분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Maze 랜섬웨어 분석 보고서

TACHYON & ISARC 2019. 8. 26. 10:10

한국어를 사용하는 Maze Ransomware 감염 주의

 

 


1. 개요

최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다.
이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다.

 

 


2. 분석 정보

2-1. 파일 정보

 

 

2-2. 실행 과정

Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로 랜섬노트를 생성하여 공격대상자에게 감염사실을 통보한다.

 

[그림 1] 파일에서 발견된 김정은 문자열

 

 

 

3. 악성 동작

3-1. 복구 무력화

Maze 랜섬웨어 실행 시 정상적인 복구를 불가능하게 하기 위해 [그림 2]와 같이 볼륨 섀도우 복사본 삭제 명령을 실행한다. 

 

[그림 2] 볼륨 섀도우 삭제

 

 

 

3-2. 파일 암호화

이후 아래 [표1]의 암호화 제외 대상 이외에 모든 파일을 암호화하며, 바탕화면을 변경하고 랜섬노트를 생성한다.

 

[표 1] 암호화 제외 대상 목록

 

 


암호화된 파일의 확장자로 [그림 3]과 같이 임의의 확장자 명을 덧붙인다.

 

[그림 3] 암호화된 파일 목록

 

 

3-3. 바탕화면 변경 및 랜섬노트

파일 암호화 이후 감염사실을 사용자에게 알리기 위해 다음 그림과 같이 바탕화면을 변경한다.

 

[그림 4] 바탕화면 변경

 

 

생성된 랜섬노트를 확인해보면 상단에 버전 1.2임을 알리고 있으며, 이전과 다르게 문서 하단부에 한국어로 감염 사실과 암호화에 사용한 알고리즘, 복구 방법을 안내하고 있다. 

 

[그림 5] 버전 및 한국어 안내

 

 

[그림 6] 한국어로 작성된 랜섬노트 내용

 

 

3-4. 바로가기 폴더 생성

Maze 랜섬웨어 실행 시 공유폴더가 존재한다면, 두 개의 바로가기 폴더를 추가적으로 생성한다.

 

[그림 7] 바로가기 폴더 생성

 

 

바로가기 폴더에는 target.lnk 라는 파일이 존재하며 [그림 8]과 같이 IP 주소가 확인된다. 

 

[그림 8]  target.lnk

 

 

 

해당 파일 실행 시 해당 주소로 연결을 시도하며 checkmal.ico, ahnlab.ico를 생성하려 하지만 아래 그림과 같이 정상적으로 연결되지 않으며, 해당 파일은 생성되지 않는다.

 

[그림 9] 주소 연결 실패

 

 

 

[그림 10] .ico 파일 생성 시도

 

 

3-5. 원격 서버와 통신

Maze 랜섬웨어는 [그림 11]와 같이 C&C 서버로 연결을 시도하며, 현재는 대부분의 통신이 실패하지만 통신이 성공하더라도 서버로부터 추가적인 데이터가 전달되지 않고 있다.

 

[그림 11] C&C 연결 시도

 

 

4. 결론

이번 보고서에서 알아본 Maze 랜섬웨어는 기존과 다른 기능을 보유한 새로운 버전이 발견되고 있으며, 어설프지만 한국어 메시지와 김정은과 관련된 문자열을 사용하고 있어 공격자가 한국에 관심이 있는 것으로 예상되어 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 12] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 13] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능