바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의
1. 개요
최근 발견된 Cephalo 랜섬웨어는 바로가기(.lnk) 파일을 정상인 것처럼 위장하여 사용자의 실행을 유도하고 있으며, 실행 시 악성파일을 다운로드 하고 실행하여 악성 동작을 수행하는 방식을 사용하고 있다. 이러한 방식은 사용자로 하여금 의심없이 파일을 실행시킬 수 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다.
이번 보고서에서는 .ceph 감염 확장자를 사용하는 Cephalo 랜섬웨어에 대해 간략하게 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
| 구분 | 내용 |
| 파일명 | [임의의 파일명].lnk |
| 파일크키 | 3,205 bytes |
| 진단명 | - |
| 악성 동작 | 파일 다운로드 |
| 구분 | 내용 |
| 파일명 | Cephalo.exe |
| 파일크키 | 87,552 bytes |
| 진단명 | Ransom/W32.DN-Cephalo.87552 |
| 악성 동작 | 파일 암호화 |
2-2. 실행 과정
바로가기 파일이 실행되면 Poweshell을 통해 메모장을 화면에 띄우고, 악성파일을 다운로드 받아 실행시킨다. 실행된 악성파일은 파일을 암호화하고 랜섬노트를 통해 감염사실을 통보한다. 하지만 현재 다운로드 사이트가 정상적으로 연결되지 않아 실제 파일 다운로드는 되지 않는다.
3. 악성 동작
3-1. 악성 파일 다운로드 및 실행
바로가기 파일은 [그림 2]와 같이 파일 속성 정보에 명령어를 숨기고 있으며, 실행 시 [그림 3]과 같이 Base64로 인코딩된 값이 실행된다. 이후 사용자를 속이기 위해 빈 메모장을 화면에 띄우고, 특정 서버에서 악성파일을 다운로드하여 임시폴더에 파일을 저장 후 실행시킨다.
인코딩된 실행 정보 끝부분에서 Cephalo(Beta)라는 시그니처를 확인할 수 있다.
3-2. 파일 암호화
실행된 랜섬웨어는 다음 [표 1]과 같이 암호화 대상 확장자와 암호화 제외 폴더와 비교하여 파일 암호화 여부를 결정하고 암호화한다. 이후 암호화 된 파일에는 .ceph를 확장자 뒤에 덧붙이고 랜섬노트를 생성한다.
| 구분 | 내용 |
|
암호화 대상 확장자 (176 종) |
123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .PAQ, .accdb, .aes, .ai, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, dch, der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, gz, hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip |
| 암호화 제외 폴더 | Content.IE5, \\Temporary Internet Files, \\Local Settings\\Temp, \\AppData\\Local\\Temp, \\Program Files (x86), \\Program Files, \\Windows, \\ProgramData |
[표 1] 암호화 대상 목록
생성된 랜섬노트에는 해당 공격 방식이 아동 포르노를 공유하는 사람들(소아성애자)들을 대상으로 하고 있다고 밝히고 있으며, 몸값을 지불하지 않으면 해당 사용자의 정보를 국제경찰기구에 신고하겠다고 경고하고 있다. 하지만 해당 정보를 수집하고 전송하는 기능은 아직 존재하지 않으며, 단순히 협박의 의미로 보인다.
4. 결론
이번 보고서에서 알아본 Cephalo 랜섬웨어는 피해사례가 많이 알려지지 않았지만 제작자가 Beta 버전이라고 알리고 있으며, 사용자가 바로가기 파일을 실행시키도록 유도하고 있어 사용에 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신 제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석] BoooamCrypt 랜섬웨어 감염 주의 (0) | 2019.08.02 |
|---|---|
| [랜섬웨어 분석]윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 (0) | 2019.07.18 |
| [랜섬웨어 분석]RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의 (0) | 2019.06.17 |
| [랜섬웨어 분석]공유 폴더 통해 전파되는 GetCrypt 랜섬웨어 주의 (0) | 2019.05.30 |
| [랜섬웨어 분석]견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의 (0) | 2019.05.17 |