NSHC 2013. 05. 23 악성코드 분석 보고서 [ Ransomware 악성코드 ] 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있 습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코 드 입니다. 한번 감염 시 치료절차가 복잡하며, 보고서 작성 시점을 기준으로 지속 적인 피해자가 발생되고 있는 것이 확인되었습니다. 해당 악성코드에 대한 주의를 요합니다. Information Service about a new vulnerability Version 1.0 2013 Red Alert. All Rights Reserved.
목 차 1. 개 요... 3 2. 상세 분석... 4 3. 결 론... 10 4. 대응방안... 11 5. 참고자료... 13 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 1
Confidentiality Agreements 본 문서는 Red Alert 팀에서 작성한 분석 보고서로써, Red Alert 팀 허가 없이 배포 및 공유가 가능하나 수정은 금합니다. 분석 보고서는 Red Alert 팀에서 운영하는 Facebook 페이지 (https://www.facebook.com/nshc.redalert)에서 확인할 수 있습니다. Facebook 에 등록되는 분석 보고서를 포함한 이외의 자료들은 프리미엄 서비스인 isac 페이지 (https://isac.nshc.net)에서 제공 받으실 수 있습니다. facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 2
1. 개 요 사용자의 컴퓨터를 강제로 잠그고 돈을 요구하는 형태의 공격이 기승을 부리고 있습니다. 이러한 형태의 공격에 이용되는 악성코드는 Ransomware로 불리는 악성코드 입니다. 한번 감염 시 치료 절차가 복잡하며, 보고서 작성 시점을 기준으로 지속적인 피해자가 발생되고 있는 것이 확인되었 습니다. 해당 악성코드에 대한 주의를 요합니다. 악성코드 감염 시 PC가 잠금 상태가 되며, 아래와 같은 메시지를 확인할 수 있게 됩니다. 금전적 인 요구를 하고 있으며, 이에 따라 PC 잠금 상태를 해제시켜줄 수 있다는 형태의 협박 메시지 입 니다. 그림 1. 감염 증상 악성코드 명 285f5eb4.exe 파일 크기 27,136 bytes MD5 5589CBE6B00C0643041840495E34C0D9 파일 타입 exe 기 타 UPX 패킹 표 1. 악성코드 파일 정보 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 3
2. 상세 분석 악성코드는 실행 중에 특정 키 값을 가지고 복호화 하는 작업을 수행합니다. 그림 2. 복호화 수행 복호화를 마치게 되면 도메인 정보와 또 다른 키 값이 있습니다. 그림 3. 복호화 된 특정 내용 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 4
cmd.exe가 있는지 검사를 한 후 종료하게 됩니다. 그림 4. CMD 프로세스 종료 XP의 경우는 wscntfy.exe 프로세스를 종료하며, Vista 이상의 OS에서는 MSASCui.exe, MpCmdRun.exe, MsMpEng.exe, NisSrv.exe, msseces.exe를 종료합니다. 그림 5. 보안관련 프로세스 종료 %SYSTEMROOT%\system32\svchost.exe의 파일을 가지고, 일시정지 상태로 프로세스를 생성한 후 악성코드의 코드를 svchost.exe에 복사한 후 실행하게 됩니다. 그림 6. Svchost.exe 프로세스 생성 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 5
svchost.exe로 실행되면, 복호화 된 도메인과 특정 값을 이어 붙인 후 화면에 뿌려질 내용 등을 읽어옵니다. 그림 7. 추가 데이터 읽기 인터넷으로부터 읽어온 값을 복호화 합니다. 그림 8. 추가 데이터 복호화 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 6
악성코드는 자동실행, CMD, 안전모드 부팅을 방지하기 위해 레지스트리를 추가합니다. 그림 9. 레지스트리 추가 다음의 경로에 레지스트리를 추가합니다. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Key : qcgce2mrvjq91kk1e7pnbb19m52fx Value : 악성코드 경로 HKCU\SOFTWARE\Microsoft\Command Processor Key : AutoRun Value : 악성코드 경로 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Key : Shell Value : cmd.exe 표 2. 레지스트리 추가 이전에 실행된 악성코드를 확장자만 바꾼 DLL로 복사합니다. 그림 10. DLL 복사 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 7
Offline Files Menu의 InProcServer32에 기본값의 데이터를 악성코드의 DLL로 변경합니다. 그림 11. 레지스트리 변경 다음과 같은 레지스트리를 변경합니다. HKCR\CLSID\ { 750FDF0E-2A26-11D1-A3EA-080036587F03}\InProcServer32 Key : 기본값 Value : 악성코드.DLL 경로 표 3. 레지스트리 변경 악성 DLL의 CLSID를 등록 후 아래와 같은 경로에 레지스트리를 추가합니다. 그림 12. 악성 DLL 등록 다음과 같은 경로에 등록을 합니다. HKEY_CLASSES_ROOT\CLSID\{28949824-6737-0594-0930-223283753445}\InProcServer32 Key : ThreadingModel Value : Apartment Key : 기본값 Value : 악성코드.dll 경로 HKCR\*\shellex\ContextMenuHandlers\{28949824-6737-0594-0930-223283753445} 등록 표 4. 악성 DLL 등록 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 8
인터넷으로부터 받은 exe의 경고 팝업창을 없애주기 위해 Zone.Identifier의 정보를 삭제합니다. 그림 13. 보안 경고창 제거 CreateWindowEx를 통하여 컴퓨터를 차단하는 화면을 생성하며, 사용자가 다른 작업을 할 수 없 도록, 스타일을 모든 윈도우창의 최상위로 줍니다. 그림 14. 잠금화면 생성 다음은 잠금화면의 HTML의 일부 내용입니다. 그림 15. 잠금화면 HTML facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 9
3. 결 론 해외에서 주로 유포되고 있지만 국내 사용자 또한 접근 가능한 범위에서 유포되고 있으므로 감염 에 대한 주의가 반드시 요구됩니다. facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 10
4. 대응방안 복구 CD 등을 이용해 복구 콘솔로 진입을 하여, DEL 명령어를 이용하여 악성 DLL, EXE를 삭제합 니다. (악성코드의 유포경로는 알 수 없으며, 특정 경로에 자기 복제를 한다거나 하는 행동이 없습 니다. 악성코드를 실행한 위치에 그대로 있으니 해당 폴더를 찾아서 삭제하여야 합니다.) 그림 16. 복구 콘솔로 부팅 정상적으로 윈도우를 부팅하면 CMD 창만 뜨게 되며, Explorer를 입력합니다. 그림 17. Explorer 실행 해당 되는 경로에서 레지스트리 값을 삭제합니다. 그림 18. 레지스트리 삭제 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 11
해당되는 레지스트리를 삭제합니다. HKCR\*\shellex\ContextMenuHandlers\{28949824-6737-0594-0930-223283753445} HKCR\CLSID\{28949824-6737-0594-0930-223283753445} HKCU\Software\Microsoft\Command Processor - Key : AutoRun HKCU\Software\Microsoft\Windows\CurrentVersion\Run - Key : qcgce2mrvjq91kk1e7pnbb19m52fx HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - Key : Shell 표 5. 레지스트리 삭제 레지스트리를 통해 정상적인 값으로 변경합니다. 그림 19. 레지스트리 수정 Offline Files Menu의 값을 정상적인 값으로 수정합니다. HKEY_CLASSES_ROOT\CLSID\{750fdf0e-2a26-11d1-a3ea-080036587f03}\InProcServer32 - Key : (기본값) Value : C:\Windows\System32\cscui.dll로 변경 표 6. 레지스트리 수정 악성코드가 추가로 다운로드 한 파일을 삭제합니다. 그림 20. 추가 파일 삭제 facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 12
5. 참고자료 [1] VirusTotal https://www.virustotal.com facebook.com/nshc.redalert 2013 Red Alert. All Rights Reserved. 13