[악성코드 분석] MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의

MBR영역을 변조하는 ‘RedBoot Ransomware’ 감염 주의

1. 개요 

일반적인 랜섬웨어는 사용자 PC의 파일을 암호화하고 이를 인질로 삼아 복호화를 조건으로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상적으로 운영체제를 사용할 수 있었다.

하지만 최근 일반적인 랜섬웨어의 동작방식과는 다른 컴퓨터 하드디스크의 MBR 코드를 변조시켜 운영체제가 정상적으로부팅하는 것을 막는 랜섬웨어인 ‘RedBoot Ransomware’가 발견되었다.

‘RedBoot Ransomware’ 에 감염되면 파일 암호화만 진행할 뿐 아니라 정상적으로 PC를 사용하지 못하기 때문에 자칫 큰 피해로 이어질 수 있으므로 사용자의 주의가 필요하다.

이번 보고서에서 MBR영역을 변조시키는 ‘RedBoot Ransomware’ 에 대해서 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	Installer.exe
파일크기	1,246,725 byte
진단명	Ransom/W32.RedBoot.1246725
악성동작	드롭퍼, 파일 암호화, 금전 요구

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스팸 메일, 웹을 통해 불특정 다수를 대상으로 유포할 것으로 추정 된다.

2-3. 실행 과정

해당 랜섬웨어 숙주파일이 실행되면 사용자 PC의 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭되어 실행 된다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고 파일 암호화가 완료되면 ‘.locked’ 확장자를 덧붙인다. 그리고 재부팅이 수행되어 정상적인 운영체제 부팅을 못하도록 한다. 

3. 악성 동작

3-1. 악성 파일 드롭

‘Redboot Ransomware’ 가 실행되면 악성동작을 하기 위해 아래와 같이 여러 악성 파일들을 사용자 “C:\Users\사용자 계정\” 경로에 임의의 숫자로 구성된 이름의 폴더를 생성 하고 다음과 같은 파일들이 드롭 되어 실행 된다.

[그림 1] 드롭 된 파일

구분	내용
assembler.exe	boot.asm 어셈블리 파일을 boot.bin 파일로 컴파일하는데 사용
boot.asm	새롭게 변경될 MBR 어셈블리 코드로 boot.bin 으로 컴파일 되어질 어셈블리 파일
main.exe	사용자 PC의 파일을 암호화하는 목적으로 사용
overwrite.exe	기존의 MBR 영역을 새로 컴파일 된 boot.bin으로 변조시킬 목적으로 사용
protect.exe	작업관리자 및 프로세스 해커와 같은 다양한 프로그램이 실행되는 것을 방지하는데 사용

[표 1] 드롭 된 파일 용도

3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행하고, 암호화가 완료되면 원본 파일명에 ‘.locked’ 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.

[그림 2] 파일 암호화

구분	내용
암호화 대상 파일 확장자	모든 확장자

[표 2] 암호화 대상 파일 확장자

3-3. MBR 코드 변조

파일 암호화뿐만 아니라 해당 랜섬웨어는 다음과 같이 MBR 영역 또한 변조하며 이 동작이 완료되면 PC를 강제로 재부팅 시킨다. 재부팅하는 PC는 변조된 MBR 코드를 실행하게 되며 사용자가 정상적인 운영체제로 부팅하지 못하도록 만든다.

[그림 3] Overwrite.exe 에서 MBR영역 변조시키는 부분

[그림 4] MBR 영역 변조 전

[그림 5] MBR 영역 변조 후

3-4. 복구 안내

파일 암호화가 완료되고 MBR 영역까지 변조가 되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있다. 이메일에 대한 답변으로 금전을 요구할 것으로 추정된다.

[그림 6] 변조 된 MBR영역 랜섬 노트

4. 결론

이번 보고서에서 알아 본 ‘RedBoot Ransomware’ 와 같이 사용자 PC의 파일을 암호화하고 더 나아가 MBR영역을 변조시키는 랜섬웨어가 첨은 아니기 때문에 특별하지 않다고 느낄 수도 있다. 

하지만 여타 랜섬웨어보다 감염 시 정상적인 운영체제로 부팅하기 어려운만큼 더 큰 피해를 줄 수 있다고 예상되기 때문에 사용자들은 출처가 불분명한 이메일이나 모르는 파일을 실행할 때 항상 주의를 기울여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림 7] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 8] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면