwg, dxb, dxf, edb, eml, eps, fdb, flf, fpx, frm, gif, gpg, gry, hbk, hpp, html, hwp, jpe, jpeg, jpg, kdbx, kdc, key, jar, java, laccdb, latex, ldf, lit, lua, mapimail, max, mbx, mdb, mfw, mlb, mml, mmw, midi, moneywell, mocha, mpp, nef, nml, nrw, oab, odb, odc, odf, odg, odi, odm, odp, ods, odt, otg, oth, otp, ots, p12, pas, pab, pbm, pcd, pct, pcx, pdf, pef, pem, pfx, pgm, php, pict, pntg, potm, potx, ppam, ppm, pps, ppsm, ppsx, ppt, pptm, pptx, ppz, prf, psd, ptx, pub, qbw, qbx, qpw, raf, rtf, safe, sav, save, sda, sdc, sdd, sdf, sdp, skp, sql, sqlite, sqlite3, sqlitedb, stc, std, sti, stm, stw, sxc, sxg, sxi, sxm, sxw, tex, txt, tif, tiff, vcf, wallet, wb1, wb2, wb3, wcm, wdb, wpd, wps, xlr, xls, xlsb, xlsm, xlsx, xlam, xlc, xlk, xlm, xlt, reg, rspt, profile, djv, djvu, ms11, ott, pls, png, pst, xltm, xltx, xlw, xml, r00, 7zip, vhd, aes, ait, apk, arc, asc, asm, asset, awg, back, bkp, brd, bsa, bz2, csh, das, dat, dbf, db_journal, ddd, ddoc, des, design, erbsql, erf, ffd, fff, fhd, fla, flac, iif, iiq, indd, iwi, jnt, kwm, lbf, litesql, lzh, lzma, lzo, lzx, m2ts, m4a, mdf, mid, mny, mpa, mpe, mpeg, mpg, mpga, mrw, msg, mvb, myd, myi, ndf, nsh, nvram, nxl, nyf, obj, ogg, ogv, p7b, p7m, p7r, p7s, package, pages, pat, pdb, pdd, pfr, pnm, pot, psafe3, pspimage, pwm, qba, qbb, qbm, qbr, qby, qcow, qcow2, ram, rar, ras, rat, raw, rdb, rgb, rjs, rtx, rvt, rwl, rwz, scd, sch, scm, sd2, ser, shar, shw, sid, sit, sitx, skm, smf, snd, spl, srw, ssm, sst, stx, svg, svi, swf, tar, tbz, tbz2, tgz, tlz, txz, uop, uot, upk, ustar, vbox, vbs, vcd, vdi, vhdx, vmdk, vmsd, vmx, vmxf, vob, vor, wab, wad, wav, wax, wbmp, webm, webp, wks, wma, wp5, wri, wsc, wvx, xpm, xps, xsd, zip, zoo


[표 1] 암호화 대상 파일 확장자




그리고 해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명에 대해서는 암호화 동작을 수행하지 않는다.

구분

내용

암호화 제외 대상 폴더

windows\\

program files (x86)\\

program files\\

programdata\\

winnit\\

\\system volume information\\

\\desktop\r\readme\\

\\$recycle.bin\\


[표 2] 암호화 제외 대상 폴더




3-2. 금전 요구

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 비트 코인을 요구한다. 암호화 된 파일에 대해서 복호화 하기 위한 방법으로 랜섬노트에 기록되어있는 특정 주소와 금액을 지불하였다는 이메일을 작성하면 복호화 해준다는 내용을 포함하고 있다.


[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트[그림 3] 암호화 완료 후 나타나는 .html 형식의 랜섬노트





4. 결론

이번 보고서에서 알아 본 ‘SyncCrypt Ransomware’ 는 아직 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 계속해서 새로운 랜섬웨어가 발견되기 때문에 항상 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면









Posted by nProtect