Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보한국 타겟형 랜섬웨어 크립토락커(CryptoLocker)분석-[4월23일18시최종수정]
작성일 2015-04-21 조회 7156

 

                                         

최근 국내를 타겟으로한 크립토락커가 발견되었다. 공격자는 국내를 타겟으로한 크립토락커 악성코드를 다수의 사용자에게 감염 시키기 위해 사용자의 접속수가 많은 특정 커뮤니티 사이트를 악용하였다. 
특정 커뮤니티를 통해 악성코드를 감염시키기 위한 방식으로 드라이브 바이 다운로드(Drive-by-Download) 방식을 사용하였다. 드라이브 바이 다운로드(Drive-by-Download) 방식은 사용자가 취약한 소프트웨어를 사용하는 부분을 악용하는 방식으로 공격자가 취약점코드를 삽입 후에 사용자가 공격자가 만들어 놓은 악의적인 사이트에 접속할 경우 취약점을 통해 사용자 시스템에 악성코드가 자동으로 실행되는 방식이다. 이번에 발견된 취약점 방식은 Angler Exploit Kit에서 사용하는 CVE-2015-0311 취약점을 이용한것으로 분석된다.
기존의 크립토락커의 유입경로는 이메일에 사용자의 관심을 유도는 내용과 악성코드를 삽입하여 해당 악성파일을 실행 시켜 감염되는 형태가 다수 발견되었지만, 이번에 발견된 크립토락커 악성코드는 드라이브 바이 다운로드(Drive-by-Download) 방식을 통해 유포하여 사용자의 감염 위험도를 상승 시켰다. 
 해당 크립토락커 악성코드는 사용자 시스템에 존재하는 파일을 공격자의 암호코드를 통해 파일들을 암호화 시키며, 암호화된 파일은 공격자의 개인코드에 의해 복호화 될 수 있다. 공격자는 크립토락커에 감염된 시스템을 대상으로 파일을 암호화 시킨 후 파일을 복호화 시키는 조건으로 돈을 지불하도록 요구한다. 기존과 다르게 특징적인 부분은 크립토락커는 외국에서 제작되어 국내까지 유포되는 형태로 오면서 외국어로 제작되어 있는 지불 설명서가 대다수 였지만 이번에는 한글로 제작된 지불설명서가 보여지는 부분이 특징으로 나타난다. 돈을 지불하는 설명서에 작성된 내용은 한국어 문장으로는 매끄럽지 않은 부분으로써 기존의 크립토락커 악성코드를 번역기를 통해 한국어로 변경하여 유포한것으로 보여진다.
크립토락커 악성코드는 감염 시 사용자 시스템에 존재하는 중요문서 또는 업무에 사용될 파일, 이미지 파일, 기타 파일들이 암호화 되어 공격자의 개인키가 없이는 암호화된 파일을 복구하기 힘들다.  이번에 발견된 크립토락커 악성코드에 감염을 예방하기 위해선 해당 악성코드에 감염되지 않도록 사전에 예방해야 한다.
 



1. 감염 경로
다수의 사용자가 접속하는 특정 커뮤니티 사이트에 접속한 사용자들은 아래 그림과 같은 과정을 거쳐 크립토락커 악성코드에 감염되었다.
해당 커뮤니티의 배너광고 부분이 사용자 시스템에 악성코드를 감염 시킨 경유지가 되었으며, 사용자 시스템의 취약한 Adobe 소프트웨어를 타겟으로 하는 CVE-2015-0311취약점 코드 악성파일이 네덜란드, 독일 등에 존재하는 서버로 부터 사용자 시스템에 전송된다. 
해당 악성파일에 의해 취약한 Adobe소프트웨어를 사용하는 사용자들은 크립토락커 악성코드를 다운로드 받게되어 사용자 시스템에 중요 파일들을 암호화 시키는 악영향을 주게 되었다.

 



2. 악성파일 유포 스크립트(Angler Exploit Kit CVE-2015-0311, MS14-056) 분석
국내 다수의 사용자가 이용하는 커뮤니티 사이트는 medbps.filmwedding.ro/lrvqdg2.html 파일로 연결되었다.
해당 파일은 취약점 코드가 존재하는 악성 스크립트로 연결하기 위해 frame src 코드를 사용하였다.

 


2.1 Adobe CVE-2015-0311취약점 분석
frame src (lrvqdg2.html)코드로 부터 연결(row.bottomwebsites.xyz/lattices_patted_denial_snob/92252191663180481)된 파일은 난독화 스크립트가 존재하는 악성 html 파일이다.
해당 난독화된 스크립트는 특정 루틴을 거쳐서 document.body.appendChild를 통해 Adobe 취약점 코드인 swf 파일을 실행 시키기위한 코드로 이동한다.



아래 그림은 실제 SWF 파일을 로드하는 루틴이다. 실제 SWF 파일을 얻어오는 주소는 위 그림에 존재하는 복호화 관련 루틴(vsgeXvn)을 통해 "getKoliaio(도메인) +  getTxl(파일명)메소드" 로 만들어진다.
기존에 발견된 Adobe 취약점을 이용한 악성스크립트 파일과는 달리 FlashVars를 통해 쉘코드를 파라미터로 전달하지만 이번에 발견된 난독화 스크립트에서는 getVariable 메소드를 통해서 URI로 추정되는 Base64 문자열로 전달한다.



난독화 스크립트로 부터 실행되는 플래시(swf) 파일을 분석한 결과 ApplicationDomain.currentDomain 과 Uncompress 메소드를 호출하는 취약점 코드가 존재하였다.
해당 취약점 코드는 올해 1월에 이슈가 되었던 Angler Exploit Kit으로 악성코드를 유포하는 스크립트와 유사하며, 악성코드를 유포하는 취약점 코드(CVE-2015-0311) 또한 유사한 패턴을 가지고 있는 것으로 분석된다.



분석된 취약점 코드(CVE-2015-0311)의 영향을 받는 Adobe 소프트웨어의 버전은 아래와 같으며, 해당 이하버전을 사용하고 있는 사용자들에 한하여 영향을 받는다.

- Adobe Flash Player 16.0.0.287 (Windows, Macintosh 이하 버전)
- Adobe Flash Player 13.0.0.262 (13.x 이하 버전)
- Adobe Flash Player 11.2.202.438 (Linux 이하 버전)

 

 

2.2 MS14-056 Internet Explorer Use-After-Free 취약점 분석
난독화 스크립트 안에는  Adobe 플래시 취약점 뿐만 아니라 IE 취약점도 존재하였다.
해당 난독화 스크립트는 아래 그림과 같이 사용자 브라우저의 User-Agent를 검사하여 IE 버전을 체크하는 코드가 존재하였다.




IE 버전을 체크 아래 그림과 같이 IE 취약점에 사용될 공격코드로 로드가 된다. 
디코딩된 코드를 분석한 결과 2014년에 k33n Team에서 공개한 MS14-056으로 IE의 Use-After-Free 취약점을 사용하는 코드가 존재하였다.



아래 스크립트는 k33nteam 블로그에서 공개한 PoC 스크립트이며 난독화를 해제한 스크립트와 비교해보면 해당 취약점(MS14-056)을 사용한다는 것으로 추정가능하다. 해당 블로그 게시글은 위 취약점을 이용하여 IE의 Exploit Mitigation인 Delayed Free를 우회하는 방법을 공개하였다.
http://k33nteam.org/blog-4-use-after-free-not-dead-in-internet-explorer-part-1.htm



분석된 IE 취약점 코드(MS14-056)의 영향을 받는 IE 버전은 아래 링크에서 확인 가능하다. 해당 이하 버전을 사용하고 있는 사용자들에 한하여 영향을 받는다.
- 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/MS14-056
- 영문 : http://technet.microsoft.com/en-us/security/bulletin/MS14-056

또한 분석가의 분석환경 및 악성코드 가상 환경 분석시스템, 백신 프로그램 탐지하기위해 Vmware, Vbox, Fiddler 또는 백신 프로그램의 설치파일 위치를 탐색한다.







3.한국형 랜섬웨어 크립토락커(CryptoLocker) 분석
[파일 정보]
- 파일명: HD Tune Procs.exe
- 파일크기: 229892
- Hash:  B44AEF3870C3A92D01C42E957F0410A2

해당 악성코드는 2015년 04월 13일 최근에 제작되었다.

 


해당 크립토락커 악성코드에 감염 시 아래 그림과 같은 닫혀지지 않는 CryptoLocker 이벤트 메세지 창이 나타나며,  매끄럽지 않은 한글 문장으로 암호화 된 파일에 대해 금전을 요구하는 문장을 띄운다





아래 그림과 같이 복호화 프로그램을 구입하기 위한 설명서가 작성되어 있다.

 


해당 설명서를 배포하는 서버의 위치는 불가리아에 위치 한다.




해당 악성코드에 감염 될 경우 C:WINDOWS[랜던문자열].exe 파일의 형태로 생성 시키며, 해당 악성코드가 재부팅 시 에도 동작 하기위해 시작프로그램에 등록한다.





크립토 락커 악성코드는 파일을 암호화 하기 위해 C:WINDOWSexplore.exe 파일에 인젝션 시켜 동작하며, 동작 시 사용자가 파일이 삭제되어도 인지하지 못하도록 "vssadmin.exe Delete Shadows /All /Quiet" 명령어를 사용하며, 파일을 삭제하는데 사용된다.
**https://technet.microsoft.com/en-us/library/cc788026.aspx





사용자 시스템에 감염된 크립토락커는 확장자를 기반으로 암호화 시킬 문서, 사진, 이미지 등등의 파일들을 탐색하여 암호화 시킨다. 암호화 시킬 경우 exe, dll,  chm, cmd, url, lnk, ini, tmp, log, bat, , src, msi, sys 확장자를 제외한 파일들을 ".encrypted" 문자열을 붙여 암호화 시킨다. 암호화된 파일들은 공격자의 개인키가 없이는 복호화 할 수 없다.




또한, 해당 크립토락커는 사용자 시스템에 연결되어 있는 공유폴더로 지정된 폴더까지 탐색하여 파일들을 암호화 시킨다.
** 공유폴더를 통해 해당 악성코드는 전파되지 않음
 


4.사전 예방
크립토락커 악성코드는 감염될 경우 공격자의 개인키로 사용자 시스템에 존재하는 파일을 암호화 하기 때문에 개인키를 알지 못한다면 복호화 하기 어렵다.
해당 악성코드의 유입 경로는 알수없는 이메일 또는 드라이브 바이 다운로드 방식으로 악성파일을 유포하기 때문에 백신에만 의존하지 않으며 사전에 감염되지 않도록 주의해야 한다.
사용자는 아래와 같은 내용으로 크립토락커와 같은 악성코드에  감염되지 않도록 주의하기를 권고한다.

1) 사용자 시스템의 중요 문서 또는 사진 그외 중요 파일은 지속적인 백업으로 안전하게 보관한다.
2) Windows의 업데이트를 최신버전으로 유지한다.
- MS 보안 업데이트 :http://www.update.microsoft.com/microsoftupdate/v6/vistadefault.aspx?ln=ko
3) 사용자 시스템에 사용하는 프로그램은 최신 버전을 유지하여 취약점 공격에 예방한다.
 
- Java 보안 업데이트 : https://www.java.com/ko/
- Adobe Flash 업데이트 : https://get2.adobe.com/kr/flashplayer/
- 한글 업데이트 : http://www.hancom.com/downLoad.downPU.do?mcd=001

4) 알 수 없는 메일에 첨부된 파일은 실행하지 않도록 주의한다.

 

5. Sniper 탐지
현재 Sniper APTX에서는 아래와 같은 악성파일을 탐지한다
.

한국 타겟형 램섬웨어 크립토락커와 관련된 탐지패턴은 취약점, Flash파일, 난독화코드 세가지 부분에서 추출하였다. 해당 탐지 패턴은 Case By Case로 추출한 패턴이므로 사이트 환경에 따라 오탐이 발생할 수 있다. 해당 패턴을 사용 시 적절한 탐지 정책을 수행하여야 한다.

[Snort1]
alert tcp any 80,8080 -> any any (msg:"Angler Exploit Kit-CVE-2015-0311"; flow:to_client; content:"'otunkkkdtekkxttkkt',"; content:"[('x').replace";  distance:0; content:"|2f 6b 7c 74 7c 6e 2f 67|"; distance:0; priority:1; sid:0; rev:1;)

[Snort2]
alert tcp any 80,8080 -> any any (msg:"Win32/CryptoLocker.swf"; flow:to_client; content:"|0d 0a 43 57 53|"; content:"|0d 7a be 00 00 78 9c 74 b9 59 af f3 58 92 20 76 97 ef cb fb 7d 95 99 55 99 d9 d5 d5 dd d3 53 dd 23 89 54 53 12 4b|"; distance:0; priority:1; sid:0; rev:1;)


드라이브 바이 다운로드(Drive By Download) 유형의 공격은 사용자 시스템에 백도어, 트로이목마, Banker악성코드 등 악성코드를 감염 시키기 위해 사용되는 공격유형으로 다양한 Exploit Kit 및 악성코드를 이용하여 하루 수백건이 발생하고 있다.
WINS Sniper IPS에서는 드라이브 바이 다운로드(Drive By Download) 공격 유형을 다음과 같은 패턴으로 탐지하고 있다.

[1999] Obfuscated Script Detection(NB VIP).F
[1998] Obfuscated Script Detection(NB VIP).E
[1962] SweetOrange Exploit Kit
[5902] Obfuscated Script Detection(RIG Exploit Kit)
[1915] Win32/Trojan.CryptoLocker.346112
[1905] MS IE Use-After-Free Vul(CVE-2014-1776)
[3100] MS HTTP.sys Remote Code Execution
[1976] GNU C Library gethostbyname BoF

 

 

 

 

첨부파일 첨부파일이 없습니다.
태그