보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

2017년 1분기 랜섬웨어 기상도 ‘매우 나쁨’

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-04-03

2017년 1분기 랜섬웨어 동향


안랩은 ‘2017년 보안 위협 전망 Top 5’를 통해 올해에도 랜섬웨어 위협이 더욱 고도화되고 공격 범위도 확장될 것이라고 전망한 바 있다. 2017년 1분기의 랜섬웨어 동향을 살펴본 결과, 랜섬웨어는 현 시점에서는 여전히 가장 위협적인 사이버 공격임이 분명하다. 2017년 1분기 랜섬웨어 동향과 새롭게 등장한 주요 랜섬웨어를 살펴보자.

 

 

현재 가장 위협적인 사이버 공격은 역시 랜섬웨어다. 최근 몇 년간의 발생한 랜섬웨어의 치명적인 공격으로 인해 사용자 인식과 안티 랜섬웨어 보안 기술이 발전했음에도 불구하고 그 파괴력은 여전하다. 오히려 공격 대상을 개인 PC 사용자에 그치지 않고 의료기관, 금융, 제조, 사회기반시설까지 확대하고 있다. 특히 지난 1월말 오스트리아의 한 호텔이 랜섬웨어로 인해 스마트키 시스템이 마비된 사례와 같이 네트워크로 연결된 다양한 시스템을 타깃으로 할 수 있음을 보여주고있다. 이처럼 랜섬웨어 공격이 줄어들지 않는 이유는 즉각적이고 지속적으로 금전적 이득을 가져다 주는 랜섬웨어가 사이버 공격 도구로서 유효하기 때문에 공격자 입장에서는 멈출 이유가 없는 것이다.


2017년 1분기 랜섬웨어 주요 트렌드를 정리하면 다음과 같다. 첫째, 랜섬웨어 발견 수는 지난해 동기와 비슷하지만 오히려 변종 수는 좀더 많아진 추세다. 둘째, 지난해 가장 많이 피해를 입힌 랜섬웨어인 록키(Locky)가 주춤한 반면, 케르베르(Cerber)와 스포라(Spora) 등이 강세를 보였다. 셋째, 유포 방식 측면에서는 익스플로잇 킷을 활용한 웹 취약점(Drive-by-download) 방식보다는 전통적인 악성코드 유포기법인 스팸메일 방식이 증가했다.

 

  

 

2017년 1분기 새롭게 등장한 주요 랜섬웨어를 살펴보자. 

 

로컬 드라이브에 상주하여 재감염 유도하는 랜섬웨어 스포라(Spora)

최근 몇 년간 랜섬웨어가 악성코드 제작자들의 돈벌이 수단으로 떠오르면서 수많은 종류의 랜섬웨어가 쏟아져 나왔다. 그 중에는 특정 국가나 조직 등을 겨냥해 돈을 갈취하는 특징을 보인 악성코드들도 종종 발견되었다. 이번에 발견된 스포라 랜섬웨어는 러시아와 구소련국가들을 겨냥했다.

 


 

 

이 랜섬웨어는 스팸메일을 통해 유포되었으며, 첨부파일에는 HTML 애플리케이션 파일인 HTA 파일이 포함되어 있다. HTA 파일은 웹 브라우저를 통해 실행되는 HTML 파일의 한계를 극복하기 위해 만들어진 파일 포맷이지만 다양한 스크립트 언어를 사용할 수 있고, 비교적 사용자들이 익숙한 윈도우(Windows) 실행 파일 아이콘으로 보여주기 때문에 악성코드에 많이 악용되고 있다.


이 랜섬웨어의 특징은 윈도우 볼륨 섀도우 카피를 삭제해서 윈도우 운영체제에서 제공하는 파일 백업 및 복원 기능을 무력화하여 사용할 수 없게 한다. 또한 해당 랜섬웨어에 감염되면 특정 확장자를 갖는 파일들을 모두 암호화하게 되는데, ‘*.mdb’, ‘*.sqlite’, ‘*.accdb’등의 데이터베이스 관련 파일들도 암호화한다.


특히 다른 랜섬웨어와는 다르게 파일뿐만 아니라 폴더도 감염되는데, 정상 폴더를 숨김 설정으로 변경하고 악성코드 실행 후 정상 폴더가 실행되도록 조작한다. 이는 오토런(Autorun) 악성코드에서 많이 사용하는 방법으로 윈도우에서는 기본 설정으로 폴더 옵션에서 숨긴 항목 표시에 체크 되어있지 않기 때문에 사용자가 임의로 속성을 변경하지 않는다면 폴더의 감염 사실을 알아차리기 어렵다.


일반적으로 랜섬웨어는 감염 흔적을 없애고 분석을 어렵게 하기 위하여 시스템 내 파일을 암호화하는 목적 달성 후 자가삭제한다. 하지만스포라 랜섬웨어는 로컬 드라이브에 상주하면서 사용자가 감염된 폴더를 실행할 경우 랜섬웨어가 재실행되기 때문에 해당 파일을 치료하지 않을 시 2차·3차 피해가 일어날 수 있어 주의가 필요하다.

 

애플 맥(Mac) 사용자 노리는 파일코더(Filecoder) 랜섬웨어 

‘패처(Patcher)’라는 이름으로 유포되는 맥(Mac) 랜섬웨어가 발견되었다. 이 랜섬웨어는 2016년 3월에 발견됐던 키레인저(KeRanger) 랜섬웨어와 동일하게 토렌트(Torrent)를 통해 유포된 것으로 추정되며, 안랩에서는 ‘파일코더(Filecoder)’로 명명했다.


파일코더 랜섬웨어는 패처 파일(Office 2016 Patcher/Adobe Premiere Pro CC 2017 Patcher)로 위장하여 유포되며, 실행 시 시작(Start) 버튼이 있는 투명창이 나타난다. 이 버튼을 누르면 파일의 암호화가 시작되는데, 이는 맥 운영체제 유틸리티인 파인드(find) 명령어를 통해 파일을 찾아 암호화하는 것으로 확인된다.
감염이 발생하면 지정된 폴더에 ‘README, HOW_TO_DECRYPT’ 등의 텍스트 파일들이 만들어지며 랜섬노트를 통해 비트코인을 요구한다.


여기서 특이한 점은 네트워크를 통해 공개 키를 받아 암호화하는 방식이 아닌 랜덤으로 생성된 키를 통해 zip으로 압축하는 방식을 사용한다는 점이다. 이러한 암호화 방식 때문에 공격자 또한 키를 알 수 없어 피해자가 돈을 보내더라도 복구 키를 보내줄 수 없을 것으로 보인다.

 


 


다만 실제 암호화된 파일을 확인해 보면 zip으로 압축되어 있고 비밀번호가 걸려있는 것으로 확인된다. 따라서, 암호화되기 이전의 원본파일을 가지고 있으면 크래킹 도구를 활용하여 키를 찾아 파일 복구가 가능할 수도 있다.


스팸메일이나 취약한 웹을 통해 유포되는 윈도우 기반의 랜섬웨어와는 달리 맥 랜섬웨어는 정상 파일을 위장하여 토렌트를 통해 유포되는 사례가 대부분이다. 따라서, 랜섬웨어으로 인한 피해를 최소화하기 위해서는 반드시 정품 소프트웨어를 사용하고 주기적인 데이터 백업을 생활화하는 것이 중요하다.


메이드 인 세르비아, 세르비아랜섬(SerbRansom)

과거에는 악성코드 제작자들이 자신의 존재를 악성코드에 표현하는 것을 즐겼다. 당시에는 자신의 실력을 과시를 통해 우월감을 느끼고 장난치는 것이 주된 목적이었기 때문이다. 그러나 점차 악성코드를 통한 수익 추구와 사이버 공격이 고도화되고 국제적인 갈등으로까지 확대되면서 점차 자신의 존재를 숨기는 쪽으로 바뀌었다.

 

이런 측면에서 세르비아랜섬은 최신 트렌드를 벗어났다고 할 수 있다. 물론 자신의 신원을 분명하게 드러낸 것은 아니지만, 적어도 자신의 출신과 성향은 충분히 드러났기 때문이다.

세르비아랜섬의 랜섬노트에는 “당신의 파일이 세르비아랜섬 2017에 의해 암호화되었다. 복구하겠는가? 당신의 데이터를 복화하려면 500달러를 비트코인으로 지불해야 한다(Your files has been encrypted with serbransom 2017, How to recover? To decrypt all your data you need to pay 500$ with BitCoin here)” 라고 적혀 있다. 또한 ‘.velikasrbjia’라는 표현이 있으며, 이는 세르비아어로 ‘큰 세르비아(Velika Srbjia)’라는 의미이다. 이 밖에 랜섬노트 중앙에는 세르비아 국기와 5분마다 파일이 무작위로 삭제 표시되어 있지만, 실제로는 삭제되지 않는 것으로 알려져 있다.

 


 

 

특히 랜섬노트 부분의 HTML 코드를 살펴보면 유투브(YouTube) 사이트 주소가 삽입되어 있다. 하지만 가로와 세로의 크기가 0으로 설정되어 있어 화면이 표시되지는 않는다. 그러나 해당 유튜브 사이트에 접속하면 [그림 5]와 같이 세르비아 복면을 한 해골과 소총 두 개를 이용하여 형상화한 그림을 확인할 수 있다. 또한, ‘코소보는 세르비아다’ 운동과 관련된 세르비아의 노래가 재생된다. 이러한 점으로 보아 세르비아 국가주의자에 의해 제작된 것으로 추정된다.

 


 

 

한편, 세르비아랜섬은 관련 자동화 툴도 함께 발견되었으며 프로그래밍을 할 줄 모르는 사람도 클릭 몇 번만으로 악성코드를 생성할 수 있다. 이 자동화 툴은 암호화 대상 파일, 암호화 키, 비트코인 주소, 이메일 주소, 암호화 시 추가될 확장명, 최대 암호화 사이즈를 선택할 수 있다. 또한 사용자 계정 컨트롤(UAC), 가상환경 우회, 볼륨 섀도우 카피(Volume Shadow Copy)와 같은 시스템 복구 기능 무력화, 난독화 적용 등 다양한 옵션을 선택할 수 있다.


보통 악성코드 제작자는 자신의 존재를 숨기려고 하지만 이 랜섬웨어는 자신이 세르비아 사람임을 적극적으로 드러내려는 것이 특징이다. 아직 광범위하게 유포되지 않은 것으로 보이며, 조악한 소스코드로 인해 크게 확산될 것으로 보이지는 않는다. 이러한 랜섬웨어는 대부분 스팸메일을 통해 유포되기 때문에 사용자가 조금만 주의를 기울이면 사전에 충분히 예방할 수 있다. 또한 IP 주소를 통한 국가 정보 확인은 사용자의 PC 정보를 유출하기 때문에 주의를 기울일 필요가 있다. 따라서 불필요하거나 출처가 불분명한 메일의 경우 읽지 않고 가급적 삭제하는 것이 가장 중요하다.


확장명을 변경하지 않는 헤르메스(Hermes) 랜섬웨어

헤르메스 랜섬웨어는 확장명을 변경하지 않는 것이 특징이다. 일반적인 랜섬웨어는 감염 시 확장명을 변경한다. 확장명은 랜섬노트와 함께 랜섬웨어를 브랜드화하고 제작자의 존재를 표현하는 것은 물론 사용자에게 파일이 암호화되었음을 알리는데도 상당히 효과적이다. 파일명과 확장명을 변경하지 않으면, 일반적인 컴퓨터 사용자는 랜섬웨어에 의한 것인지 컴퓨터 오류에 의한 것인지 구분하기 어렵기 때문이다. 이러한 이유로 랜섬웨어는 확장명을 변경하거나 추가하는 것이 일반적이다.

 


 


헤르메스 랜섬웨어에 감염되면 [그림 6]과 같은 창을 띄운다. 이 랜섬노트에는 복구를 위한 연락 방법이 표시되어 있으며, 복구 비용은 알려지지 않았다.


바탕화면 자료도 삭제하는 다이나 크립트(DynA-Crypt) 랜섬웨어

랜섬웨어의 악랄함은 이미 널리 알려져 있다. 사용자의 데이터를 암호화하고 돈을 요구하는 행위 자체가 악랄함 그 자체이다. 그런데 그보다 더한 악랄함을 보여주는 것이 다이나 크립트 랜섬웨어다.


다이나 크립트 랜섬웨어는 일반적인 랜섬웨어와는 다르게 64비트 실행 파일로 되어 있고, 32비트 운영 체제에서는 실행되지 않는다. 32비트 운영 체제를 사용하는 사용자가 아직 많은 편이고, 64비트 운영체제에서도 32비트 실행 파일을 이용한 랜섬웨어 감염도 가능하다. 이런 이유로 대다수의 랜섬웨어 제작자들은 32비트 실행 파일을 이 용한다. 그러나 다이나 크립트 제작자는 과감하게 64비트를 선택했다.

이 랜섬웨어가 감염되면 50달러(약 6만원)를 비트코인(BTC)으로 요구한다. 적은 돈은 아니지만 일반적인 랜섬웨어에 비하면 상당히 작은 액수다. 그리고 5분마다 무작위로 파일을 삭제한다고 되어 있다.

 


 

 

그러나 이 랜섬웨어에 감염되면 파일 암호화로 끝나는 것이 아니다. 바탕화면에 있는 파일들을 삭제한다. 실제로 바탕화면에 있던 바로가기 파일들이 모두 삭제된 것을 확인할 수 있었다. 그리고 볼륨 섀도우 카피를 삭제하여 파일 복구를 방해한다. 또한 레지스트리 수정을 통해 작업 관리자 실행을 못하도록 하여 사용자의 PC 이용을 방해한다.


여기서 끝이 아니다. 사용자 PC의 정보를 유출하는 인포스틸러(Infostealer) 기능도 포함되어 있다. 이 랜섬웨어가 유출하는 데이터는 스크린샷, 사용자 PC의 오디오 녹음, 키보드 입력 정보(키로깅), 크롬(Chrome), 파이어폭스(FireFox), 스카이프(Skype), 스팀(Steam) 등에 저장된 계정 정보 등이다.


다이나 크립트의 유포 경로는 명확하게 알려지지 않았지만, 대부분 스팸메일로 유포되는 경우가 많다. 따라서 불필요하거나 출처가 불분명한 메일은 읽지 않고 가급적 삭제하는 것이 좋다. 또한 실행하는 파일이 불필요하게 사용자 계정 컨트롤(UAC)을 요구하는 경우에는 한 번 더 생각하고 실행 여부를 결정하는 신중함이 필요하다.

 

토르(Tor)를 다운로드하는 에레보스(Erebus) 랜섬웨어 

에레보스는 토르 클라이언트를 다운로드하는 특징을 가진 랜섬웨어다.

 


 



특히 이 랜섬웨어는 사용자 계정 컨트롤(UAC)의 기능 우회를 통한 권한 상승으로 실행하는 기능도 포함하고 있어 사용자의 주의가 요구된다. 에레보스는 2016년 9월에 타 백신사에서 최초 발견한 랜섬웨어와 이름이 동일하지만, 특징은 전혀 다른 새로운 랜섬웨어다. 그러나 어떠한 방법으로 유포되고 있는지에 대해서는 알려져 있지 않다.


이 랜섬웨어가 실행되면 랜섬노트에는 감염된 파일 목록과 감염 사실을 안내하고, 복구를 위한 지불 사이트로 연결할 수 있는 버튼을 제공한다. 화면 위쪽에는 ‘에레보스(EREBUS)’라고 표시되어 있으며, 복구 비용으로 0.085 BTC($ 90)를 요구한다.


사회적 이슈를 악용한 트럼프락커(TrumpLocker) 랜섬웨어 

미국 트럼프 대통령을 소재로 한 트럼프락커 랜섬웨어는 파일 암호화 이후에 트럼프 대통령의 사진을 띄우며, 본인들의 공식 이메일 주소도 ‘TheTrumpLocker’라는 계정을 사용하고 있다. 또한 파일 암호화가 끝나면 바탕화면을 [그림 9]와 같이 변경한다.

 



트럼프락커의 경우 파일 암호화와 관련하여 일반적인 랜섬웨어와는 다른 특징을 가지고 있다. 확장자를 확인 후 전체 파일을 암호화할 경우에는 ‘.TheTrump-Lockerf’ 라는 확장자를 추가한다. 반면, 전체 파일 암호화가 아닌 경우에는 파일의 첫 1024바이트를 암호화하며 ‘.TheTrumpLockerp’ 확장자를 덧붙인다. 추가로 생성된 RansomNote.exe 파일은 바탕 화면에 존재하며 이 프로세스를 실행하면 트럼프 대통령의 사진을 보여준다.

 

 

이처럼 사이버 공격자들은 사회적 이슈를 소재로 하여 악성코드를 제작하여 유포하고 있다. 이러한 공격 방법은 사용자의 호기심을 자극하여, 악성코드를 실행할 확률을 좀 더 높이는 효과를 가진다. 따라서 출처를 알 수 없는 URL을 클릭하거나 첨부 파일을 실행하는 것을 주의해야 한다.


어디서 많이 들어본 이름의 말보로(Marlboro) 랜섬웨어

세계적으로 유명한 담배 회사의 이름을 이용한 말보로 랜섬웨어가 발견되었다. 말보로 랜섬웨어는 스팸메일에 워드(WORD) 포맷의 문서 파일을 첨부하여 유포하는 것으로 알려졌다. 첨부 파일을 실행하면 보호된 콘텐츠를 확인하고 수정하기 위해 MS-Word의 환경설정을 변경하라는 메시지가 출력된다. 그러나 보호된 콘텐츠는 애초에 존재하지않는다. 단지, 내부에 포함 된 악성 매크로를 실행하기 위해서 사용자를 속이기 위한 메시지일 뿐이다.

 

말보로는 첨부 파일을 열면 내부의 악성 매크로가 동작하며 무료 웹호스팅 계정을 통해 추가 EXE 파일을 다운로드하고 실행한다. 파일이 정상적으로 다운로드되면 파일을 암호화시키며 ‘웁스(oops)’라는 추가확장명이 붙는다.

 


 

 

또한 암호화된 파일이 위치하는 폴더마다 ‘_HELP_Recover_Files_.html’라는 랜섬노트 파일을 생성한다. 말보로는 복구 비용으로 0.2 BTC(약 180달러)를 요구한다. 또한 랜섬노트에는 파일들이 RSA-2048과 AES-128을 이용하여 암호화되어 있다고 언급되어 있으나 이는 거짓말이다. 실제로 이번에 발견된 말보로는 XOR 로 난독화 되어 있다. 원본 엑셀 파일에서는 0으로 채워진 부분이 8바이트 단위로 같은 문자열이 반복되는 것을 확인할 수 있다. 감염될 때마다 8바이트 문자열의 값이 변하는 것으로 보아, 암호화 키값은 8바이트 단위로 무작위로 생성하는 것으로 확인된다. 실제로 해당 8바이트의 문자열을 이용하여 다시 XOR 연산을 시도하면 원본 파일과 같은 값으로 되는 것을 확인할 수 있다. XOR 연산은 두 번 하면 원래의 값이 되기 때문이다.


스팸메일에 첨부된 악성 매크로 파일이 정상적으로 동작하면, 파일이 암호화된 이후에 복호화 툴이 생성된다. 생성되는 복호화 툴의 이름이 ‘디말보로(deMarlboro)’이다. 해당 랜섬웨어가 말보로(Marlboro)로 알려져 있는 이유는 바로 이 때문이다.

 

다시 돌아온 나부커(Nabucur) 랜섬웨어

과거 ‘오퍼레이션 글로벌 III(Operation Global III)’로 불리던 버락커(VirLocker, VirLock, VirRansom)가 2017년 새로운 버전으로 돌아왔다. 안랩에서는 이러한 유형의 랜섬웨어를 일반적으로 나부커(Nabucur)로 분류한다.

 

나부커는 최근에 스팸메일을 이용하여 대세가 된 크립토락커(CryptorLocker), 테슬라크립트(TeslaCrypt), 케르베르(Cerber)와 같이 대세 랜섬웨어는 아니지만, 이들 랜섬웨어와는 다른 특징들을 가지고 있어서 더욱 주의가 필요하다.

 

다수의 랜섬웨어의 경우에는 파일을 암호화한 후 자기 자신을 삭제하여 악성코드 흔적을 확인하는 것이 어려우며, RSA나 AES 같은 암호화 기법을 사용하여 원본 파일을 복원하려면 복호화 키가 필요하다. 하지만 나부커의 경우 인코딩한 원본 파일에 감염 코드를 추가해서 정상 파일을 변경하는 방식을 사용하며 이는 바이러스가 정상 파일을 감염시키는 방법과 유사하다.

 

나부커의 또 다른 특징은 다른 랜섬웨어와는 다르게 파일 암호화 이후, 랜섬노트 대신 스크린 락커(Screen Locker)를 이용하여 피해자가 PC를 이용하지 못하게 한다.

 




 

나부커에 암호화 이후 보여지는 스크린 락커에는 [그림 12]와 같이 불법 소프트웨어 사용 탐지로 시스템을 잠궜으며, 이를 풀기 위해서는 비트코인으로 벌금을 내라는 메시지가 포함되어 있다. 특이한 점은 한화(KRW)로 금액이 적혀 있으며 아래 [그림 13]과 같이 국내에 비트코인 입금 가능 ATM의 위치를 구글 지도로 보여준다.

 


 

 

나부커로 암호화된 파일은 다른 랜섬웨어와 달리 확장자를 exe로 변경한다. 이는 대부분의 시스템에서 폴더 설정이 알려진 파일 형식의 파일 확장자명을 숨기기로 되어 있어서 감염 이후 exe로 확장자가 변경된 암호화된 파일을 사용자가 랜섬웨어에 감염되었는지 확인이 어렵다는 것을 악용한 것으로 보인다. 또한 감염된 파일을 사용자가 인지 못하고 이동식 디스크나 메신저 등으로 다른 사용자에게 파일을 전달하면, 다른 PC도 나부커에 감염될 수 있기 때문에 주의가 필요하다.

 


지금까지 올해 1분기에 새롭게 발견된 주요 랜섬웨어에 대해 살펴보았다. 랜섬웨어를 예방하는 방법은 사용자의 주의가 가장 중요하다. 불필요하거나 출처가 불분명한 메일은 읽지 않고 가급적 삭제하는 것이 좋다. 또한, 출처가 불분명한 메일에 포함된 첨부 파일은 즉시 실행하지 않고 실행 전 백신 프로그램으로 먼저 검사하는 등의 주의가 필요하다. 더불어 업무 및 기밀문서, 각종 이미지 등 중요 데이터에 대해 서는 PC 외에 저장 장치를 이용해 주기적으로 백업해두는 것이 좋다.


현재 안랩은 V3 제품군과 지능형 위협 대응 솔루션인 MDS 제품에서 이들 랜섬웨어를 진단하고 있다.

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.