분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]WinRAR 취약점 이용하는 JNEC 랜섬웨어 주의

TACHYON & ISARC 2019. 3. 28. 17:23

WinRAR 취약점 이용하는 JNEC 랜섬웨어 주의

1. 개요

얼마 전 공개된 WinRAR 취약점(CVE-2018-20250)을 악용하여 시스템을 감염시키는 JNEC 랜섬웨어가 발견되었다. WinRAR 는 세계적으로 인기 있는 압축 프로그램이며, 이번에 발견된 취약점은 rar 확장자 파일을 압축 해제하는 것만으로도 악성 파일을 공격자가 원하는 곳에 생성할 수 있기 때문에 주의가 필요하다.

 

이번 보고서에서는 JNEC 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 GoogleUpdate.exe
파일크키 80,896 bytes
진단명 Ransom/W32.DN-JNEC.80896
악성동작 파일 암호화

 


2-2. 유포 경로

해당 랜섬웨어는 정상 파일과 함께 “.rar” 확장자로 압축되어 유포되고 있다고 알려져 있다.

 


2-3. 실행 과정

WinRAR 취약점을 이용하여 조작된 압축 파일 내부에는 깨진 이미지 파일과 함께, [그림 1]과 같이 시작 프로그램 폴더 경로로 이어지는 폴더와 “GoogleUpdate.exe” 로 위장한 JNEC 랜섬웨어 실행 파일이 포함되어 있다. 5.70 버전 이전의 WinRAR 을 이용하여 해당 압축 파일을 해제하면 오류 메시지와 함께 시작 프로그램 폴더에 JNEC 랜섬웨어 실행 파일이 생성된다. 이후 시스템에 다시 로그온할 시, JNEC 랜섬웨어가 자동으로 실행되며 시스템을 암호화하기 시작한다.

 

[그림 1] rar 압축 파일 내부의 JNEC 랜섬웨어

 

 

 


3. 악성 동작

3-1. WinRAR 취약점을 이용한 파일 드랍

악성 rar 압축 파일을 압축 해제하면 오류 메시지와 함께 시작 프로그램 폴더에 “GoogleUpdate.exe” 로 위장한 JNEC 랜섬웨어 실행 파일을 드랍한다. 이후 시작 프로그램 폴더 안의 실행 파일은 시스템 재로그온 시 자동으로 실행된다는 점을 이용하여 JNEC 랜섬웨어를 실행시킨다.

 

[그림 2] 시작 프로그램 폴더의 JNEC 랜섬웨어

 


3-2. 시스템 환경 체크 및 탐지 회피

JNEC 랜섬웨어는 본격적인 암호화 작업 전에 [그림 3]과 같이 시스템의 모델명을 체크하여 현 시스템의 가상 환경 여부를 확인하여 탐지 회피를 시도한다. 이외에도 시스템 내에 특정 파일의 존재 여부를 통해 샌드박스 환경인지 확인하며, 사용자 입력이 일정 시간 동안 없는 경우에만 암호화를 진행하는 등, 다양한 탐지 회피법을 사용하고 있다.

 

[그림 3] 시스템의 가상 환경 여부 확인

 


3-3. 파일 암호화

조건이 충족되면 본격적인 암호화 작업을 시작한다. JNEC 은 시스템을 탐색하며 마지막 접근 시간이 14일 이내이며, [표 1]의 조건을 만족하는 파일을 대상으로 암호화를 진행한다. 암호화 완료 후에는 파일명 뒤에 “.Jnec” 을 추가하여 확장자를 변경하고, 바탕화면에 “JNEC.README.TXT” 라는 이름의 랜섬노트를 생성하며 이와 같은 내용을 담은 윈도우 창을 출력하여 피해자에게 가상 화폐를 요구한다.

 

구분 내용
암호화 제외 폴더 “Windows”, “Program Files”, “VisualStudio”, “Microsoft”, “SteamLibrary”, “ProgramData”
암호화 대상 확장자 ".txt", ".doc", ".docx", ".dat", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".jpeg", ".png", ".csv", ".xml", ".psd", ".sef”

[표 1] 암호화 대상 목록

 

 

[그림 4] JNEC 랜섬웨어 감염 시 출력 윈도우

 

 


4. 결론

이번에 본 악성 파일은 JNEC 랜섬웨어를 싣고 전파되었으나 WinRAR 취약점을 이용하면 이외에도 다양한 악성 파일을 실행시킬 수 있다. 이를 예방하기 위해 WinRAR 프로그램을 최신 버전으로 업데이트하고, 압축 해제 전에 내부에 의심스러운 파일의 존재 여부를 확인하는 등의 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면



 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능