계정 비밀번호 크랙 도구로 위장한 랜섬웨어 주의 (확장자 .NS1419로 변경)
AhnLab SEcurity intelligence Center(ASEC)은 최근 계정 비밀번호 크랙 도구로 위장하여 유포되는 랜섬웨어를 발견했다. 이러한 비밀번호 크랙 도구는 주로 브루트 포스(Brute Force) 공격에서 활용된다. 브루트 포스(Brute Force) 공격은 가능한 모든 조합을 무차별적으로 시도하여 올바른 비밀번호를 찾아내는 방식으로, 공격자는 시스템의 인증 절차를 반복적으로 시도해 비밀번호를 탈취하려고 한다. 이 방식은 특히 짧거나 단순한 비밀번호를 사용하는 계정에 대해 높은 성공률을 보이며, 자동화된 도구를 통해 빠르게 수행될 수 있다. 공격자는 보안 연구자나 해커들이 자주 찾는 크랙 도구나 해킹 툴의 형태로 랜섬웨어를 배포함으로써, 사용자의 경계심을 무력화시키고 감염 가능성을 높이기 때문에 각별한 주의가 필요하다.
이번에 발견된 랜섬웨어의 경우 Pyinstaller로 제작되었으며, [그림1]과 같이 Username 및 Email 을 입력하여 비밀번호를 탈취하는 도구로 위장한 형태이다. Pyinstaller는 Python으로 작성된 프로그램을 실행 파일(EXE 등)로 패키징해주는 도구이다. Windows, macOS, Linux 등 다양한 운영체제 지원하며 파이썬이 설치되지 않은 PC에서도 프로그램을 실행할 수 있게 해준다.
[그림 1] 계정 비밀번호 크랙 도구로 위장한 랜섬웨어
Username 및 Email 을 입력 후 “Run as Admin” 을 선택하고 “START HACK(Admin Only)” 를 클릭하면 터미널 출력창에 비밀번호 크랙 도구가 시작되었다는 메시지가 표시되고, 특정 URL에서 key 값을 받아오는 행위로 위장한다. 운영체제가 Windows인 경우 기본 디렉터리 경로는 “C:\”로, Windows가 아닌 경우에는 “/home”으로 설정된다.
[그림 2] 계정 비밀번호 크랙 도구로 위장한 랜섬웨어
[그림 3] 계정 비밀번호 크랙 도구로 위장한 랜섬웨어
파일 암호화 방식은 AES-256 알고리즘의 CFB 모드이며, 키 관련 정보를 저장하거나 공격자에게 전송하지 않기 때문에 랜섬노트에 안내된 대로 공격자에게 비트코인을 전송하더라도 암호화된 파일을 복구하는 것은 사실상 불가능하다. 생성되는 랜섬노트(snapReadme.txt)는 다음과 같으며 비트코인을 요구하는 내용이 존재한다.
[그림 4] AES-256 알고리즘의 CFB 모드
[그림 5] 랜섬노트
암호화 대상의 파일 확장자는 [표 1]과 같으며, 파일 경로 상 “Program Files” 또는 “Windows” 문자열이 포함된 경우 암호화 대상에서 제외된다. 또한, 해당 디렉터리에 “snapReadme.txt”라는 이름의 랜섬노트 파일이 존재하지 않을 경우, 이를 새로 생성한다.
[그림 6] 확장자 정의 및 랜섬노트 생성
| .data | .epub | .gif | .md | .sql | .jpg | .rar | .txt |
| .mdb | .doc | .odp | .tar | .bmp | .htm | .sqlite | |
| .gz | .csv | .zip | .rtf | .ppt | .html | .accdb | .docx |
| .xlsm | .json | .ini | .xlsx | .png | .odt | .log | .db |
| .tsv | .ods | .bak | .pptx | .jpeg | .xls | .xml |
[표 1] 확장자
지정된 확장자를 가진 파일 중 “snapReadme.txt” (랜섬노트) 파일이 아닌 경우, 해당 파일의 데이터를 읽어 암호화를 수행한다. 암호화된 데이터는 원본 파일명에 “.NS1419” 확장자를 추가한 새 파일에 저장되며, 저장 후 원본 파일은 삭제된다. 암호화가 성공했는지 여부에 따라 터미널 출력창에 서로 다른 메시지가 표시되며, 이는 마치 비밀번호를 알아내기 위한 브루트 포스(Brute Force) 공격이 진행 중인 것처럼 위장된다.
[그림 7] 파일 암호화
[그림 8] 파일 암호화
대상 파일이 모두 암호화되면 터미널 출력창에 “Snapchat is hacked… Please read snapReadme.txt!” 문자열이 출력된다. 이는 랜섬노트 열람을 유도하는 문구이다.
[그림 9] 계정 비밀번호 크랙 도구로 위장한 랜섬웨어
사용자들이 자주 찾는 크랙 도구로 위장하여 유포되는 랜섬웨어는 사용자의 의심을 최소화해 쉽게 실행되도록 유도하며, 그로 인해 감염 위험이 크게 증가하므로 각별한 주의가 필요하다. 따라서, 출처가 불확실한 사이트에서 제공되는 프로그램은 설치하지 않고, 공식 웹사이트나 신뢰할 수 있는 경로를 통해 안전하게 소프트웨어를 설치해야 한다.
