분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 7. 4. 17:21

바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의

1. 개요

최근 발견된 Cephalo 랜섬웨어는 바로가기(.lnk) 파일을 정상인 것처럼 위장하여 사용자의 실행을 유도하고 있으며, 실행 시 악성파일을 다운로드 하고 실행하여 악성 동작을 수행하는 방식을 사용하고 있다. 이러한 방식은 사용자로 하여금 의심없이 파일을 실행시킬 수 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다.

 

이번 보고서에서는 .ceph 감염 확장자를 사용하는 Cephalo 랜섬웨어에 대해 간략하게 알아보고자 한다.

 

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].lnk
파일크키 3,205 bytes
진단명 -
악성 동작 파일 다운로드
구분 내용
파일명 Cephalo.exe
파일크키 87,552 bytes
진단명 Ransom/W32.DN-Cephalo.87552
악성 동작 파일 암호화

 


2-2. 실행 과정

바로가기 파일이 실행되면 Poweshell을 통해 메모장을 화면에 띄우고, 악성파일을 다운로드 받아 실행시킨다. 실행된 악성파일은 파일을 암호화하고 랜섬노트를 통해 감염사실을 통보한다. 하지만 현재 다운로드 사이트가 정상적으로 연결되지 않아 실제 파일 다운로드는 되지 않는다.

 

[그림 1] Cephalo 랜섬웨어 실행 과정

 

 

 

 


3. 악성 동작

3-1. 악성 파일 다운로드 및 실행

바로가기 파일은 [그림 2]와 같이 파일 속성 정보에 명령어를 숨기고 있으며, 실행 시 [그림 3]과 같이 Base64로 인코딩된 값이 실행된다. 이후 사용자를 속이기 위해 빈 메모장을 화면에 띄우고, 특정 서버에서 악성파일을 다운로드하여 임시폴더에 파일을 저장 후 실행시킨다.

 

[그림 2] 공백처럼 위장한 바로가기 대상

 

 


인코딩된 실행 정보 끝부분에서 Cephalo(Beta)라는 시그니처를 확인할 수 있다.

 

[그림 3] 인코딩 된 PowerShell 실행 정보

 


3-2. 파일 암호화

실행된 랜섬웨어는 다음 [표 1]과 같이 암호화 대상 확장자와 암호화 제외 폴더와 비교하여 파일 암호화 여부를 결정하고 암호화한다. 이후 암호화 된 파일에는 .ceph를 확장자 뒤에 덧붙이고 랜섬노트를 생성한다.

 

구분 내용

암호화 대상 확장자

(176 종)

123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .PAQ, .accdb, .aes, .ai, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, dch, der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, gz, hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip
암호화 제외 폴더 Content.IE5, \\Temporary Internet Files, \\Local Settings\\Temp,
\\AppData\\Local\\Temp, \\Program Files (x86), \\Program Files,
\\Windows, \\ProgramData

[표 1] 암호화 대상 목록

 

[그림 4] 암호화 된 파일 목록

 

 


생성된 랜섬노트에는 해당 공격 방식이 아동 포르노를 공유하는 사람들(소아성애자)들을 대상으로 하고 있다고 밝히고 있으며, 몸값을 지불하지 않으면 해당 사용자의 정보를 국제경찰기구에 신고하겠다고 경고하고 있다. 하지만 해당 정보를 수집하고 전송하는 기능은 아직 존재하지 않으며, 단순히 협박의 의미로 보인다.

 

[그림 5] _READ_ME_.txt 랜섬노트

 

 

 


4. 결론

이번 보고서에서 알아본 Cephalo 랜섬웨어는 피해사례가 많이 알려지지 않았지만 제작자가 Beta 버전이라고 알리고 있으며, 사용자가 바로가기 파일을 실행시키도록 유도하고 있어 사용에 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 7] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능