한글을 지원하는 마인크래프트 위장 랜섬웨어

malwares.com 코드분석팀 분석 자료

<부제 : 배우라고 만들었지 쓰라고 만들었냐! >

1. 개요

최근 malwares.com에 한국어와 카카오톡 이미지를 사용하는 마인크래프트 위장 랜섬웨어가 발견 됐다. 특히 주목할 점은, 감염될 경우 접속하도록 공개한 URL이 2016년 8월에 배포돼 이슈였던 카카오톡 위장 랜섬웨어와 같은 주소였기 때문이다. 즉, 2016년 8월 이후 2018년 1월 현재까지도 배포되고 있는 것이다. 이에 최초 발견되었던 카카오톡 위장 랜섬웨어와 마인크래프트 위장 랜섬웨어의 차이를 확인해 보고자 한다. 

2016년 관련 기사 보러가기 : [데일리시큐] 국내에서 제작한 카카오톡 위장 랜섬웨어 확인돼...주의

2. Hidden Tear

2016년 8월에 확인된 랜섬웨어는 교육용으로 깃허브에 공개된 랜섬웨어인 "Hidden Tear"의 소스코드를 이용해 제작됐다. 깃허브에 공개된 Hidden Tear는 C#으로 제작된 오픈소스이며 과거에도 이를 악용한 사례가 있었다. 

• May Ransomware

• MoWare Ransomware

• Franzi Ransomware

• $ucyLocker

[TrendMicro] Ransomware Recap : The Ongoing Development of Hidden Tear Variants

[ 그림 1. 교육용 랜섬웨어 - Hidden tear (출처 깃허브) ]

"Hidden Tear"는 오픈소스 본래의 취지를 악용한 사례이며, 해커 또는 악성코드 개발자 입장에서는 이미 검증된 로직의 프로그램을 사용하기에 개발기간을 단축 시킬 수 있다는 장점이 있을 것이다. 공개된지 3년이나 지났으며 과거에 이슈가 되었던 악성코드임에 따라 현재 많은 안티 바이러스가 탐지하고 있어서 보안제품을 사용한다면 실제 PC 감염까지는 이루어지기 어려울 것으로 보인다. 

3. 분석 정보 

[ 그림 2. 2016년 이슈가 되었던 카카오톡 위장 랜섬웨어의 감염화면 창 ]

[ 그림 3. 2018년에 수집된 마인크래프트 위장 랜섬웨어의 감염화면 창 ]

마인크래프트 위장 랜섬웨어에 감염됐을 때 화면에 보여지는 모습을 보면 카카오톡 위장 랜섬웨어와 유사하다. 특히, 문구가 상당히 일치하며 Tor 브라우저를 통해 접속해야 하는 도메인 정보가 동일하다. 그외 랜섬웨어의 다양한 항목을 비교해 보면 다음과 같다. 

구분	과거 카카오톡 위장 랜섬웨어	최근 마인크래프트 위장 랜섬웨어
암호화 대상 확장자	'.txt', '.doc', '.docx', '.xls', '.xlsx', '.ppt', '.pptx', '.odt', '.jpg', '.png', '.csv', '.sql', '.mdb', '.hwp', '.pdf', '.php', '.asp', '.aspx', '.html', '.xml', '.psd'	'.txt', '.doc', '.docx', '.xls', '.xlsx', '.ppt', '.pptx', '.odt', '.jpg', '.png', '.csv', '.sql', '.mdb', '.sln', '.php', '.asp', '.aspx', '.html', '.xml', '.psd', '.URL', '.kys', '.bat', '.java', '.hwp', '.zip', '.mp3', '.bmp', '.rtf', '.pdf'
이메일 정보	X	powerhacker03@hotmail.com
복구 여부	X
도메인 정보	http://2dasasfwt225dfs5mom.onion.city
암호화 확장자	.암호화됨
식별 값	고정 ( 피해자 구분 X )
암호화 방식	AES-256
암호화 모드	CBC
암호화 키	랜덤 문자열

[ 표1. 랜섬웨어 특징 비교 ]

즉, "암호화 대상 확장자"만 늘어났을 뿐 큰 차이가 없는 것을 확인할 수 있다. 이는 두 샘플 모두 Hidden Tear 기반이라는 특성 때문일 수 있으나 도메인까지 동일한 것으로 보아 동일 그룹에서 개발한 것으로 판단된다.

( 하지만 현재 해당 도메인은 접속되지 않는다. )

[ 그림 4.  무조건 지불 실패 ]

최신 샘플에는 과거 샘플에 없던 버튼이 감염화면 창에 추가됐다. 해당 "돈을 지불했습니다" 버튼은 Tor 브라우저 도메인에 접속해 요구한 돈을 넣을 경우 누르는 버튼으로 추정된다. 

내부 코드를 확인하면 그림 4와 같이 화면에 문구를 출력하는 코드가 있으며 어떠한 처리없이 "당신에 비트코인 지불을 실패했습니다." 라는 문구를 보여준다. 

즉, 감염시 복구가 되지 않는다. 

[ 그림 5. 파일에 포함되 있는 사진들 ]

최신 샘플의 흥미로운 점은 리소스 데이터에서 확인할 수 있다. 그림 5는 악성코드에서 추출한 이미지들로 과거 버전의 카카오톡 위장 랜섬웨어 이미지 뿐만 아니라 '직쏘' 랜섬웨어나 '$ucyLocker'와 같은 다른 랜섬웨어의 이미지도 포함하고 있다. ( 2017년 6월에 발견된 $ucyLocker도 Hidden Tear를 기반으로 개발되어 있다. )

따라서 Hidden Tear를 기반으로 개발된 랜섬웨어 중 최소한 카카오톡 위장 랜섬웨어나 마인크래프트 위장 랜섬웨어, $ucyLocker는 같은 악성코드 개발자에 의해 개발된 것으로 추정해 볼 수 있다. 

[ 통계1. HiddenTear (2017.01 ~ 2018.01 현재) ]

2017년 1월부터 2018년 1월까지의 기간동안 malwares.com으로 유입된 HiddenTear 랜섬웨어군은 [통계 1]과 같이 꾸준히 증가하는 양상이다. 따라서 감염되지 않도록 안티 바이러스 등 보안 제품의 최신 업데이트 상태를 유지해야 할 것이다. 

4. IOC 정보

해쉬	4401AD7841EAF91821BE1E7F0BFD648C6AD2EE0BC4E008436BCCA344D0BD2E38
파일크기	2,762,752 Bytes
유입파일명	Minecraft.exe
태그	exe_32bit, peexe, ransomware, hiddentears, msil
주요동작	파일 암호화
초기감염방법	다운로드 추정
재실행방법	X
네트워크연결	http://2dasasfwt225dfs5mom.onion.city

* 2016년에 유포된 카카오톡 위장 랜섬웨어 (SHA-256)

• 1AD95B74B1E10F41B4AC7D2EE96C74E99F237E1E5717D9E59273A81477D8C9B6

• 8997E8D0CDEFDE1DBD4D806056E8509DEA42D3805F4AC77CFF7021517AD1BA06