[랜섬웨어 분석]8월 랜섬웨어 동향 및 Ryuk 랜섬웨어

8월 랜섬웨어 동향 및 Ryuk 랜섬웨어

1. 8월 랜섬웨어 동향

2018년 08월(08월 01일 ~ 08월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 지난달과 마찬가지로 국내에서는 GandCrab 랜섬웨어가 왕성한 활동을 보였다. 해외에서는 PGA(미국 프로 골프 협회)나 TSMC(대만 반도체 업체)등 랜섬웨어 피해를 입은 사례들이 나타났다.
8월, 신종 및 변종 랜섬웨어에 대해 알아보고, 신종 랜섬웨어인 Ryuk 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다.

1-1. 국내외 랜섬웨어 피해 사례

GandCrab 랜섬웨어 피해사례

8월 초 국내 한 보안업체를 겨냥하여 보복성 메시지를 포함했던 GandCrab 랜섬웨어는 지속적으로 버전 업 되어 최근에는 4.4 버전까지 등장했다. 유포방식도 지속적으로 변화하여 국내 대기업 및 공정거리위원회와 세무사까지 사칭하며 다양한 경로로 발견되고 있다.

TSMC(대만 반도체 업체) 랜섬웨어 피해사례

세계 최대의 반도체 제조사인 대만의 TSMC 는 WannaCry 랜섬웨어에 감염되어 공장 시스템이 마비되었다. 이 사건으로 약 2억 5천만 달러의 매출에 영향을 받았다. 이 공격은 해커의 직접적인 공격이 아니라 공급업체가 감염된 소프트웨어를 사용하여 TSMC 의 네트워크에 전파가 되었다. WannaCry 랜섬웨어는 이전에도 보잉, 르노, 혼다 등 많은 기업에 피해를 끼친 랜섬웨어 이다.

PGA(미국 프로 골프 협회) 랜섬웨어 피해사례

랜섬웨어가 미국의 기업, 정부 기관, 병원에 이어 PGA 까지 공격했다. PGA 미국 오피스 컴퓨터들이 BitPaymer 랜섬웨어에 감염되었는데, 이 랜섬웨어는 최근 알래스카의 한 마을인 Matanuska-Sysitna 를 감염시켰던 랜섬웨어 이다. BitPaymer 랜섬웨어는 인터넷에 연결 된 RDP(원격 데스크탑 서비스) 를 통해 내부 네트워크에 침입하여 접근 가능한 모든 컴퓨터들을 암호화 한다.

1-2. 신종 및 변종 랜섬웨어

MAFIA 랜섬웨어

한국 사용자를 대상으로 한 신종 랜섬웨어로 추측된다. 실제로 국내 한 보안업체 제품 서비스를 중지하는 기능을 포함하고 있고, 랜섬노트 상에 ‘고유 넘버’ 라는 문자열도 보여진다. 이 랜섬웨어는 감염 후 .MAFIA 라는 확장자를 추가한다.

Cmb Dharma 랜섬웨어

Dharma 랜섬웨어의 변종으로 암호화 후 .id-[id].email.cmb 확장자를 추가한다. 예를 들어 test.exe라는 파일은 암호화되어 test.exe.id-XXXXXXXX.[pay,emtbtc@firemail.cc].cmb가 된다. 이 랜섬웨어는 해킹된 원격 데스크톱 프로토콜 서비스(RDP)를 통해 컴퓨터를 해킹하여 수동으로 설치된다. 이 랜섬웨어를 예방하기 위해서는 원격 데스크톱 서비스를 실행하는 컴퓨터가 인터넷에 직접적으로 연결 되어 있지 않도록 설정해야한다.

Ryuk 랜섬웨어

Ryuk 랜섬웨어는 미국을 포함한 전 세계국가들에서 64만 달러 이상을 탈취했다고 알려졌다. 또한 암호화 후 ‘HERMES’ 시그니처를 삽입하고, 배치파일을 생성해서 백업파일을 삭제하는 등 몇가지 부분에 있어서 Hermes 랜섬웨어 와의 연관성이 발견 되었다.

 

2. Ryuk 랜섬웨어 분석보고서

8월 발견된 신종 랜섬웨어인 Ryuk 랜섬웨어는 전세계에 피해를 입히면서 상당한 양의 비트코인을 벌어들인 것으로 알려졌다. Ryuk 랜섬웨어 동작과 Hermes 랜섬웨어와 연관성에 대해서 알아보자.

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	393,216 bytes
진단명	Ransom/W32.Ryuk.393216
악성동작	파일 암호화

 

2-2. 유포 경로

Ryuk 랜섬웨어는 무작위로 배포되는 일반적인 랜섬웨어와 달리 APT(지능형 지속 위협) 공격을 통해 유포된다고 추측되고 있다. 이메일이나 보호 되지 않은 RDP(원격 데스크톱 프로토콜) 연결을 통해 타겟이 된 회사를 대상으로 유포된다고 추측 될 뿐 아직 정확한 유포경로는 밝혀지지 않았다.

2-3. 실행과정

해당 랜섬웨어가 실행 되면 C:\Users\Public 경로에 아래 [그림 1] 과 같이 ‘[임의의 파일명].exe’ 을 드롭한다.

 

[그림 1] 생성 된 파일

 

 

 

 

 

드롭된 파일은 현재 실행 중인 프로세스에 랜섬웨어를 인젝션하여 동작한다. 인젝션 할 프로세스는 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’ 를 제외하고 현재 실행중인 프로세스를 임의로 선택하여 정한다. 현재까지 확인 된 인젝션 대상 프로세스는 ‘taskhost.exe’, ‘dwm.exe’ ‘conhost.exe’ 등 이다. 이러한 정상 프로세스에 랜섬웨어를 인젝션 시켜, 원격 스레드를 생성 한 뒤 암호화를 진행한다.

 

[그림 2] 인젝션 할 프로세스 검색

 

 

 

 

 

 

파일 암호화를 진행하면서 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 에 레지스트리를 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 한다.

 

[그림 3] 자동 실행 등록

 

 

 

 

 

 

또한 아래 [표 1] 와 같은 프로세스 및 서비스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 좀더 수월히 진행하기 위한 동작으로 보여진다.

 

 

구분	내용
종료 대상 프로세스 목록	zoolz.exe, agntsvc.exe, ebeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, steam.exe, synctime.exe, tbirdconfig.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, xfssvccon.exe, tmlisten.exe, PccNTMon.exe, CNTAoSMgr.exe, Ntrtscan.exe, mbamtray.exe
종료 대상 프로세스 목록	\”Acronis VSS Provider\”, \Enterprise Client Service\”, \”Sophos Agent\”, \”SophosAutoUpdate Service\”, \”Sophos Clean Service\”,\”Sophos Device Control Service\”, \”Sophos File Scanner Service\”, \”Sophos Health Service\”, \”Sophos MCS Agent\”, \”Sophos MCS Client\”, \”Sophos Message Router\”, \”Sophos Safestore Service\”, \”Sophos System Protection Service\”, \”Sophos Web Control Service\”, \”SQLsafe Backup Service\”, \”SQLsafe Filter Service\”, \”Symantec System Recovery\”, \”Veeam Backup Catalog Data Service\”, AcronisAgent, AcrSch2Svc, Antivirus, ARSM, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDeviceMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, bedbg, DCAgent, EPSecurityService, EPUpdateService, EraserSvc11710, EsqShKernel, FA_Scheduler, IISAdmin, IMAP4Svc, macmnsvc, masvc, MBAMService, MBEndpointAgent, McAfeeEngineService, McAfeeFramework, McAfeeFrameworkMcAfeeFramework, McShield, McTaskManager, mfemms, mfevtp, MMS, mozyprobackup, MsDtsServer,  MsDtsServer100,  MsDtsServer110, MSExchangeES,  MSExchangeIS,  MSExchangeMGMT,  MSExchangeMTA,  MSExchangeSA,  MSExchangeSRS, MSOLAP$SQL_2008,  MSOLAP$SYSTEM_BGC,  MSOLAP$TPS,  MSOLAP$TPSAMA, MSSQL$BKUPEXEC, MSSQL$ECWDB2, MSSQL$PRACTICEMGT, MSSQL$PRACTTICEBGC, MSSQL$PROFXENGAGEMENT, MSSQL$SBSMONITORING, MSSQL$SHAREPOINT, MSSQL$SQL_2008, MSSQL$SYSTEM_BGC, MSSQL$TPS, MSSQL$TPSAMA, MSSQL$VEEAMSQL2008R2,  MSSQL$VEEAMSQL2012, MSSQLFDLauncher, MSSQLFDLauncher$PROFXENGAGEMENT, , MSSQLFDLauncher$SBSMONITORING, , MSSQLFDLauncher$SHAREPOINT, , MSSQLFDLauncher$SHAREPOINT, , MSSQLFDLauncher$SQL_2008, , MSSQLFDLauncher$SYSTEM_BGC, , MSSQLFDLauncher$TPS, , MSSQLFDLauncher$TPSAMA, MSSQLSERVER, MSSQLServerADHelper100, MSSQLServerOLAPService, MSSQL80, MSSQL57, ntrtscan, OracleClientCache80, PDVFSService, POP3Svc, ReportServer, ReportServer$SQL_2008, ReportServer$SYSTEM_BGC, ReportServer$TPS, ReportServer$TPSAMA, RESvc, sacsvr, SamSs, SAVAdminService, SAVService, SDRSVC, SepMasterService, ShMonitor, Smcinst, SmcService, SMTPSvc, SNAC, SntpService, sophossps, SQLAgent$BKUPEXEC, SQLAgent$ECWDB2, SQLAgent$PRACTTICEBGC, SQLAgent$PRACTTICEMGT, SQLAgent$PROFXENGAGEMENT, SQLAgent$SBSMONITORING, SQLAgent$SHAREPOINT, SQLAgent$SQL_2008, SQLAgent$SYSTEM_BGC, SQLAgent$TPS, SQLAgent$TPSAMA, SQLAgent$VEEAMSQL2008R2, SQLAgent$VEEAMSQL2012, SQLBrowser, SQLSafeOLRService, SQLSERVERAGENT, SQLTELEMETRY, SQLTELEMETRY$ECWDB2, SQLWriter, SstpSvc, svcGenericHost, swi_filter, swi_service, swi_update_64, TmCCSF, tmlisten, TrueKey, TrueKeyScheduler, TrueKeyServiceHelper, UI0Detect, VeeamBackupSvc, VeeamBrokerSvc, VeeamCatalogSvc, VeeamCloudSvc, VeeamDeploymentService, VeeamDeploySvc, VeeamEnterpriseManagerSvc, VeeamMountSvc, VeeamNFSSvc, VeeamRESTSvc, VeeamTransportSvc, W3Svc, wbengine, WRSVC, MSSQL$VEEAMSQL2008R2, SQLAgent$VEEAMSQL2008R2, VeeamHvIntegrationSvc, swi_update, SQLAgent$CXDB, SQLAgent$CITRIX_METAFRAME, \”SQL Backups\”, MSSQL$PROD, \Zoolz 2 Service\”, MSSQLServerADHelper, SQLAgent$PROD, msftesql$PROD, NetMsmqActivator, EhttpSrv, ekrn, ESHASRV, MSSQL$SOPHOS, SQLAgent$SOPHOS, AVP, klnagent, MSSQL$SQLEXPRESS, SQLAgent$SQLEXPRESS, wbengine, kavfsslp, KAVFSGT, KAVFS, mfefire

[표 1] 종료 대상 프로세스 및 서비스

 

 

 

 

파일 암호화 완료 후 아래 [그림 4]와 같이 ‘RyukReadMe.txt’ 라는 파일명의 랜섬노트를 실행 시켜 암호화 사실을 알리고, 복호화 방법에 대한 안내와 결제를 유도한다.

 

[그림 4] Ryuk 랜섬웨어 랜섬노트

 

 

 

 

3. Hermes 랜섬웨어 와의 연관성

3-1. ‘HERMES’ 시그니처 삽입

해당 랜섬웨어는 Hermes 랜섬웨어와 마찬가지로 파일에 대한 암호화를 진행 후 추가 확장자를 붙여 변경하지 않는다. [그림 5] 와 같이 ‘RyukReadMe.txt’ 파일명의 랜섬노트만 생성 될 뿐 다른 파일들의 확장자는 변하지 않는다.

 

[그림 5] 암호화 된 파일들

 

 

 

 

 

 

또한 암호화 시킨 파일을 구분하기 위해 파일을 암호화 한 후 [그림 6] 과 같이 뒷부분에 ‘HERMES’ 시그니처를 삽입한다.

 

[그림 6] ‘HERMES’ 시그니처 삽입

 

 

3-2. 암호화 제외 폴더 및 확장자

해당 랜섬웨어는 아래 [표 2] 에 해당하는 폴더 및 확장자에 대해서는 암호화 하지 않는다. 이 부분 또한 Hermes 랜섬웨어와 유사하다.

 

 

구분	내용
암호화 제외 폴더	AhnLab, Chrome, Mozilla, Windows, $Recycle.Bin
암호화 제외 확장자	exe, dll, lnk, ini, hrmlog

[표 2] 암호화 제외 폴더 및 확장자

 

3-3. 볼륨 쉐도우 백업파일 삭제

사용자가 PC를 감염되기 이전으로 복구하는 것을 방지하기 위해 파일 암호화 동작 후에 C:\Users\Public 경로에 ‘window.bat’ 파일을 생성하여 볼륨 쉐도우 백업파일을 삭제한다. 배치파일이 생성되는 경로나 파일명, 사용된 스크립트 내용이 Hermes 랜섬웨어와 동일하다.

 

[그림 7] 쉐도우 백업파일을 삭제하는 스크립트

 

 

 

 

4. 결론

Ryuk 랜섬웨어는 타겟형 공격을 통해 유포된다고 추측되고 있는 만큼 일반 사용자들은 상대적으로 안전할 수 있으나, 정확한 유포방법이 밝혀지지 않은 만큼 항상 주의가 요구된다. 또한 Hermes 랜섬웨어와의 연관성으로 인해 변종으로 추측되는 만큼 추후 새로운 변종이 발견될 가능성도 배제 할 수 없다. 이에 대비하여 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면