4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.

 

 1. 랜섬웨어 기능

엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 "explorer.exe" 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.  

- tidisow.ru

[그림-1] 악성 기능별 인젝션 대상 프로세스

해당 랜섬웨어의 상세 기능은 하기의 글을 참고

- http://asec.ahnlab.com/1030

 

 2. DDoS 기능

기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및 DDoS 기능을 수행한다.

- b.googlex.me (Port: 22, 23, ...)

 

아래의 [그림-2]는 공격자 명령에 의해 DDoS 공격이 발생하는 부분을 나타내며, DDoS 기능관련 Thread가 반복적으로 생성되는 구조이다.

[그림-2] DDoS 관련 쓰레드 생성루틴

 

아래의 [그림-3]은 DDoS 공격 시 사용하는 다양한 HTTP 메시지 내용을 나타낸다.

[그림-3] DDoS 공격 시 사용되는 HTTP 메시지

 

랜섬웨어 동작방식과 유사하게 악성행위를 하는 실행파일이 별도의 파일형태로 생성되는 구조가 아닌, 정상 프로세스 실행 및 인젝션(Injection)을 통해 동작하여 파일기반의 진단을 우회하도록 한다.

인젝션 대상이 되는 프로세스는 감염 시스템의 아래의 레지스트리 정보를 통해 얻은 웹 브라우저이며, 테스트 시스템에서는 "chrome.exe"가 기본 웹 브라우저로 설정되어있어 [그림-1]의 (1)번째 단계에서 보여진 것  처럼 "chrome.exe"가 실행됨을 알 수 있다.

- HKCR\http\shell\open\command

[그림-4] 인젝션 대상 웹 브라우저 정보

 

해당 악성코드가 생성하는 뮤텍스 정보는 다음과 같다.

- "qazwsxedc" (고정)

 

최초 C&C 주소와 통신 시, 공격자에게 전송되는 정보는 아래의 API 호출을 통해 얻는다. (최종 전송 시, XOR 를 통해 암호화되어 전송)

- KERNEL32.GetComputerNameA
- KERNEL32.GetLocaleInfoW
- ADVAPI32.RegOpenKeyExA ("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion")
- ADVAPI32.RegQueryValueExA ("ProductName", "ProcessorNameString")
- KERNEL32.GlobalMemoryStatusEx
- KERNEL32.GetSystemInfo

 

Anti-VM 기능으로 아래의 [그림-5]에서 처럼 C&C 접속 전 30분간의 Sleep()을 수행하며, GetTickCount API를 이용하여 정상적으로 30분간 Sleep()을 수행하였는지 여부를 체크하는 코드가 존재한다.

 

[그림-5] 30분 Sleep() 정상 수행여부 체크

 

해당 악성코드에 대한 V3 진단명은 다음과 같다.

- Win-Trojan/Cryptolocker.Gen

 

 

신고
Creative Commons License
Creative Commons License
Posted by yhayoung

 

 금일 한국의 인터넷 사용자를 노린 랜섬웨어가 인터넷 커뮤니티 사이트에서 유포되었다. 러시아, 동유럽 국가 등에서 등장한 랜섬웨어는 서유럽, 미국 등으로 확산되어 많은 피해자를 양산하였다. 최근 몇 년 사이 한국에서도 랜섬웨어 악성코드에 감염된 사용자가 증가 하였으며, ASEC블로그에서 랜섬웨어 악성코드, 예방Tip등을 소개한 바 있다.

랜섬웨어(Ransomware)란, 

Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 악성코드가 PC에 존재하는 중요한 자료들을 암호화하여 사용하지 못 하도록 한 후, 만약 암호화된 파일을 복구하려면 피해자로 하여금 돈을 지불하도록 강요하는 악성코드를 의미한다.

이번 등장한 크립토락커(CryptoLocker) 랜섬웨어는 한글로 되어 있으며, 한국의 인터넷 커뮤니티에서 유포된 점을 보아 한국의 사용자를 표적으로 하였음을 알 수 있다.

 

해당 악성코드의 동작방식과 증상은 아래와 같다..

-. 악성코드에 감염되면 아래와 같이 파일 및 레지스트리를 생성 한다.


[파일 생성 정보]

 

CREATE

C:\Windows\이름(랜덤).exe

 

[레지스트리 등록]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\이름(랜덤)
""C:\WINDOWS\파일명(랜덤).exe""

-. 레지스트리 Run키에 자기 자신을 등록하여 재부팅 시 자동실행 하도록 하였다.

 

[네트워크 연결]

 

 lexxxck.ru/topic.php 6x.1xx.1x5.xx2:443 (러시아)

 

랜섬웨어는 PC에 저장된 파일을 암호화하며, 해당 악성코드에 의해서 암호화된 파일은 아래 그림에서 보는 것처럼 [원본파일명.encrypted]형식을 가지게 된다.



[그림 1] 암호화된 파일


[표 1]의 확장자를 제외한 모든 파일을 암호화한다.

*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe

[표 1] 암호화 대상에서 제외된 확장자




[그림 2] 암호화 대상 코드

 

WhiteList 13개 확장자가 아니면 모두 감염대상에 포함된다.

 

PC에 존재하는 파일들에 대한 암호화 작업이 완료되면 [그림 3]의 파일을 생성하고 실행하여 화면에 보여준다.

[그림 3] 생성 파일


[그림 4] 감염 안내 메시지1




[그림 5] 감염 안내 메시지2

 


[그림 6]의 내용은 CryptoLocker에 의해 PC에 저장된 파일이 암호화되었으니, 파일을 복호화 하기 위해선 비트코인을 지불하라는 메시지이다.


[그림 6] 비트코인 요구 및 지원 서비스 제공


랜섬웨어 악성코드 제작자는 암호화된 파일들을 인질로 한화 약 438,900원의 비트코인을 요구한다. 피해자들이 비용 지불을 쉽게 할 수 있도록 비트코인 결제 방법을 상세하게 설명해주고, 암호화된 파일 중 1개 파일을 무료로 복호화 해준다.

최종적으로 악성코드 제작자는 중요한 파일을 암호화하여 사용자의 돈을 목표로 했음을 알 수 있다. 악성코드 제작자에게 돈을 지불하면 암호화된 파일을 복호화 방법을 알려준다고는 하나 이 역시 확인된 바가 없다.

이번 랜섬웨어는 국내 웹사이트에서 유포되어 많은 피해자를 양산하였다. 사이트 관리자의 사이트 및 광고 배너 보안에 주의가 요구된다. PC 사용자는 랜섬웨어 악성코드를 예방하기 위해 아래와 같은 수칙을 생활화 해야 한다.


랜섬웨어 예방수칙

  1. 스팸성 이메일 실행 자제
  2. 중요 파일 별도 백업
  3. 중요 문서 '읽기전용' 설정
  4. 운영체제 및 응용프로그램 최신버전 업데이트



V3 제품에서는 아래와 같이 진단하고 있다.

<V3 제품군의 진단명>

Win-Trojan/Cryptolocker.229892 (2015.04.21.03)



신고
Creative Commons License
Creative Commons License
Posted by DH, L@@