분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Sarbloh 랜섬웨어

TACHYON & ISARC 2021. 3. 12. 15:54

Sarbloh 랜섬웨어 분석 보고서

최근 “2020년 인도 농업법에 반대하는 시위가 일어났으며 법안에 대해 반대하는 세력이 “Sarbloh” 랜섬웨어를 유포하기 시작했다. [그림 1]의 최 하단부에 기재된 힌디어인 “Khalsa Cyber Fauj” 를 해석하면칼사의 사이버 부대라는 뜻으로, 칼사(Khalsa)란 시크교도들을 가리키는 말이며 이번 법안에 가장 큰 피해를 입은 무리이다. 또한, 랜섬웨어의 이름인 “Sarbloh”는 칼사가 과거에 사용했던 검을 만들 때 사용하는 금속으로 시크교도들의 투쟁 의지를 나타낸다.

 

[그림 1] 랜섬노트 창

 

 “Sarbloh” 랜섬웨어는 피싱 메일에 악성 문서 파일을 첨부해 유포되고 있으며, 해당 문서 파일의 내부 매크로에 의해 페이로드를 다운로드하고, 실행시킨다. 실행된 “Sarbloh” 랜섬웨어는 파일을 암호화한 후 랜섬노트를 드랍한다. 드랍된 랜섬노트에는 일반적인 랜섬웨어와 달리 금전을 요구하지 않고, 인도 농업에 대한 법안을 철회하라는 내용이 담겨있다.

 

메일에 첨부된 문서 파일 내부에는 난독화 된 VBA 매크로가 존재한다. 해당 매크로는 명령 프롬프트를 이용해 페이로드를 아마존 클라우드 서버에서 다운로드하여 실행한다. 또한, 볼륨 섀도우 복사본을 삭제하여 시스템 복원이 힘들어 진다.

 

[그림 2] 악성 문서 파일 및 매크로

 

[표 1] 시스템 복원 무력화 및 파일 다운로드 명령어

 

다운로드 된 최종 페이로드인 “Sarbloh” 랜섬웨어가 실행되면 [ 2]에 해당하는 확장자의 파일이 암호화 되며 암호화된 파일명의 확장자 뒤에 “.sarbloh”가 붙는다.

[그림 3] 암호화된 파일

 

[표 2] 암호화 대상 확장자

 

그 후, 바탕화면에 “README_SARBLOH.txt”라는 이름의 랜섬노트를 생성하여 사용자에게 감염 사실을 알리고, 창을 띄워 인도 농업에 대한 법안을 철회하라는 문구와 피해 농민의 요구 조건이 충족되기 전까지 파일을 복구할 수 없다는 메시지를 보여준다.

 

[그림 4]  랜섬노트

 

 

이번 보고서에서 알아본 “Sarbloh” 랜섬웨어는 랜섬머니를 요구하지 않고, 인도 농업 법안 철회를 강력히 요구하는 메시지를 전하며 현대 사회에서 등장한 새로운 시위 방법 중 하나로 보여진다.

상기 랜섬노트에 기재된 바에 따르면 법안 철회 조건이 충족되지 않으면 복구 가능성이 없다는 메시지가 담겨있다. 이와 같이 금전을 노린 랜섬웨어와 달리 협상의 의지를 보이지 않고, 복구 가능성이 희박하거나 파괴를 목적으로 하는 랜섬웨어도 다수 존재한다. 따라서 메일에 첨부된 파일을 확인할 때 주의를 기울이는 등 보안에 신경 써서 사전에 감염되지 않도록 하는 것이 중요하다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면