[악성코드 분석] Radamant (랜섬웨어)

Radamant (랜섬웨어) 악성코드 분석 보고서  

 

---

 

1. 개요

파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다.

인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다.

따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분석하고 대응법을 수록하여 사용자에게 랜섬웨어의 위험을 알리고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	DirectX.exe
파일크기	1208,896 byte
진단명	Trojan/W32.Bublik.208896.N
악성동작	랜섬웨어, 파일 암호화
네트워크	91.***.**.70, 185.***.*.240, 51.***.***.20

 

2-2. 유포 경로

Radamant 랜섬웨어(이하 Radamant)는 2015년 12월 초 해외에 처음 발견되어, 국내에는 지난 12월 크리스마스를 전후하여 쇼핑사이트를 위주로 유포되었다.

2-3. 실행 과정

Radamant 실행 시, Windows 폴더 하위에 숨김 속성의 DirectX.exe가 설치된다. 이후 감염PC의 공인 IP를 IP 주소 확인 사이트를 통해 조회하여 PC정보와 함께 공격자 서버로 전송한다.

Radamant는 버전 별로 각기 다른 변종들이 존재한다. 초창기 Radamant v1는 파일을 암호화한 한 후, 확장자를 .RDM 으로 변경하여 이를 이용해 사용자에게 금전을 요구했다. 하지만, 당시 Radamant v1엔 취약점이 존재하여 해외 보안업체에 의해 복호화 툴이 제작/배포되었고 이로 인해 금액을 지불하지 않더라도 파일의 복호화가 가능해졌다. 

그 후 Radamant 제작자는 새로운 버전인 Radamant.v2를 제작하였고, 분석 방해를 위해 가상 머신 탐지 기법을 추가하였다. Radamant v2 부터는 초창기 버전과 다르게 암호화한 파일의 확장자가 .RRK 으로 변경된다.

 

3. 악성 동작

3-1. 파일 암호화

Radamant는 사용자 PC의 모든 드라이브 및 이동식 디스크에 존재하는 수많은 확장자를 대상으로 암호화를 실시한다. 확장자 리스트 중 국내에서 주로 사용하는 확장자인 .hwp(한글 문서)와 .alz(알약 압축파일)가 발견되었고, 이는 국내 또한 공격 대상이 되었음을 뜻한다.

…

[그림] 암호화 대상 확장자

[그림] 정상 파일(상). 암호화된 파일(하)

 

Radamant는 웹 서버로 복호화 안내 페이지를 운영한다. 일반적으로 복호화 안내 페이지를 PC에 생성하는 다른 랜섬웨어와 구분되는 특징이다. 안내 페이지에서는 암호화에 사용된 알고리즘(AES256, RSA2048)과 복호화를 위해 지불해야 할 비용(0.5 BitCoin ≒ 250,000원, 유동적)이 각국의 언어로 설명되어 있다.

[그림] 복호화 안내 페이지

 

 

 

3-2. Radamant v1

Radamant의 초기 버전으로 암호화 파일 확장자는 .RDM을 사용했다. 해당 랜섬웨어는 해외 보안업체에서 복호화 프로그램을 제작,배포하였다. 복호화 키는 Radamant 자체의 취약점을 이용해 제작한 것으로, 알려진 파일포맷이 없는 일반 데이터 파일(.txt 등)은 복호화 할 수 없다는 한계가 있다. 하지만 일정한 파일 형식을 갖는 다른 파일들은 정상적으로 복호화가 가능하며, 이는 Radamant의 후기 버전이 나오는데 영향을 미친 것으로 보인다.

구 분	Version 1	Version 2	Version 3
복호화 가능 여부	O	O	X
확장자	.RDM	.RDM/.RRK	.RRK

[표] Radamant 버전에 따른 복호화 가능 여부 및 암호화 파일 확장자명

 

(출처 - http://blog.emsisoft.com/2015/12/29/strong-indications-that-ransomware-devs-dont-like-emsisoft/)

 

 

 

3-3. Radamant v2, v3

Radamant v1이 복호화 된 이후 해당 악성코드 제작자는 자신의 수익을 방해하는 보안 업체에게 불만을 갖게 되면서, 해당 업체에 대한 공격적 문자열을 포함한 Radamant v2를 제작하였다. 이는 파일을 .RRK 확장자로 암호화 진행하는 변종으로, 분석방해를 위해 각종 기법이 동원되었다. (Radamant v2 복호화 안내페이지는 도메인 emisofts**ked.top을 사용한다.)

[그림] 악성코드 내 삽입된 보안업체 비방 문자열

 

 

4. 결론

악성코드 제작 목적은 과거엔 자신의 실력을 과시하는 것이 주를 이뤘다. 하지만 기술이 발전함에 따라 PC이용자가 기하급수적으로 증가하면서 불법적 금융탈취 및 사기 등 범죄용도로 제작되는 경우가 많아졌다. 특히 과거에는 PC간 데이터를 이동하기 위해 플로피 디스크 등 물리적인 저장매체를 반드시 거쳐야 했다면, 현재는 인터넷으로 모든 PC가 연결되어 있어 손쉽게 파일과 데이터를 이동할 수 있어 악성코드가 이전보다 쉽게 전파될 수 있게되었다.

무엇보다 다양한 형태의 변종이 만들어지고 있는 랜섬웨어의 경우, 백신 설치와 실시간 검사 이외에도 특별한 보안관리가 필요하다. PC 사용자라면 다음과 같은 간단한 생활 수칙으로도 랜섬웨어로 부터 PC를 보호할 수 있다. 의심스러운 이메일은 열람하지 말고 삭제하며, 신뢰할 수 있는 사이트에서 제공하는 정품 소프트웨어를 이용하고, 운영체제 및 소프트웨어 업데이트를 꾸준히할 필요가 있다.

또한, 자동 업데이트가 가능한 백신 소프트웨어를 설치하고 실시간 감시기능을 사용하는 것이 중요하다.

해당 악성파일은 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 파일을 복호화하는 의미는 아닙니다.)

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면