랜섬웨어(Ransomware)는 동유럽과 러시아 등지에서 제작되는 것으로 알려져 있으며, 주로 문서나 사용하는 컴퓨터 시스템의 정상적인 사용을 방해하고, 그 댓가로 금전을 요구하는 형태로 알려져 있다.


현재까지 ASEC에서 파악한 랜섬웨어들은 악성코드 제작자에 의해 직접 제작되는 경우도 있으나 최근에는 다른 일반적인 악성코드와 동일하게 랜섬웨어 생성기에 의해 제작되는 사례도 존재 한다


그리고 국지적인 한계를 벗어나 감염된 시스템의 윈도우에서 사용하는 언어를 확인하여 그에 맞는 언어로 표기하는 형태도 있어, 한국어 윈도우에서는 한국어로 표기하는 랜섬웨어도 발견된 사례가 있다.


11월 2일, 해외에서 유명 해커 그룹인 어나니머스(Anonymous)를 사칭한 랜섬웨어가 발견되었다. 


이 번에 발견된 랜섬웨어는 감염된 시스템에서 스위스 보안 그룹 Abuse.ch에서 공개한 아래 이미지처럼 어나니머스의 로고와 메시지를 보여주고, 정상정인 시스템 사용을 위해 금전적인 댓가를 지불할 것을 요구 하고 있다.



이 번에 발견된 랜섬웨어가 시스템에서 실행 되면 우선 구글로 접속을 시도하여 감염된 시스템이 존재하는 지리적 위치를 확인하게 된다.


그리고 러시아에 위치한 다음 IP의 시스템으로 접속하여 감염된 시스템의 사용자에게 보여줄 내용이 담긴 picture.php 를 다운로드하게 된다. 


http://62.76.45.83/picture.php


분석 당시에는 정상적인 접속이 이루어지지 않음으로 어나니머스를 사칭한 메시지는 보여지지 않는다. 그러나 시스템의 정상 사용을 방해하는 기능은 정상적으로 수행된다.


해당 랜섬웨어는 감염된 시스템이 재부팅하더라 실행이 되더라도 랜섬웨어가 정상 동작하도록 레지스트리에 다음 키를 생성하게 된다.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sv??t = "%SystemDrive%\[파일 존재 위치]\[유포 당시 파일명]


그리고 감염된 시스템이 안전 모드로 부팅하지 못하도록 다음 레지스트리 키와 하위 키들을 모두 삭제하게 된다.


HKLM\SYSTEM\ControlSet001\Control\SafeBoot


이 번에 발견된 랜섬웨어가 해커 그룹인 어나니머스에서 제작되었는지는 알려지지 않았다. 그러나 다양한 형태의 랜섬웨어들이 지속적으로 발견되고 있음으로, 사용하는 시스템의 보안 패치와 함께 백신을 최신 엔진으로 업데이트 하는 것이 중요하다.


해커 그룹 어나니머스를 사칭한 해당 랜섬웨어는 V3 제품 군에서 다음과 같이 진단한다.


Trojan/Win32.PornoAsset

 

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by 비회원
일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다.

이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다.

이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다.

이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 "Mediyes - the dropper with a valid signature"를 통해 공개 되었다.

해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다. 


그리고 발급된 전자 서명은 아래 이미지와 같이 2011년 11월부터 2012년 11월까지 사용할 수 있도록 기한이 유효한 정상적인 전자 서명이었다.


이렇게 기업이나 단체의 전자 서명을 악성코드의 도용하는 사례들이 증가함에 따라 기업이나 단체에서는 전자 인증서 발급과 관련된 개인키(Private Key) 관리에 주의를 기울이고, 만약 유출된 사실이 확인된다면 전자 인증서를 폐기하고 새로 발급해야 전자 서명의 도용 사례를 막을 수가 잇다.

이번 스위스 기업의 전자 서명을 도용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Mediyes.628544 
Win-Trojan/Mediyes.436224
저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by 비회원