Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인 PC, 기업업무 PC 등의주요파일을사용할수없도록암호화하기때문에감염시매우치명적이다. PC, 네트워크를이용하여감염및전파되기때문에동시다발적피해를유발할수있어파급력또한크다. 최근에는모바일및다수 IoT 기기까지그피해범위가확장되고있다. 일부랜섬웨어의경우국내외보안업체및연구원들에의해복호화도구가개발되어무료로공개되기도하므로감염피해발생시이를활용하여조치하는것도좋은방법이다. EQST insight 7
최근동향 과거랜섬웨어공격이불특정다수를노리던것과달리최근에는표적형, 즉기업을노리는랜섬웨어들이 증가하는추세이다. 랜섬웨어 정보유출 ( 기기정보 ) 13.8% 6.9% 다운로더 14.5% 가상통화채굴 4.1% DDoS 2.8% 키로깅 1.4% 런처 0.7% 정보유출 ( 금융정보 ) 0.7% 백도어 0.7% 드롭퍼 0.7% 기타 0.7% 정보유출 ( 계정정보 ) 22.1% 원격제어 31.0% [ 악성코드유형별비율 2 ] 전체악성코드비율중랜섬웨어는 13.8% 의비율을차지하고있다. 원격제어나다운로더와같은 해킹수단 을제외하면정보유출, 가상통화채굴과같은 해킹목적 관점에서는정보유출에이어두번째로큰수치이다. 쉽게말해해킹의주된목적중하나라고할수있다. 2019년 2분기평균몸값지급액은 2019년 1분기 12,762달러에서 36,295달러로 184% 증가했다. 도표의빨간선은복구비용, 파란선은가용성을지키지못하는기간 ( 중단시간 ) 에따른손실비용을나타낸다. 2 출처 : KISA EQST insight 8
$100,000.00 $75,000.00 $50,000.00 $25,000.00 $0.00 3/1/2019 4/1/2019 5/1/2019 6/1/2019 [2019 년 2 분기동안매일지급된랜섬웨어관련피해금액 3 ] 일반적으로랜섬웨어의몸값측정은그대상의자본수준과직접적인연관이있다. 요구하는몸값에비해적은자본을가진피해자는복구시도자체를포기하기때문이다. 따라서평균몸값지급액의증가는랜섬웨어의공격대상이기업위주로선정되고있는것으로해석된다. 그렇다면실제로는어떠한사례가존재할까? 다음은 KISA에서 2019년에공개한랜섬웨어사례들이다. - WebLogic Server 취약점 (CVE-2019-2725) 을악용하여원격랜섬웨어 (sodinokibi) 실행 - 중앙관리서버 (AD 서버 ) 에침투하여관리서버에연결된시스템에랜섬웨어 (Clop) 를삽입 [ 랜섬웨어피해사례 ] WebLogic 취약점공격의경우 WebLogic Port들에대한스캐닝을통해취약점이존재하는서버를찾는다. 이는불특정다수에대한공격으로도보일수있으나 WebLogic 은기업이주로이용하는미들웨어이다. 두번째사례는진정한표적형랜섬웨어라고볼수있다. 개인보다상대적으로가치가큰데이터들을가지고있는기업에서큰몸값을얻어내기위하여공격자는스피어피싱을통한내부망접근및주요관리서버탈취후랜섬웨어를삽입했다. 기업에대한랜섬웨어공격은기업이백업을잘수행하여복구가가능하다고하더라도복구기간동안서비스제공에차질을줄수있다. 때문에서비스가용성이중요한기업에서는돈을주고서라도빠르게복구하려는경향이있다. 따라서해커들은이런점을약점으로여겨향후에도기업을표적으로하는랜섬웨어공격을더욱빈번히시도할것으로보인다. 3 출처 : www.covewave.com EQST insight 9
Paradise CryptoMix 1.1% 1.1% Sodinokibi Dharma 12.5% 13.6% Mr.Dec 2.3% GandCrab 10.2% Phobos 17.0% IEncrypt 3.4% Globelmposter2.0 2.3% Rapid 3.4% Matrix 1.1% Ryuk 23.9% [2019 년 2 분기랜섬웨어유형 ] 위통계처럼랜섬웨어는매우다양하게분류된다. 이번보고서에서다루는 WannaCryFake 랜섬웨어는 Phobos 랜섬웨어의변종으로마치 WannaCry 랜섬웨어인것처럼위장하는특징을가지고있다. Phobos 랜섬웨어는위와같이가장널리퍼진랜섬웨어유형중하나다. EQST insight 10
감염시나리오 Victim s PC Hacker HTML Malicious webpage 4 5 Browser 취약점 유발 악성파일 Internet! Browser 다운로드 요청 C&C Server 1 Exploit Kit으로악성 Script 삽입 EXE 6 Malware 악성파일 WWW. 3 다운로드 Ad 7 백신 강제 종료악성페이지로 Advertise Banner Redirect Victim 2 8 $ 광고페이지 접근 Vaccine 설치 Ransomware [ 피해시나리오 ( 불특정다수 )] 1 Exploit Kit 을통해정상웹페이지에있는광고배너에악성 Script를삽입한다. - Exploit Kit : 특정취약점에대한공격을자동화한도구 2 피해자는악성광고배너가존재하는페이지에접근한다. 3 피해자는광고배너에존재하는악성 Script에의해악성웹페이지로 Redirect 된다. - Redirect : URL 요청을다른 URL로넘겨주는행위 4 악성페이지에존재하는 피해자 Browser 의취약점을유발하는코드 를실행한다. 5 취약점에의해 C2 서버로부터의악성파일다운로드를요청하게된다. 6 C2 서버로부터악성파일다운로드후실행한다. 7 랜섬웨어설치를막는백신들을종료시킨다. 8 랜섬웨어를설치후동작시킨다. EQST insight 11
VDI Network Hacker 1 피싱메일 송신 VDI PC 실행 2 4 3 EXE SMB VDI PC Pool 생성스캐닝 $ 악성 Ammyy 8 랜섬웨어 배포매크로문서 RAT 5 침투 7 Cobalt Strike AD Server 실행 C&C Remote 6 Reverse Connection [ 피해시나리오 ( 표적형 )] 1 표적을속일만한피싱메일을송신한다. 2 피해자는 VDI PC에서피싱메일에포함된 악성매크로가포함된문서 를실행한다. 3 악성매크로에의해 Ammyy RAT 가생성되고, 해커는해당시스템의제어권을가지게된다. - Ammyy RAT : 원격에서해당시스템을관리자처럼이용하게해주는악성도구중하나 4 SMB 스캐닝을통해네트워크망을파악한다. - SMB : 윈도 OS에서파일이나디렉터리및주변장치들을공유하는데사용되는프로토콜 ( 메시지규약 ) 5 AD 서버를발견한뒤취약점또는무차별대입공격을통해서버를장악한다. - AD 서버 : 도메인 ( 관리자가설정한그룹 ) 에연결된시스템들의인증과디렉터리서비스등을관리하는서버 6 AD 서버에서해커와 Reverse Connection 을맺는다. 7 Cobalt Strike 를이용하여도메인계정탈취등의랜섬웨어배포를위한준비를한다. - Cobalt Strike : 시스템침투테스터를위한다양한기능을가진도구 8 AD서버를이용하여랜섬웨어를네트워크망에배포한다. EQST insight 12
복호화도구소개 랜섬웨어의종류가증가함에따라복호화도구도다양하게공개되어있다. 우선복호화도구를사용하기위해서는감염된랜섬웨어의종류와버전확인이필수적이다. Malwarehunterteam 페이지를이용하면감염랜섬웨어의종류및정보의확인이가능하다. (URL : https://id-ransomware.malwarehunterteam.com) [ 감염랜섬웨어확인 ] EQST insight 13
한국랜섬웨어침해대응센터 에는국내외보안업체에서공개한복호화도구가소개되어있다.) (URL : https://www.rancert.com/bbs/bbs.php?page=1&bbs_id=rest&part=&keyword= ) 등록일 제목 2019-02-20 Gandcrab v1, v4, v5.2 Decryptor 2018-10-29 Gandcrab v1, v4, v5.0.3 Decryptor 2017-06-09 Avast_Decryptor_CrySiS Decryptor 2017-04-20 TeslaCrypt Decryptor 2017-04-20 Xorist Decryptor 2017-04-19 Shade Decryptor 2017-04-12 Scatter Decryptor 2017-04-12 WildFire Decryptor 2016-12-28 Rannoh Decryptor 2016-12-13 Rakhni Decryptor 2016-09-12 crypto Decryptor 2016-06-14 CryptXXX3.0 Decryptor 2016-05-20 TeslaCrypt Decryptor 2016-05-16 CryptXXX2.0(.crypt) Decryptor 2016-04-29 CryptXXX(.crypt) Decryptor 2016-04-12 Crypted Decryptor 2016-02-02 TeslaCrypt2.2(.ccc,.vvv) Decryptor(Bitcoin) 2016-01-25 TeslaCrypt2.2(.ccc,.vvv) Decryptor(AES key) EQST insight 14
그외국내기관중에는한국인터넷진흥원 (KISA) krcert 사이트에랜섬웨어복호화도구가소개되어있으며, 해외사이트로는노모어랜섬 (no more ransom) 에복호화도구가한국어로정리되어있다. - krcert : http://www.krcert.or.kr/ransomware/recovery.do - 노모어랜섬 : http://www.nomoreransom.org/ko/index.html 최근에는 WannaCryFake 랜섬웨어의복호화도구가공개되었다. 하지만개발회사에서는공개된복호화도구가해당랜섬웨어에대응하여모든파일을복구할수있다는보증을하진않는다. 그리고복호화과정에서오류가발생할시해당파일에대해선영원히복구가불가능하다. 이에본리포트에서는복호화도구의검증을위해복원성공률등을테스트하였다. 감염증상 보통의랜섬웨어와같이 WannaCryFake 랜섬웨어도랜섬노트, 확장자를통해쉽게감염여부를확인할수 있다. 실행시암호화를진행하며암호화여부와관계없이대부분의파일확장자를 WannaCry 로변경한다. [ 확장자변경 ] EQST insight 15
암호화동작및파일확장자변경작업을완료하면, Info.hta 라는이름의랜섬노트파일을생성한다. 생성된 파일은사용자가감염사실을인지할수있도록윈도우창형태로출력된다. [ 랜섬노트 ] 소스코드분석 WannaCryFake 랜섬웨어는.Net FrameWork 4 버전이상의실행환경을요구하는 C# 프로그래밍언어로 작성된악성코드이다. 악성코드파일속성은 Windows Defender 처럼보이도록설정되어있는것으로 확인된다. [ 파일정보 ] 실행시드라이브, 공유폴더등시스템정보를확인하여암호화할대상을특정한다. 이때암호화에필요한 확장자및암호화에필요한키를설정한다. 암호화키는내부의고정된특정데이터를이용해 SHA-256 해시 EQST insight 16
알고리즘을사용하여생성한다. 설정이완료되면사용자의파일에대하여암호화진행및파일의확장자를 변경한다. [ 키생성 ] 생성한키를이용하여암호화및파일의확장자를변경한다. [ 암호화및확장자변경 ] [ 파일암호화코드 ] EQST insight 17
암호화대상파일확장자는총 650 개로다음과같다. 해당확장자를제외한파일의경우파일명만변경되고 암호화는진행되지않는다. 실행파일역시암호화대상에서제외된다. 그러나확장자변경으로인해 정상적으로실행되지않아시스템구동에문제가발생할가능성도있다..csv.efx.sdf.vcf.xml.ses.rar.zip.7zip.jpg.jpeg.raw.tif.gif.png.bmp.3dm.max.accdb.db.dbf.mdb.pdb.s ql.dwg.dxf.c.cpp.cs.h.php.asp.rb.java.jar.class.py.js.aaf.aep.aepx. plb.prel.prproj.aet.ppj.psd.indd.indl.indt.indb.inx.idml.pmd.xqx.xqx.ai.eps.ps.svg.swf.fla.as3.as.txt. doc.dot.docx.docm.dotx.dotm.docb.rtf.wpd.wps.msg.pdf.xls.xlt.xlm.xlsx.xlsm.xltx.xltm.xlsb.xla.xla m.xll.xlw.ppt.pot.pps.pptx.pptm.potx.potm.ppam.ppsx.ppsm.sldx.sldm.wav.mp3.aif.iff.m3u.m4u. mid.mpa.wma.ra.avi.mov.mp4.3gp.mpeg.3g2.asf.asx.flv.mpg.wmv.vob.m3u8.mkv.1cd.3dm.3ds.3 fr.3g2.3gp.3pr.7z.7zip.aac.aaf.ab4.accdb.accde.accdr.accdt.ach.acr.act.adb.adp.ads.aep.aepx.aes. aet.agdl.ai.aif.aiff.ait.al.amr.aoi.apj.apk.arch00.arw.as.as3.asf.asm.asp.aspx.asset.asx.atr.avi.awg.b ack.backup.backupdb.bak.bar.bay.bc6.bc7.bdb.bgt.big.bik.bin.bkf.bkp.blend.blob.bmd.bmp.bpw.b sa.c.cas.cdc.cdf.cdr.cdr3.cdr4.cdr5.cdr6.cdrw.cdx.ce1.ce2.cer.cfg.cfr.cgm.cib.class.cls.cmt.config.c ontact.cpi.cpp.cr2.craw.crt.crw.cs.csh.csl.css.csv.d3dbsp.dac.dar.das.dat.dazip.db.db0.db3.dba.dbf.dbx.db_journal.dc2.dcr.dcs.ddd.ddoc.ddrw.dds.der.des.desc.design.dgc.dir.dit.djvu.dmp.dng.doc.d ocb.docm.docx.dot.dotm.dotx.drf.drw.dtd.dwg.dxb.dxf.dxg.easm.edb.efx.eml.epk.eps.erbsql.erf.e sm.exf.fdb.ff.ffd.fff.fh.fhd.fla.flac.flf.flv.flvv.forge.fos.fpk.fpx.fsh.fxg.gdb.gdoc.gho.gif.gmap.gray. grey.groups.gry.gsheet.h.hbk.hdd.hkdb.hkx.hplg.hpp.htm.html.hvpl.ibank.ibd.ibz.icxs.idml.idx.iff.iif.iiq.incpas.indb.indd.indl.indt.inx.itdb.itl.itm.iwd.iwi.jar.java.jnt.jpe.jpeg.jpg.js.kc2.kdb.kdbx.kdc.key.kf.kpdx.kwm.laccdb.layout.lbf.lck.ldf.lit.litemod.log.lrf.ltx.lua.lvl.m.m2.m2ts.m3u.m3u8.m4a.m4p. m4u.m4v.map.max.mbx.mcmeta.md.mdb.mdbackup.mdc.mddata.mdf.mdi.mef.menu.mfw.mid.m kv.mlb.mlx.mmw.mny.mos.mov.mp3.mp4.mpa.mpeg.mpg.mpp.mpqge.mrw.mrwref.msg.myd.nc. ncf.nd.ndd.ndf.nef.nk2.nop.nrw.ns2.ns3.ns4.nsd.nsf.nsg.nsh.ntl.nvram.nwb.nx2.nxl.nyf.oab.obj.o db.odc.odf.odg.odm.odp.ods.odt.ogg.oil.orf.ost.otg.oth.otp.ots.ott.p12.p7b.p7c.pab.pages.pak.p as.pat.pcd.pct.pdb.pdd.pdf.pef.pem.pfx.php.pif.pkpass.pl.plb.plc.plt.plus_muhd.pmd.png.po.pot.p otm.potx.ppam.ppj.ppk.pps.ppsm.ppsx.ppt.pptm.pptx.prel.prf.prproj.ps.psafe3.psd.psk.pst.ptx.pw m.py.qba.qbb.qbm.qbr.qbw.qbx.qby.qcow.qcow2.qdf.qed.qic.r3d.ra.raf.rar.rat.raw.rb.rdb.re4.rgs s3a.rim.rm.rofl.rtf.rvt.rw2.rwl.rwz.s3db.safe.sas7bdat.sav.save.say.sb.sd0.sda.sdf.ses.shx.sid.sidd.si dn.sie.sis.sldasm.sldblk.sldm.sldprt.sldx.slm.snx.sql.sqlite.sqlite3.sqlitedb.sr2.srf.srt.srw.st4.st5.st6.st7.st8.stc.std.sti.stl.stm.stw.stx.sum.svg.swf.sxc.sxd.sxg.sxi.sxm.sxw.syncdb.t12.t13.tap.tax.tex.tga.th m.tif.tlg.tor.txt.upk.v3d.vbox.vcf.vdf.vdi.vfs0.vhd.vhdx.vmdk.vmsd.vmx.vmxf.vob.vpk.vpp_pc.vtf.w 3x.wab.wad.wallet.wav.wb2.wma.wmo.wmv.wotreplay.wpd.wps.x11.x3f.xf.xis.xla.xlam.xlk.xll.xlm.xlr.xls.xlsb.xlsb3dm.xlsm.xlsx.xlt.xltm.xltx.xlw.xml.xqx.xxx.ycbcra.yuv.zip.ztmp [ 대상확장자 ] EQST insight 18
악성코드내부자원에는랜섬노트를작성하기위한코드가삽입되어있으며 HTML Applications(HTA) 형식으로제작되어사용자에게노출되도록한다. 랜섬노트내에는파일의암호화와비트코인의지급에대한내용이있으며특정이메일로연락하라는설명이있다. 직접이메일을보내고공격자와 XMPP을이용해대화하는방법을안내한다. - XMPP : XML 기반인터넷통신을위한오픈프로토콜 [ 랜섬노트생성 ] EQST insight 19
복호화도구검증 랜섬노트와확장자로보아 WannaCryFake 랜섬웨어로확인되면복호화도구를이용하여복구를진행할수있다. 해당도구는 NoMoreRansom 프로젝트를지원하는 Emsisoft에서제공하며아래의링크를통해다운로드할수있다. 도구의사용법도간단하게 PDF 형식으로제공하고있다. (URL : https://www.emsisoft.com/ransomware-decryption-tools/wannacryfake) [ 복호화도구사용방법 ] 해당도구를사용하면아래와같이암호화된파일에대하여복호화를진행할수있다. 도구를테스트하기 위해일반적으로사용되는문서, 인증서, 압축파일등 28 개확장자에대하여복호화를진행하였으며암호화된 모든파일이복호화가되는것이확인되었다. EQST insight 20
- 테스트확장자 txt xml java jar der cer dat png bmp jpg gif pdf pptx docx xlsx zip tar 7z iso html htm key py pyc wmv avi mp4 sql [ 복호화성공파일 ] 그리고복호화진행중일부파일에서 패딩오류, 데이터오류 2 가지형태로 Error 메시지가출력되는경우 가발생한다. [Error 메시지 ] EQST insight 21
실제해당파일을확인해보면복호화를진행하지못한것이아니라, 암호화가진행되지않고파일명및 확장자만변경된정상파일이기때문에오류가발생한것으로확인된다. [ 정상파일확인 - MZ] 실제암호화가되지않더라도확장자변경으로인해시스템에문제가발생할수있으므로주의가요구된다. [ 이름만변경된파일 ] EQST insight 22
감염조치 랜섬웨어이름, 버전, 파일확장자확인후, 감염된랜섬웨어에대한복호화도구를이용하여복호화시도. 도구이용시원본파일백업후사용권고. 복호화도구가없더라도추후배포될수있으므로감염파일별도보관권고 해커에게복구비용을지급해도해독키를수신하지못할수있음 시스템복원기능활용또는초기화 예방수칙 Windows 업데이트최신버전유지 백신프로그램설치후업데이트최신버전유지 백신프로그램실시간감시기능활성화 중요도가높은파일은별도외부저장장치에따로저장하고주기적으로백업 필요한프로그램은관련공식사이트에서만다운로드 안전하지않은사이트접속및파일다운로드이용지양 검증되지않은파일에대한다운로드및실행시, 백신점검후사용 검증되지않은이메일에포함된하이퍼링크및첨부된실행파일, 스크립트파일, 문서파일등의의심 파일실행금지 문서편집기 (Word, Excel, HWP 등 ) 의매크로기능미사용으로설정 Flash player, Adobe Reader 최신버전유지 탐색기옵션보안설정강화폴더옵션 > 보기 > 고급설정 > 알려진파일형식의파일확장자숨기기비활성화 ( 이중확장자악성코드식별 ) EQST insight 23