[랜섬웨어 분석]Yatron Ransomware 랜섬웨어 주의

Yatron Ransomware 랜섬웨어 주의

1. 개요

최근 SMB 취약점 공격 도구로 알려진 이터널블루(EternalBlue)를 사용하는 ‘Yatron 랜섬웨어’가 발견되었다. 이터널블루를 이용한 공격은 사용자가 아무런 행동을 하지 않아도, 네트워크를 통해 파일 공유 프로토콜(SMB) 취약점이 존재하는 다른 시스템을 자동으로 감염시킬 수 있고, 빠른 속도로 확산될 수 있기 때문에 사용자의 각별한 주의가 필요하다. 과거 사례로 워너크라이 랜섬웨어가 대표적인 이슈이며 이후에도 간디크랩 랜섬웨어와 국내 POS 시스템 공격에도 이터널블루 SMB 취약점이 사용되었다.
최근에 또다시 Windows SMB 취약점을 이용한 악성코드가 유포된다고 알려졌기 때문에 아직 MS 보안 패치를 하지않은 시스템의 업데이트가 필요하다.

이번 보고서에서는 이터널 블루 SMB 취약점을 이용한 Yatron 랜섬웨어에 대해 알아보고자 한다.

 

POS 시스템을 대상으로 한 ‘RtPOS’ 악성코드 감염 주의: https://isarc.tachyonlab.com/1857

네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의: https://isarc.tachyonlab.com/1673

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석: https://isarc.tachyonlab.com/1105

 

 

 

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	447,676 bytes
진단명	Ransom/W32.Yatron.447676
악성동작	파일 암호화

 

2-2. 실행 과정

해당 랜섬웨어가 실행되면 먼저 파일 암호화를 진행하고 파일명에 “.Yatron” 확장자를 덧붙인다. 암호화가 완료되면 감염사실을 알리는 팝업창을 사용자 PC 화면에 띄우고 ‘Read@My.txt’ 랜섬노트를 만든다. 이후 네트워크, P2P 파일 공유 프로그램, USB를 통한 전파를 시도한다.

 

[그림 1] Yatron 랜섬웨어의 팝업창

 

 

 

 [그림 2] ‘Read@My.txt’ 랜섬노트

 

 

 

3. 악성 동작

3-1. 프로세스 종료

랜섬웨어가 실행될 때 아래 표에 속한 특정 프로세스가 사용자 PC에서 실행 중이면 강제로 종료시킨다.

 

구분	내용
종료 대상 프로세스	ProcessHacker, procexp, apateDNS, mbamgui, mbam, AntiLogger, SbieCtrl, SpyTheSpy, SpeedGear, wireshark, IPBlocker, cports, firefox, vmware, iexplore, chrome, dnSpy, ILSpy

[표 1] 종료 대상 프로세스

 

 

3-2. 파일 암호화

‘Yatron’ 랜섬웨어는 일반적인 랜섬웨어처럼 사용자 PC의 바탕화면, ‘C:\Users\’ 등 특정 폴더를 검색하고, 확장자가 아래 표에 해당하는 경우 사용자 파일을 암호화한다.

 

구분

내용

암호화 대상 확장자

3dm, 3ds, 3fr, 3g2, 3gp, 7z, 7zip, a, acc, accdb, aet, ai, aif, ap, apk, arc, as, as3, asf, asp, aspx, asset, asx, avi, bar, bay, bc7, big, bik, bkf, blob, bmp, bsa, c, cd, cdr, cer, cfr, class, cp, cpp, cr2, crt, crw, cs, css, csv, d3dbsp, das, dat, dazip, db, db0, dba, dbf, dcr, der, des, desc, dmp, dng, doc, docb, docm, docx, dot, dotm, dotx, dox, dwg, dxf, efx, epk, eps, erf, esm, ex, ff, fla, flv, for, forge, fos, fpk, fsh, gdb, gif, gz, h, hkdb, hkx, hplg, htm, html, hvpl, ibank, ico, icxs, idml, iff, indb, indd, indl, indt, inx, itdb, itl, itm, iwi, jar, jav, java, jpe, jpeg, jpg, js, kdb, kf, lay, layout, lbf, lit, litemod, lrf, ltx, lvl, m, m2, m3u, m3u8, m4a, m4u, ma, map, max, mcmeta, md, mdb, mdbackup, mddata, mdf, mef, menu, mid, mkv, mov, mp3, mp4, mpa, mpe, mpeg, mpg, mpq, mpqge, mrw, mrwref, msg, ncf, nrw, ntl, odb, odc, odm, odp, ods, odt, ogg, orf, p7b, p7c, p12, pak, pdb, pdd, pdf, pef, pem, pfx, php, pkpass, pl, plb, pm, pmd, png, po, pot, potm, potx, ppam, ppj, pps, ppsm, ppsx, ppt, pptm, pptx, prel, prproj, ps, psd, pst, ptx, ptx, py, qdf, qic, r3d, ra, raf, rar, raw, rb, re4, rgss3a, rim, rofl, rtf, rv, rwl, sav, sb, sdf, ses, sid, sidd, sie, sis, sldm, sldx, slm, snx, sql, sr2, srf, srw, sum, svg, swf, syncdb, t12, t13, tar, tax, tg, tgz, tif, tor, txt, upk, vc, vcf, vfs0, vob, vp, vpk, vtf, w3x, wav, wb2, wm, wma, wmd, wmf, wmo, wmv, wotreplay, wpd, wpe, wpl, wps, wsh, x3f, xf, xl, xla, xlam, xll, xlm, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xlw, xml, xqx, xxx, yml, zip, ztmp ...

[표 1] 암호화 대상 확장자

 

 

 

 [그림 3] 감염된 파일

 

 

3-3. 네트워크를 통한 랜섬웨어 전파 시도

SMB(Server Message Block) 프로토콜은 같은 네트워크상에서 파일 및 폴더를 공유할 때 사용되는데, SMB 프로토콜 내에서 발견된 원격 코드 실행 취약점(MS17-010)을 이용한 공격 도구가 이터널블루-더블펄서이다. 더블펄서(DoublePulsar)는 감염된 시스템에서 추가로 악성코드를 다운 및 실행하는데 사용되는 백도어로 이터널블루와 함께 사용되었다.
아래의 코드는 이터널블루-더블펄서를 사용하려고 시도하는 코드의 일부분이다. 

 

[그림 4] 이터널블루-더블펄서 사용 시도 1

 

 

 [그림 5] 이터널블루-더블펄서 사용 시도 2

 

 

3-4. 복구 무력화

부팅 구성 데이터 편집기(bcdedit.exe)를 이용해 시동 복구를 변경하며, 시스템 백업 지점과 볼륨 섀도우를 삭제해 사용자의 복구를 막는다. 
 

 

[그림 6] 윈도우 복구 모드 비활성화 및 시스템 복원 지점 삭제 명령어

 

 

3-5. P2P 파일 공유 프로그램을 이용한 자가 전파

P2P 파일 공유 프로그램(Kazaa, Ares Galaxy, eMule 등)의 기본 폴더에 자가 복제를 해서, P2P 파일 공유 프로그램이 시작되면 클라이언트에게 자동으로 공유되어 ‘Yatron’ 랜섬웨어가 전파되도록 시도한다. 

 

 [그림 7] 자가 전파

 

 

 

4. 결론

이번 보고서에서 알아본 'Yatron' 랜섬웨어는 서비스형 랜섬웨어라는 사실을 적극적인 홍보로 알리고 있으며 SMB 취약점을 통한 네트워크 전파뿐만 아니라 p2p 파일 공유 프로그램, USB를 통해 전파 시도를 하고 있기 때문에 빠르게 유포될 수 있다. SMBv1 취약점은 ‘워너크라이 랜섬웨어’ 사태 이후로 보안 패치가 되었지만, 오랫동안 windows 업데이트를 하지 않은 시스템은 공격 대상이 될 수 있으므로 사용자의 주의가 필요하다.

사용자는 랜섬웨어에 대비하기 위해 백신 제품을 설치하고 운영체제를 항상 최신 버전으로 업데이트해야 하며 중요한 자료는 미리 백업해 두는 습관을 들이는 것이 좋다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

 [그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면