네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의
1. 개요
본 보고서에서 다루게 될 Satan 랜섬웨어는 비전문가도 쉽게 제작할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)이다. 서비스형 랜섬웨어란 요청에 따라 제작 또는 배포된 랜섬웨어를 의미한다. 이번 Satan 랜섬웨어는 파일 암호화뿐만 아니라 이터널 블루(EternalBlue)를 통해 네트워크 전파 기능을 수행하고 있어 각별한 주의가 필요하다.
이번 보고서에는 네트워크 전파 기능이 추가된 Satan 랜섬웨어에 대해서 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
구분 | 내용 |
파일명 | sts.exe |
파일크기 | 30,208byte |
진단명 | Ransom/W32.Satan.30208 |
악성동작 | 파일 암호화 |
2-2. 동작 방식
이번 Satan 랜섬웨어 ‘sts.exe’는 실행과 동시에 두 개의 파일을 다운로드하고 실행하여 파일 암호화 및 네트워크 전파 기능을 수행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’가 붙고 확장자가 ‘.satan’으로 변경되며, 파일 암호화가 모두 완료되면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’ 랜섬노트를 띄워 가상화폐를 요구한다.
3. 악성 동작
3-1. 악성 파일 다운로드 및 실행
‘sts.exe’ 파일 실행 시 아래와 같이 특정 IP에서 ‘ms.exe’와 ‘client.exe’ 파일을 다운로드하고 실행시킨다. 각각의 실행 인자로 사용된 ‘-piamsatancryptor’와 ‘-pabcdefghijklmn’는 실행하는데 필요한 암호로 사용된다.
![[그림 1] 파일 다운로드 및 실행 코드](https://t1.daumcdn.net/cfile/tistory/9957464C5AF1377901)
[그림 2] 다운로드 후 실행된 ‘ms.exe’와 ‘client.exe’
3-2. 네트워크 통한 랜섬웨어 전파 시도
랜섬웨어 네트워크 전파를 위해 SMB 프로토콜 취약점 공격 도구인 이터널 블루를 사용하는데 이번 Satan 랜섬웨어에서 ‘ms.exe’ 파일이 그 동작을 수행한다. 아래 그림은 네트워크를 통해 랜섬웨어 전파를 시도하는 모습이다.
![[그림 3] 랜섬웨어 네트워크 전파 시도](https://t1.daumcdn.net/cfile/tistory/9915224C5AF137C70A)
3-3. 파일 암호화
다운로드 후 실행된 ‘client.exe’는 지정된 확장자 파일을 대상으로 암호화를 진행한다. 암호화된 파일은 원본 파일명 앞에 ‘[satan_pro@mail.ru]’를 붙이고 확장자를 ‘.satan’으로 변경한다. 아래 암호화 대상 확장자 및 암호화된 파일에 대한 화면이다.
|
구분 |
내용 |
|
암호화 대상 확장자 |
.asm, .asp, .aspx, .bak, .bat, .conf, .cpp, .cs, .dbf, .dmp, .doc, .docx, .frm, .inc, .ini, .jsp, .ldf, .mdf, .myd, .myi, .php, .ppt, .py, .rar, .sh, .sql, .txt, .vbs, .xls, .xlsx... |
[표 1] 암호화 대상 확장자 목록
![[그림 4] 암호화된 파일](https://t1.daumcdn.net/cfile/tistory/994C434D5AF138011A)
또한, 아래와 같은 문자열을 포함하는 폴더 이름의 경우 암호화를 진행하지 않는다.
|
구분 |
내용 |
|
화이트 리스트 문자열 |
windows, python2, python3, microsoft games, boot, i386, ST_V22, intel, dvd maker, recycle, jdk, lib, libs, all users, 360rec, 360sec, 360sand, favorites, common files, internet explorer, msbuild, public, 360downloads, windows defen, windowsmail, windows media pl, windows nt, windows photo viewer, windows sidebar, default user |
[표 2] 화이트 리스트 폴더 문자열
파일 암호화를 모두 완료하면 한국어, 영어, 중국어로 작성된 ‘_How_to_decrypt_files.txt’라는 이름의 랜섬노트 파일을 실행시킨다. 랜섬노트에는 파일 복구를 조건으로 3일 이내 0.3 비트코인 지불을 요구하는 내용이 담겨있다.
![[그림 5] 랜섬노트 ‘_How_to_decrypt_files.txt’의 내용](https://t1.daumcdn.net/cfile/tistory/9970564A5AF1384230)
4. 결론
![[그림6] TACHYON Internet Security 5.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/992B0A4C5AF138670B)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| 진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정 (0) | 2018.05.21 |
|---|---|
| 새롭게 발견된 Spartacus 랜섬웨어 감염 주의 (0) | 2018.05.17 |
| 갠드크랩(GandCrab) 랜섬웨어 버전업되어 유포, 감염 주의 (0) | 2018.04.26 |
| 특정 게임을 플레이하면 파일을 복구해주는 ‘PUBG Ransomware’ 등장 (0) | 2018.04.18 |
| [악성코드 분석] Paradise 랜섬웨어 주의 (0) | 2018.04.16 |