이메일을 통해 전파되는 Locky 랜섬웨어
- 보안 정보/악성코드 관련 정보
- 2016. 3. 9. 13:31
1. 개요
봇넷, 좀비PC, DDoS라는 말이 흔하게 쓰이기 시작할 때 쯤 국가 조직과 글로벌 회사간의 협력을 통해 이러한 문제를 해결해 나가기 시작했다. 이를 통해 좀비 PC를 통한 DDoS 공격등으로 수익을 내던 해커/악성코드 제작자들은 새로운 수익 모델이 필요하게 되었다. 이때 등작한 새로운 수익 모델이 랜섬웨어이다.
최초 등장한 랜섬웨어는 1989년 AIDS 바이러스 ( 또는 PC Cyberg )이지만 지금과 같은 형태의 랜섬웨어는 2010년 9월에 등장한 CryptoLocker 일 것이다. 이후 CryptWall, CTBLocker부터 최근 TeslaCrypt, Locky에 이르기까지 다양한 형태의 랜섬웨어가 활동하고 있으며 윈도우, 리눅스, 맥OS 뿐만 아니라 안드로이드에 이르기까지 대부분의 운영체제에 맞는 랜섬웨어가 등장했다.
이중 Locky 랜섬웨어는 2016년 1월에 발견된 랜섬웨어로 파일 암호화시 파일 확장자를 .Locky로 바꾸는 특징에 의해 명명된 랜섬웨어이다. Locky 랜섬웨어는 이메일을 통한 타겟 공격을 통해 배포되는 특징을 갖고 있는데 실제 어떤 과정을 통해 랜섬웨어에 감염되는지 그 과정을 살펴보자.
관련 기사 보러가기
- 2014년 6월 22일 : GameOver Zeus Botnet Disrupted (원문)
- 2015년 12월 2일 : 보안뉴스 - 2015년 전 세계 강타한 랜섬웨어 월별 총정리
- 2016년 2월 22일 : 보안뉴스 - 신종 랜섬웨어 "록키" 국내 금융기관 유입
- 2016년 3월 7일 : 보안뉴스 - 애플 맥 OS 노리는 신종 랜섬웨어 출현
2. 전체 동작
< Figure 1. 이메일을 통해 전파되는 Locky 랜섬웨어 감염 과정 >
해커/악성코드 제작자가 악성 자바스크립트가 포함된 메일을 전달하고 이를 확인할 경우 외부 서버로 부터 Locky 랜섬웨어를 다운로드 후 실행한다.
3. 분석 정보
< Figure 2. 악성 자바스크립트가 첨부된 이메일 (일부) >
< Figure 3. 첨부파일로 전달된 경우와 본문에 삽입된 형태의 이메일 내부 구조 비교 >
악성 자바스크립트는 Figure 2와 같이 메일내에 포함되어 전달된다. 주의할 점은 기존 타겟 공격은 악성 동작을 위한 파일을 첨부파일 형태로 전달했다면 해당 악성코드는 자바스크립트를 메일 본문에 포함하는 형태를 갖고 있다. (Figure 3)따라서 이메일 내에 자바스크립트를 탐지하고 동작을 차단하는 기능이 없는 이메일 서비스를 사용한다면 본문에 포함된 자바스크립트가 자동 실행될 수 있다.
< Figure 4. 첨부된 자바스크립트 (일부) >
첨부된 자바스크립트는 난독화되어 있어 난독화 해제 또는 실행 이전까지 그 동작을 파악하기 어렵게 작성되어 있다.
< Figure 5. Locky 랜섬웨어 감염시 바탕화면과 생성된 문서파일 >
악성 자바스크립트가 실행되면 외부 서버로부터 악성 파일 다운로드를 시도하며 정상 다운로드시 특정 경로에 파일 생성 후 실행된다. 이때 생성된 파일의 확장자는 .scr로 화면 보호기 파일처럼 위장했으나 .exe 파일과 같이 실행이 가능하다. 정상적으로 다운로드 후 실행되면 Locky 랜섬웨어는 대상 확장자 파일을 암호화하며 바탕 화면을 변경해 사용자에게 감염 사실을 알린다.
- 다운로드 시도시 악성 파일명 : 1.exe
- 생성 경로 : %TEMP%
- 생성된 악성 파일명 : writable.scr
- 대상 파일 확장자
- .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
4. 외부 서버 접속
< Figure 6. 다운로드 서버 (malwares.com) >
Locky 랜섬웨어 다운로드를 위해 접근되는 사이트이며 현재 해당 계정이 차단되어 정상 다운로드는 이루어지지 않는다.
- 외부 서버 : torgtehnik.ru (89.108.87.179)
5. 샘플 목록
- invoice_for_first-team_14027.js
- 8819701B358B4C9BF604C0F45678330FE14FF1A423F31897C79B9749B7A408BC - writable.scr
- 73D608D95C55757577BB0E4437EBDE53FC52CE891805D4D17A3D3A4738F9457D
* 본 보고서 및 관련 컨텐츠는 저작권의 보호를 받습니다. 재배포, 영리목적의 활용 관련 법률에 의거 처벌 받을 수 있습니다.
'보안 정보 > 악성코드 관련 정보' 카테고리의 다른 글
도널드 트럼프 랜섬웨어? (0) | 2016.09.27 |
---|---|
VBA Form을 활용한 매크로 바이러스 (0) | 2016.03.14 |
공공기관 SW 해킹... 코드 서명 유출 (2) | 2016.03.08 |
I사 인증서 유출 관련 악성코드 (0) | 2016.02.23 |
삼성 메신저 사칭 악성코드 (0) | 2016.01.26 |
이 글을 공유하기