분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] TFlower 랜섬웨어 분석 보고서

TACHYON & ISARC 2019. 9. 25. 14:26

기업을 노리는 TFlower 랜섬웨어 감염 주의

 

 

 

 

1. 개요 

최근 랜섬웨어 개발자들이 기업과 정부 기관을 공격해서 막대한 돈을 번 사례가 많았기 때문에, 기업을 대상으로 하는 랜섬웨어가 많이 발견되고 있다. 그 중 TFlower 랜섬웨어는 8월 초부터 해커들이 실제 공격에 사용하기 시작한 랜섬웨어로, 기업의 원격 데스크톱 서비스(RDP)를 해킹하여 유포된다고 알려졌다. 해당 랜섬웨어는 감염 후 확장자를 변경하지 않기 때문에 사용자가 감염 여부를 인지하고 대응하는데 시간이 지연될 것으로 예상된다.
이번 보고서에는 최근에 발견 된 TFlower 랜섬웨어 대해서 알아보고자 한다.

 

 



2. 분석 정보

2-1. 파일 정보

 

 

2-2. 유포 경로

해당 랜섬웨어는 기업을 대상으로 원격 데스크톱 서비스(RDP)를 해킹해서 유포 된다고 알려졌으나, 아직 정확한 유포 경로는 밝혀지지 않았다.

 

 

 

2-3. 실행 과정

TFlower 랜섬웨어 실행 시, 해당 파일이 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에 등록한 뒤, 윈도우 볼륨 쉐도우 복사본을 삭제하여 시스템 복원 기능을 무력화 한다. 마지막으로 암호화 대상이 되는 파일을 탐색하여 암호화를 진행한다.
 

[그림1] TFlower 랜섬웨어 랜섬노트

 

 

 

 

3. 악성 동작

3-1. 자동 실행 등록

랜섬웨어가 실행되면 ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 [그림 2] 와 같이 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다.
 

[그림 2] 자동 실행 등록

 




3-2. 시스템 복원 지점 삭제

‘vssadmin.exe’ 파일을 실행하여 볼륨 쉐도우 복사본을 삭제하고 시스템 복원 기능을 마비시킨다. 또한, ‘bcdedit.exe’ 파일을 실행하여 윈도우 복구 모드와 오류 복구 알림 기능을 비활성화해서 사용자가 PC를 감염 이전 상태로 복구하는 것을 막는다.

[표 1] 시스템 복원 지점 삭제 및 윈도우 복구 모드 비활성화



 

3-3. 파일 암호화

해당 랜섬웨어는 아래 [표 2] 에 해당하는 암호화 조건에 맞는 파일을 선별한 뒤 암호화를 진행한다.

[표 2] 암호화 조건

 



 

일반적인 랜섬웨어와 다르게 암호화를 진행한 후 [그림 3] 과 같이 추가 확장자를 붙여 변경하지 않는다. 암호화가 완료된 폴더에는 ‘!_Notice_!.txt’ 라는 이름의 랜섬노트가 생성된다.
 

[그림3] 암호화 된 파일

 



 

암호화 시킨 파일을 구분하기 위해 파일을 암호화 한 후 [그림 4] 와 같이 앞부분에 ‘tflower’ 시그니처를 삽입한다.
 

[그림 4] ‘tflower’ 시그니처 삽입

 




4. 결론

이번 보고서에서 알아 본 TFlower 랜섬웨어는 현재 기업을 대상으로 유포되고 있고, 파일 암호화 후에 확장자를 변경하지 않아 감염에 대한 인지 및 대응이 지연될 것으로 예상되는 만큼 인터넷 사용에 있어 항상 주의를 기울여야 한다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.
 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면

 



 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
 

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능