공포영화 애나벨을 모티브로 한 “Annabelle Ransomware” 유포 주의
1. 개요
최근, 애나벨이라는 공포영화를 모티브로 한 “Annabelle” 랜섬웨어가 발견 되었다. 해당 랜섬웨어에 감염이 될 경우 국내에서도 공포영화로 잘 알려진 '애나벨' 에 나오는 인형을 사용자에게 보여주어 공포심을 조장하고, 사용자 PC에 있는 파일을 암호화한다. 뿐만 아니라 사용자가 정상적으로 PC를 사용할 수 없도록 MBR까지 변조하기 때문에 사용자들의 주의를 요하고 있다.
이번 보고서에서는 “Annabelle Ransomware”에 대하여 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | Annabelle.exe |
파일크기 | 216,576 bytes |
진단명 | Ransom/W64.Annabelle.216576 |
악성동작 | 파일 암호화 |
2-2. 유포 경로
정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.
2-3. 실행 과정
애나벨 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 “.ANNABELLE ”라는 확장자를 덧붙인다. 또한, 파일 암호화가 끝나면 컴퓨터를 재부팅시키고 아래 [그림 1]과 같은 랜섬노트를 화면에 출력한다.
![[그림 1] 애나벨 랜섬노트](https://t1.daumcdn.net/cfile/tistory/9997BB475ABB47D03A)
3. 악성 동작
3-1. 파일 암호화
해당 랜섬웨어는 다른 랜섬웨어들처럼 암호화 제외 대상이나 암호화 대상 파일 테이블이 없고, 시스템 내 모든 파일을 정적 키(static key)를 이용하여 암호화 시킨다.
![[그림 2] 파일 암호화](https://t1.daumcdn.net/cfile/tistory/999B32365AB9A1E113)
3-2. 볼륨 쉐도우 복사본 삭제 및 윈도우 방화벽 해제
사용자가 PC를 감염되기 이전으로 되돌리는 것을 방지하기 위해 해당 랜섬웨어는 볼륨 쉐도우 복사본 관리 도구인 vssadmin.exe를 이용하며, 아래의 Command Line에 명령어로 기존에 생성된 볼륨 쉐도우 복사본을 모두 삭제한다.
![[그림 3] 볼륨 쉐도우 삭제](https://t1.daumcdn.net/cfile/tistory/9913163D5AB9A20E2D)
또한, 네트워크 명령 셸인 netsh.exe를 이용하여, 아래와 같은 명령어로 사용자의 윈도우 방화벽을 해제한다.
![[그림 4] 윈도우 방화벽 해제](https://t1.daumcdn.net/cfile/tistory/9939B63C5AB9A23020)
3-3. 주요 프로그램 실행 불가 및 기능 잠금
애나벨 랜섬웨어는 암호화 동작이 수행 되는 동안, 사용자가 다른 프로그램을 실행하지 못하게 아래의 [표1]의 파일의 레지스트리의 이미지 파일 실행 부분을 수정한다.
|
구분 |
내용 |
|
레지스트리 변경 대상 |
taskkill.exe, iexplore.exe, attrib.exe, Autoruns.exe, Autoruns64.exe,b bcdedit.exe, cabinet.dll,chkdsk.exe, chrome.exe, cmd.exe, control.exe, DBGHELP.exe, DCIMAN32.exe, dllhost.exe, firefox.exe, gpedit.msc,ksuser.dll,logoff.exe, microsoftedge.exe, microsoftedgecp.exe, mmc.exe, mpg4dmod.dll,MSASCuiL.exe, msconfig.exe, mspaint.exe, mydocs.dll, notepad++.exe, notepad.exe, opera.exe, powershell.exe, rasman.dll,recoverydrive.exe, rundll.exe, rundll32.exe, secpol.msc,sethc.exe, shellstyle.dll,systemexplorer.exe, taskmgr.exeurl.dll,usbui.dll,UserAccountControlSettings.exe, webcheck.dll,wmplayer.exe, yandex.exe |
[표 1] 레지스트리 변경 대상
![[그림 5] 주요 프로그램 실행 불가](https://t1.daumcdn.net/cfile/tistory/99A4383A5AB9A27229)
또한, 아래 표와 같이 하기의 레지스트리키를 생성하여 주요 기능을 잠근다.
|
구분 |
내용 |
|
기능 잠금 |
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools HKCU\Software\Policies\Microsoft\Windows\DisableCMD HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD HKCU\Software\Policies\Microsoft\DisableCMD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools HKLM\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD HKLM\SOFTWARE\Policies\Microsoft\Windows\DisableCMD HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig HKLM\SOFTWARE\Policies\Microsoft\DisableCMD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\System\DisableCMD HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\DisableCMD HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableSR HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\DisableCMD HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableAntiSpyware HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\DisableRoutinelyTakingAction HKLM\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring |
[표 2] 기능 비활성화 레지스트리 목록
![[그림 6] 작업관리자 기능 비활성화](https://t1.daumcdn.net/cfile/tistory/994A593E5AB9A2AF34)
3-4. 자동 실행 등록 및 재부팅
해당 랜섬웨어는 재부팅시 자동으로 실행될 수 있도록 레지스트리에 “UpdateBackup”이라는 이름으로 자신을 등록한다. 그리고 아래[표3] 와 같이 “shutdown.exe”를 사용하여 모든 프로세스를 종료시키고 재부팅한다.
![[그림 7] 자동 실행 등록](https://t1.daumcdn.net/cfile/tistory/999F64395AB9A2DF36)
|
구분 |
내용 |
|
Command Line |
"C:\Windows\System32\shutdown.exe" -r –t 00 -f |
[표 3] 사용자 PC 재부팅
3-5. 결제 안내
재부팅 후 해당 랜섬웨어는 사용자에게 랜섬노트를 표시한다. 또한 사용자에게 암호화된 파일을 복구하기 위한 비용으로 0.1비트코인을 요구한다. 지불을 위해 왼쪽 상단에 “Credits”버튼을 누르면 아래와 같이 창이 출력되며, 해당 랜섬웨어 개발자의 “Discord” 메신저 아이디가 적혀 있는 것을 볼 수 있다.
![[그림 8] 결제 안내](https://t1.daumcdn.net/cfile/tistory/995766445ABB484821)
3-6. MBR 변조
애나벨 랜섬웨어는 랜섬노트 속 시간이 지나면 MBR을 변조하여 강제로 재 부팅시키며, 사용자의 정상적인 부팅을 막는다. 모든 동작을 수행한 뒤 애나벨 랜섬웨어는 아래와 같은 화면을 출력한다.
![[그림 9] 변조된 MBR](https://t1.daumcdn.net/cfile/tistory/99DC4B365AB9A36A31)
4. 결론
(※ 랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)
![[그림 10] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/99E3694F5AB9A38A28)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| Hermes 랜섬웨어 변종 출현!, 초기 버전부터 변화과정 (0) | 2018.04.06 |
|---|---|
| Qwerty 랜섬웨어 감염 주의 (0) | 2018.04.04 |
| [악성코드 분석] 새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의 (0) | 2018.03.09 |
| [악성코드 분석] 게임 아이콘으로 위장한 한국어 랜섬웨어 감염 주의 (0) | 2018.02.05 |
| [악성코드 분석] 한국인 제작 추정 ‘Korean Locker’ 랜섬웨어 유포 주의 (0) | 2018.01.29 |