분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의

TACHYON & ISARC 2019. 6. 17. 14:43

RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의

1. 개요

최근 Internet Explorer 취약점을 악용해 RIG Exploit Kit 공격으로 유포되는 Buran 랜섬웨어가 발견되었다고 알려진다. RIG Exploit Kit은 주로 Internet Explorer, Adobe Flash Player, Java의 보안 취약점을 악용한 악성코드 유포 도구로 이용되며, 해당 공격 도구를 이용해 사용자 PC에 Buran 랜섬웨어를 다운 및 실행시킬 수 있기 때문에 주의가 필요하다.

 

이번 보고서에서는 Buran 랜섬웨어의 악성 동작에 대해 알아보고자 한다.

 

 


2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 796,160 bytes
진단명 Ransom/W34.Buran.796160
악성 동작 파일 암호화

 

 

2-2. 유포 경로

사용자가 변조된 특정 웹 페이지에 접속하면 RIG Exploit Kit으로 리다이렉트 된다. 그리고 RIG Exploit Kit은 사용자 PC에서 Internet Explorer 취약점을 찾아내고 Buran 랜섬웨어 실행파일을 다운로드한다.

 

[그림 1] Buran 랜섬웨어 유포방식

 

2-3. 실행 과정

실행된Buran 랜섬웨어는 “%APPDATA%\microsoft\windows” 경로에 자가 복제를 하고 자동 실행 등록을 한다. 이후 암호화 대상 제외 테이블을 참조해 암호화 대상 파일을 선별하고, 대상 파일의 암호화를 진행한다. 암호화 작업이 완료된 이후에는 랜섬노트를 생성하고, 암호화 된 파일에는 특정 확장자를 덧붙인다. 또한 사용자가 시스템 복구 기능을 이용하지 못하도록 복구 무력화 시키며 원격 데스크톱과 이벤트 로그를 삭제해 자신의 흔적을 지운다.

 

[그림 2] “!!! YOUR FILES ARE ENCRYPTED !!!.TXT” Buran 랜섬노트 파일

 

 


3. 악성 동작

3-1. 자가 복제 및 자동 실행 등록

파일 암호화를 시작하기 전, 먼저 자기 자신을 “%APPDATA%\microsoft\windows” 경로에 ‘ctfmon.exe’ 파일명으로 복제하고 시스템 재부팅 시에도 자동으로 실행 될 수 있도록 Run 레지스트리에 자기 자신을 등록한다.

 

[그림 3] 자가 복제

 

 

[그림 4] 자동 실행 등록

 

 

3-2. 파일 암호화

Buran 랜섬웨어는 폴더 및 파일명, 확장자를 [표 1]와 비교하며 파일 암호화 여부를 결정한다.

 

구분 내용
암호화 제외 폴더 "windows media player", "apple computer"safari", "windows photo viewer", "windows portable devices", "windows security", "embedded lockdown manager", "reference assemblies", "windows.old", "inetpub"logs", "$recycle.bin", "$windows.~bt", "application data", "google"chrome", "mozilla firefox", "opera software", "tor browser", "common files", "internet explorer", "windows defender", "windows mail", "windows nt", "windowspowershell", "windows journal", "windows sidebar", "package cache", "microsoft help", "recycler", "windows", "c:\windows", "intel", "nvidia", "all users", "appdata", "boot", "google", "mozilla", "opera", "msbuild", "microsoft"
암호화 제외 확장자 ".cmd", ".cpl", ".com", ".dll", ".msc", ".msp", ".pif", ".scr", ".sys", ".log", ".exe", “.buran”
암호화 제외 파일 "!!! your files are encrypted !!!.txt", "boot.ini", "bootfont.bin", "bootsect.bak", "defender.exe", "desktop.ini", "iconcache.db", "ntdetect.com", "ntuser.dat.log", "unlocker.exe", "master.exe", "master.dat", "ntldr", "ntuser.dat", "ntuser.ini", "temp.txt", "thumbs.db", "unlock.exe"

[표 1] 암호화 제외 목록

 

 

암호화된 파일에는 숫자와 영문이 섞인 랜덤 값을 확장자 뒤에 덧붙이고 랜섬노트를 생성한다. 또한 암호화된 파일을 확인하면 첫 부분에는 “BURAN”이라는 특정 시그니처가 추가된 것을 확인할 수 있다.

 

[그림 5] 암호화 된 파일

 

 

[그림 6] “BURAN” 시그니처

 

 

3-3. 시스템 복구 무력화 및 로그 삭제

Buran 랜섬웨어는 사용자가 시스템 복구 기능을 이용하지 못하도록 복구 무력화시키며, 감염된 경로의 흔적을 없애기 위해 원격 데스크톱 로그와 이벤트 로그를 삭제한다. 그리고 마지막으로 자기 자신의 실행 파일을 삭제한다.

 

명령어 기능
wbadmin delete catalog -quiet 백업 카탈로그 삭제
wbadmin delete systemstatebackup 시스템 상태 백업 삭제
wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0 모든 시스템 상태 백업 삭제
wbadmin delete backup 시스템 백업 삭제
wmic SHADOWCOPY DELETE 볼륨 섀도우 복사본 삭제
vssadmin Delete Shadows /All /Quiet 
bcdedit /set {default} recoveryenabled No 윈도우 복구 모드 비활성화
bcdedit /set {default} bootstatuspolicy ignoreallfailures 윈도우 오류 복구 알림 비활성화
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f 원격 데스크톱(RDP) 로그 삭제
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
wevtutil.exe clear-log Application 이벤트 로그 비활성화 및 삭제
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

 [표 2] 시스템 복구 무력화 및 로그 삭제

 

 

 


4. 결론

이번 보고서에서 알아 본 Buran 랜섬웨어는 웹 브라우저의 취약점을 공격해 웹 서핑 도중 사용자 모르게 사용자PC를 랜섬웨어로 감염시킬 수 있기 때문에 각별한 주의가 필요하다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS사에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고, 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 중요한 자료는 별도로 백업해 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

[그림 8] TACHYON Internet Security 5.0 랜섬웨어 차단 기능