보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

쉬지 않는 랜섬웨어, 이번엔 변조된 압축 파일로!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-07-11

최근 또 다시 이력서 파일로 위장한 압축 파일(.zip)을 이용해 유포되는 랜섬웨어가 확인됐다. 그러나 기존과 달리 첨부한 압축 파일의 헤더 정보를 변조해 압축 해제 전 미리보기 시 변조된 정보가 보이도록 하는 치밀함을 더했다. 

 

이번에 확인된 랜섬웨어는 [그림 1]과 같이 제목과 첨부 파일의 이름의 글자 중 일부가 비정상적으로 보이는, 즉 일부 글자가 깨진 이메일을 통해 유포되었다. 

 

 

[그림 1] 일부 글자가 깨진 채 유포된 이메일

 

문자 인코딩 변경을 통해 해당 이메일을 확인하면 비정상적으로 보였던 일부 문자가 정상적으로 나타나는데, [그림 2]와 같이 이력서 제출과 관련된 것으로 위장한 이메일 제목과 제출자로 위장한 이름 등의 정보가 보인다. 

 

  

[그림 2] 문자 인코딩 변경을 거쳐 확인한 이메일 제목 및 첨부 파일 이름

 

그런데, 이 메일에 첨부된 압축 파일을 해제하면 헤더 오류가 발생한다. 해당 압축 파일의 헤더 정보가 변조되었기 때문이다. 이로 인해 압축 프로그램에 따라 해당 파일의 미리보기 정보가 각기 다르게 표시된다. 압축 파일을 해제하기 전에 미리보기 기능을 이용해 꼼꼼히 확인하는 사용자마저 속이기 위한 것이다.

 

[그림 3]에서 볼 수 있는 것처럼, 어떤 압축 프로그램에서는 해당 파일이 mp3 파일로 표시되지만 다른 압축 프로그램에서는 자바 스크립트 파일로 표시된다. 공격자가 해당 압축 파일의 헤더 정보를 mp3로 변경해두었기 때문이다. 

 

  

[그림 3] 압축 프로그램에 따라 다르게 표시되는 미리보기 정보

 

실제로 첨부된 파일은 난독화된 스크립트 파일(.js)로, 이 스크립트는 아래와 같은 기능을 수행하는 것으로 확인됐다.

- 특정 URL 접근

- 특정 URL에서 받은 정보를 이용해 Temp 경로에 ‘9자리 랜덤문자열.exe’ 파일 생성

- 감염 PC의 관리자 권한으로 스크립트 파일 실행(Windows Vista 이상, OS 커널 버전 NT 6/10)

- 스크립트 파일 자가 삭제 등 

 

이 난독화된 악성 스크립트가 특정 URL에서 다운로드하여 생성하는 파일은 갠드크랩 랜섬웨어로, 감염 PC의 파일을 암호화한 후 파일의 확장자를 .CRAB로 변경한다. 

 

V3 제품군에서는 최신 갠드크랩 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- JS/Obfus.S258

- Win-Trojan/Gandcrab.Exp

 

이번 사례에서 볼 수 있는 것처럼, 최근 보안에 관심이 많은 사용자들이 늘어나면서 악성코드 제작자는 공격 성공률을 높이기 위해 다양한 기법을 이용해 더욱 치밀하게 공격을 가하고 있다. 따라서 일반 사용자는 물론, 평소 악성코드 감염을 방지하기 위해 노력하는 사용자들도 각별한 주의가 필요하다. 특히 이메일 제목이나 본문, 첨부 파일에 호기심을 자극하는 내용이 있을 경우 우선 경계하는 것이 바람직하다. 

 

이와 함께 OS 및 주요 프로그램의 최신 보안 업데이트를 적용하고 V3 등 백신의 엔진 버전을 최신 상태로 유지하고 실시간 검사 기능을 이용하는 등 기본적인 보안 수칙은 반드시 지키는 것이 좋다. 

 

  • AhnLab 로고
  • ASEC 대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.