분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Hakbit 랜섬웨어 분석

TACHYON & ISARC 2019. 11. 7. 14:13

최근 등장한 Hakbit 랜섬웨어

 

1. 개요

금전적인 이득을 취할 수 있는 랜섬웨어가 기승을 부리는 요즘, Hakbit 랜섬웨어가 새로 발견되었다. 해당 랜섬웨어는 특정 확장자에 대하여 드라이브 아래의 모든 영역에 암호화를 실시하고, 볼륨 백업 복사본을 삭제한다. 그렇기 때문에 복구가 어렵고 시스템 손상이 클것으로 예상되어 주의가 필요하다.
이번 보고서에는 최근 발견된 Hakbit 랜섬웨어에 대해서 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

 

 

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다.


2-3. 실행 과정

해당 랜섬웨어는 실행되면 자가 복사를 하여 서비스 프로세스와 유사한 이름의 파일을 생성하고, 원본 파일은 삭제된다. 복사된 파일은 암호화 동작을 수행하기 전에 볼륨 백업 복사본을 삭제하여 복구를 어렵도록 한다. 그리고 특정 확장자 명에 대하여 암호화를 진행하고, C&C 서버에 연결하여 감염사실을 알리는 이미지를 다운로드하여 사용자의 PC 배경화면으로 등록한다. 그후, 암호화된 디렉토리 아래에 랜섬노트를 생성한다.

[그림 1] 악성동작 후 바탕화면

 

 



[그림 2] 랜섬 노트

 



3. 악성 동작

3-1. 파일 암호화

아래의 표와 같이 정보가 많은 확장자에 대하여 파일 데이터를 암호화한다.

[표 1] 암호화 대상

 

Rijndael 클래스를 통해 지정된 Key와 IV로 암호화 객체를 생성하여 암호화를 실행한다. 
 

[그림 3] 감염 파일



 

파일이 감염되면 ‘파일명.확장자.crypted’ 으로 파일명이 변경된다.
 

[그림 4] 감염 전



 

 

[그림 5] 감염 후




 

3-2. 볼륨 섀도우 삭제

하기의 그림과 같이 “vssadmin.exe Delete Shadows /all /quiet” 명령어로 볼륨 섀도 복사본을 모두 삭제하여 복구 할 수 없도록 한다.
 

[그림 6] 볼륨 섀도 복사본 삭제



3-3. 서버 연결

C&C 서버에 연결하여 사용자에게 랜섬웨어에 감염되었다는 사실을 알리는 이미지를 다운로드 받는다. 그리고 배경화면으로 지정한다.

[그림 7] 서버 연결 및 다운로드 코드

 

 



[그림 8] JPG 파일 데이터 송신

 

 

4. 결론

이번 보고서에서 알아 본 Hakbit 랜섬웨어는 파일 섀도우 복사본을 삭제하여 암호화를 실행하여 복구가 어렵도록 하기 때문에 사용자는 각별한 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하고 웹브라우저를 항상 최신 버전으로 업데이트 해야한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Endpoint Security 5.0 진단 및 치료 화면