케르베르 (Cerber) 랜섬웨어

malwares.com 코드분석팀 분석 자료


<부제 : 랜섬웨어의 끝은 어디인가? >


1. 개요


이제 작년이 되어버린 2016년 3월 다수의 랜섬웨어 중 눈에 띄는 랜섬웨어가 있었다. 케르베르(Cerber) 랜섬웨어가 바로 그것이다. 케르베르 랜섬웨어는 기존의 랜섬웨어와 같이 문서, 이미지 등 사용자의 중요 데이터를 암호화 후 금전을 요구하는 형태를 띄고 있지만 이전 랜섬웨어에서는 볼 수 없었던 특징을 갖고 있었다. 

  • 음성지원 (3월경 발견된 케르베르 랜섬웨어)

이후 업그레이드를 통해 다음과 같은 기능도 추가되었다. 

  • 다국어 지원 (10월경 발견된 케르베르 랜섬웨어)

즉, 케르베르 랜섬웨어에 감염된 경우 스피커를 통해 감염 관련 정보를 음성으로 전달하거나 다양한 언어를 지원해 감염 사실을 통보하거나 요금 지불을 좀 더 용이하도록 하는 친절함(?)을 베풀었다. 이때 지원하는 언어에는 한국어도 포함되어 있어 "크립토락커", "라다만트", "크립트XXX"에 이어 4번째 한국어 지원 랜섬웨어가 됐다. 

  • 한국어 지원 랜섬웨어
    • 크립토락커 : 2015년 4월
    • 라다만트 : 2015년 12월
    • 크립토XXX : 2016년 5월
    • 케르베르 : 2016년 10월

케르베르 랜섬웨어를 포함해 대부분의 랜섬웨어는 랜섬웨어의 이름을 감염된 파일의 확장자명이나 Help 파일 또는 감염된 PC의 변경된 배경화면의 문자를 기초로 이름을 명명해 왔다. 특히 확장자는 랜섬웨어의 시그니쳐와 같은 역할을 해왔다. 하지만 2016년 10월경 발견된 케르베르 랜섬웨어의 경우 한국어 지원 뿐만 아니라 감염 파일의 확장자는 4자리의 랜덤 확장자로 바꾸는 등의 기능이 추가됐다. 
이렇듯 랜섬웨어는 꾸준히 그 기능을 확장/변경을 통해 발전해 나가고 있다. 

이런 과정에서 최근 malwares.com에 유입되고 있는 케르베르 랜섬웨어는 기존 악성파일들이 EXE나 DLL과 같은 파일 형식이었던 것과는 다르게 DOC 파일 형태로 되어 있다. 
최근 탐지수가 증가하고 있는 DOC 문서 파일 형식의 케르베르 랜섬웨어는 어떻게 동작하는 것일까?



2. 세부 동작


< Figure 1. doc 문서 파일 열람시 모습 >


doc 파일 형태로 배포되고 있는 케르베르 랜섬웨어를 실행하면 매크로 삽입시 나타나는 알림 메시지를 볼 수 있다. 즉, doc 문서 열람시 내부에 삽입되어 있는 코드가 실행되는 형태로 이는 기존에 알려진 매크로를 이용한 악성코드와 그 형태와 원리가 같다. 


차이점은 매크로 스크립트를 사용하지 않고 대신 파워쉘을 이용한다는 점이다. 이는 대부분의 운영체제가 Windows 7 이상으로 변경됨에 따라 매크로에서 파워쉘로 사용 언어만 변경한 것이다. 


< Figure 2. doc 문서 파일내에 존재하는 스크립트 확인 방법 >


doc 문서 파일 내에 존재하는 스크립트를 확인하는 방법은 다음과 같다. 

  1. "빠른 실행 도구 모음" 에서 "기타 명령"을 선택한다. 
  2. "리본 사용자 지정" 에서 "개발도구"를 활성화한다. 
  3. "개발도구" 탭에서 "매크로"를 선택한다. 
  4. "매크로" 중 하나를 선택해 "편집"을 누른다. 

< Figure 3. 추출된 파워쉘 스크립트 코드 >


이러한 과정을 통해 doc 문서 파일에서 추출된 스크립트는 난독화되어 있어 쉽게 그 동작을 확인하긴 어렵게 되어있다. 하지만 난독화 난이도가 높지 않으므로 순서대로 조립하면 다음과 같은 URL을 확인할 수 있다. 

  • URL : http://mo******lthc.top/read.php?f=0.dat

분석을 진행하는 시점에도 해당 URL은 접근/다운로드가 가능하며 파워쉘 스크립트에 의해 다운로드 후 자동 실행된다. 

< Figure 4. 악성 URL과 연관 분석 정보 >


이런 방식으로 최근 유입된 악성코드 중 일부 변종은 위와 같은 연관 정보를 확인해 볼 수 있으며 변종 악성코드 또한 지속적으로 유입되고 있다.




이 글을 공유하기

댓글

Designed by JB FACTORY