Ransom 웨어 사례 분석

KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
목 차
1. 개요 …………………………………………………1
2. 악성 코드를 이용한 사이버 상의 강탈 공격 ……………1
3. 암호화에 사용된 파일 분석 ……………………2
4. 결 론 …………………………………………………7
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 1 -
1. 개 요
최근 인터넷의 침해사고는 다음과 같은 주요 침해사고 관련 유형이 증가 하고 있다.
Zombie
PC를 이용한 SPAM 증가
악성
코드의 증가
악성
Bot의 증가
Phishing
과 같은 개인정보 유출 사고 증가
서비스
공격과 같은 방법을 사용하여 사용자 또는 서비스 회사를 위협하여 금전적인 이
익을 목적으로 하는 공격 증가
2. 악성 코드를 이용한 사이버 상의 강탈 공격
o 5월 24일(화요일) 한국시간(02:59)으로 미국의 보안업체인 Websense Security는 악성코드
를 이용하여 사용자로부터 금전적인 것을 강요하는 공격 유형을 발표하였음
위와
같은 공격 형태는 최근 Phishing과 더불어 Underground Market의 하나의
Business Model이 되어 가고 있음
o 공격자는 사용자에게 특정 사이트로 접속을 유도하여, 해당 특정 사이트 접속시 사이트로
부터 악성 프로그램(Download-Trojan)을 다운받도록 한 후에 악성 프로그램
(Download-Trojan)이 제 3의 사이트로부터 추가적인 악성 프로그램(encoder32.txt)을 다
운 받은 후, 악성 프로그램(encoder32.txt)은 감염 PC의 자료를 암호화한 후 감염 PC의
사용자에게 이 사실을 알린다.
o 공격자는 사용자의 자료를 암호화 후에 감염 PC의 사용자에게 자료를 복원하려면 일정
금액을 지불하면은 자료를 복원하는 도구를 전달하겠다는 메시지를 보낸다.
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 2 -
(그림) 공격 흐름도
o 공격에 사용된 사이트
공격자는
사용자 PC의 자료를 암호화하기 위하여 특정 사이트로부터 암호화에 사용
되는 악성 코드를 다운 받도록 한다.
http://
198.173.4.18/encoder32.txt
ASN | IP | Name
14585 | 198.173.4.18 | CIFNET - CIFNet, Inc.
※ 미국의 Chicago에 위치한 ISP이며 현재 해당 사이트는 차단되었음
3. 암호화에 사용된 파일 분석
o 공격자는 198.173.4.18 사이트로부터 암호화에 사용된 파일을 사용자의 PC에 다운 받도
록 한다.
o 암호화에 사용된 파일은 encoder32.exe 이다.
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 3 -
(그림 3) 압축해제 후 정보
※ 원본 파일은 UPX로 실행 압축이 되어져 있었으며, 압축을 해제 한후의 정보임
암호화에
사용된 파일은 MS Visual C로 작성된 프로그램임
<표> 파일 정보
파일명 크기 MD5
encoder32.exe 118,784 F0DEAA5646F11DA0B2B276B4D99A6AAC
o 암호화 파일에 삽입된 공격자 정보
공격자는
사용자의 PC의 파일을 암호화한 후에 암호화된 파일의 복원을 위한 도구를
팔기 위하여 사용자가 메일을 보내도록 자신의 E-Mail 주소를 삽입하였다.
(그림) 암호화 파일에 삽입된 공격자 정보
※ 공격자의 E-Mail 주소는 : n781567@yahoo.com 이다.
o 악성 프로그램은 감염 PC에 다음과 같은 파일 Type을 가진 모든 파일에 대하여 암호화
를 한다.
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 4 -
(그림) 암호화 대상 파일 Type
pgp,
asc, db2, dbl, db, jpg, html, htm, dbf, rar, zip, rtf, txt, doc, xls
o 악성 프로그램 (encoder32.exe)은 실행되면서 다음과 같은 부분을 Registry 설정에 추가
한다.
(그림) 레지스트리 등록 정보
(그림) 레지스트리 등록 값
o 악성 프로그램은 감염 PC에서 프로그램에서 암호화를 하도록 사전에 설정된 모든 파일
을 검색하여 파일의 내용을 암호화된 내용으로 변경한다.
(그림) txt 파일의 암호화 된 내용
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 5 -
※ txt 파일의 암호화 전과 악성 프로그램에 의하여 암호화된 보기
(그림) MS WORD 파일의 암호화 된 내용
※ 악성 코드에 의한 MS WORD 암호화된 보기
o 암호화 악성 코드가 실행이 된 후에 사용자에게 자료의 복원을 위한 안내 메시지를 생
성한다.
(그림) 메시지 파일 생성
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 6 -
(그림) 메시지 파일 생성
암호화된
파일이 위치한 모든 디렉토리에 ATTENTION!!!.txt 파일을 생성한다.
(그림) 메시지 파일 내용
※ ATTENTION!!!.txt 파일에는 암호화된 복원(decoder) 도구를 구매하려면 공격자가
지정한 E-Mail 주소로 메일을 보내라는 내용이 삽입되어 있음
o 악성 코드는 감염 PC에서 악성코드가 검색한 숫자를 다음과 같은 Registry에 등록 한다.
(그림) 레지스트리 등록 값
HKKEY_
CURRENT_USERSoftwareMicrosoftSysinf
(그림) 레지스트리 등록 값
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 7 -
o 악성 코드는 감염 PC에서 모든 파일에 대한 암호화를 마친 후에 악성코드가 실행되면서
Registry에 등록한 부분을 자동으로 삭제한다.
(그림) 레지스트리 등록 내용 삭제
※ 악성 코드가 실행이 되면서 등록한 Registry 부분을 삭제
o 공격자는 감염 PC 사용자에게 암호 복원 도구 구입을 위한 지불 방법 메시지를 전달한다.
(그림) 지불 방법 메세지
o 공격에 이용된 취약점은 MS04-023 취약성을 사용하였다. 해당 취약점을 이용하는
Download-Trojan은 현재 악성 코드 유포자들 사이에서 아주 많이 사용되는 방법 중의
하나이다.
4. 결 론
o 이번에 발견된 공격 형태는 인터넷상에 일어난 새로운 공격 형태로의 발전을 의미한다고
볼 수 있다.
일상에서
일어나는 유괴에 의한 대가 지불과 비슷함
o 공격자는 이번 공격의 경험을 바탕으로 새로운 유형의 공격 방법을 만들어 향후에 사용
될 수 있음
이번
공격은 On-Line Transaction을 이용하였으며, 감염 즉시 사용자가 자료의 암호화(변형)
를 알아차릴 수가 없음
o 또한 이와 같은 공격 형태가 증가하고 있는 악성 Bot을 이용하여 설치되고 악용이 된다
면 사회적인 문제가 될 수 있음
o 이와 같은 공격 방법에 대응하기 위해서는 취약점 패치를 물론, 의심스러운 웹 사이트
KrCERT-IN-2005-10 http://www.krcert.or.kr
Ransom 웨어 사례 분석 cert@krcert.or.kr
__________________________________________________________________________________
- 8 -
방문 등을 하지 않아야 한다.
o 기업의 경우 Web Content Filtering 과 같은 보안 장비를 이용하여 악성 코드를 유포하
는 사이트를 사전에 차단하도록 하여야 한다.
o 마지막으로 이와 같은 공격방법은 향후에는 Worm, 악성 Bot, Spyware에 이식되어 일어
날수 있는 가능성이 높다고 할 수 있다.