분석 정보/랜섬웨어 분석 정보

[악성코드 분석] MBR 변조로 부팅을 방해하는 PETYA 랜섬웨어

TACHYON & ISARC 2016. 4. 15. 10:05

 MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 



 

 

1. 개요

일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다이때사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다


최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다.


본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

Bewerbungsmappe-gepackt.exe

파일크기

364,032 Byte

진단명

Trojan/W32.Petr.364032

악성동작

랜섬웨어, 하드디스크 암호화






 


2-2. 유포 경로

해당 악성코드는 파일공유 서비스 “드롭박스” 를 이용하여 유포 되었다공격자는 악성파일을 업로드 한 드롭박스 링크에 접속 유도하여 파일을 다운받게 한다유포방식에 있어서 랜섬웨어가 흔히 사용해오던 가짜 메일을 통한 오피스 매크로 방식이 아닌파일공유 서비스를 이용했다는 점에서 악성코드가 유포 방식이 다양하다는 것을 나타낸다.





2-3. 실행 과정

해당 악성파일은 Bewerbungsmappe-gepackt.exe (독일어로 패키지 애플리케이션 포트폴리오를 의미파일명을 가진 가짜 이력서 파일로 위장하여 실행을 유도한다파일 실행 시 PC 하드디스크에 접근하여 코드 변조 및 암호화를 수행한다이후 강제로 종료 에러를 발생시켜 재부팅을 하게 만든다이 때재부팅을 하게 되면 정상부팅이 되지 않으며, 공격자가 만든 금전을 요구하는 페이지가 나타난다.



[그림 1] 가짜 이력서 파일로 위장한 악성파일





[그림 2] 강제로 발생된 시스템 에러

 

 



3. 악성 동작

3-1. MBR 코드 변조

악성코드는 기존의 정상 MBR 코드를 XOR 연산으로 호화 시킨 후 특정 위치에 백업한다이후 자신의 코드를 MBR 영역의 시작지점과 예약된 공간에 덮어 쓴다정상 MBR 코드의 경우 부팅 가능한 파티션으로 점프 시키는 역할을 하지만덮어 쓰여진 악성코드는 예약된 공간에 쓰여진 추가적인 악성코드로 점프 시킨다.




[
그림 3] MBR 영역에 덮어 쓰여진 악성 코드

 



예약된 공간에 쓰여진 악성코드는 디스크에서 파일을 읽어 들이는 추가적인 부분을 암호화 하며사용자에게 금전을 요구하는 화면을 띄운다.

 



[
그림 4] 변조된 코드로 불가능해진 정상부팅

 



[
그림 5] 랜섬웨어 감염 안내와 금전 요구 화면



4. 결론

MBR 등 하드디스크의 구동에 필요한 직접적인 정보를 변형시켜 컴퓨터의 부팅 자체를 막거나 가지고 있는 데이터를 못쓰게 하는 악성코드는 종종 대규모의 사이버 공격에서 사용되곤 했다.최근엔 이런 방식이 랜섬웨어에서 발견되고 있으며 앞으로도 멈추지 않을 것으로 보인다


이전 파일을 암호화 하는 방식의 랜섬웨어가 정보 소멸의 공포감을 느끼게 하여 금전을 탈취 했다면하드디스크를 조작하는 랜섬웨어는 컴퓨터를 사용 할 수 없게 만들어 사용자에게 더 큰 두려움과 피해를 줄 것으로 예상한다.


랜섬웨어 류의 악성코드는 한번의 실행으로 돌이킬 수 없는 상황까지 진행 될 수 있으므로 출처가 불분명한 파일이거나 의심스러운 파일은 한번 더 신중히 생각하여 실행할 필요가 있으며백신제품의 실시간 감지를 사용하여 의심스러운 파일의 실행을 방지하는 대비도 필요하다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0  MBR 보호기능으로 실행을 방지할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[그림 6] nProtect Anti-Virus/Spyware V4.0  MBR 보호기능

 



[
그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 



[
그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면