분석 정보/악성코드 분석 정보

우크라이나에 가해지는 위협적인 사이버 공격

알 수 없는 사용자 2022. 3. 22. 14:32

지난 2월 말, 우크라이나의 업체 및 정부 기관들을 대상으로 한 사이버 공격이 발견됐다. 공격자들은 이번 공격에 주로 와이퍼(Wiper) 악성코드를 사용해 기관들에 피해를 입혔으며, 랜섬웨어를 사용한 정황도 발견됐다. 그리고 공격에 사용된 악성코드 모두 Hermetica Digital Ltd에 발급된 코드 서명 인증서를 사용한다는 특징이 있다.

 

공격자들이 중동의 키프로스에 위치한 업체인 Hermetica Digital Ltd의 이름으로 인증서를 발급 받은 시기는 20214 13일로 [그림 1]에서 확인된다. 해당 인증서와 관련해 외신은 Hermetica 측에서 자신들은 인증서의 발급 사실도 몰랐다고 언급한 내용을 전했다. 현재, Hermetica 이름으로 발급된 인증서는 인증 기관에 의해 사용이 중지됐다.

 

[그림 1] 악성코드에 사용된 Hermetica 인증서

 

HermeticWiper 악성코드 유포 사례

HermeticWiper 악성코드는 공격 대상 환경을 손상시켜 재부팅 할 경우 정상적으로 부팅할 수 없게 한다.

                                                               

[그림 2] HermeticWiper 악성코드 실행 결과

                                                                                   

이 과정에서 [그림 3]과 같이 VBR (Volume Boot Record)을 임의의 데이터로 덮어씌운다.

 

[그림 3] HermeticWiper 실행 전 (좌), HermeticWiper 실행 후 (우)

 

이후, 메모리 덤프 파일 생성 기능과 암호화되거나 압축된 NTFS 파일을 컬러로 표시하는 옵션 및 팝업 설명 표시가 보이지 않도록 옵션을 비활성화한다.

 

[표 1] 레지스트리 등록 정보

 

추가로, 복구를 무력화하기 위해 Volume Shadow Copy Service 서비스도 비활성화한다.

 

[표 2] 서비스 변경 정보

 

HeremeticWiper 악성코드는 디스크에 대한 정보를 획득하고 조작하기 위해 정상 프로그램의 드라이버 파일을 사용한다. 이때 사용하는 파일은 [그림 4]와 같이 파티션 관리 프로그램 EaseUS Partition Master v10.1 epmntdrv.sys이다.

 

[그림 4] 악성코드에서 사용하는 EaseUS Partition Master 정상 프로그램의 드라이버 파일

 

또한, 악성코드는 드라이버 파일의 사용을 위해 리소스 섹션에 저장해둔 데이터를 운영체제 버전에 따라 읽는다. 데이터는 [그림 5]와 같으며, SZDD 형식으로 압축됐다.

-       SZDD 형식은 LZSS 알고리즘을 사용하며, MsCompress.exe를 사용해 압축할 경우 SZDD 형식으로 압축된다.

 

[그림 5] HeremeticWiper 악성코드 리소스 정보 - RCDATA

 

이후, 리소스에서 읽은 데이터는 확장자 없이 [랜덤 2자리]dr이란 이름의 파일로 생성하고, 압축을 해제한 데이터는 동일 이름에 .sys 확장자를 추가해 드라이버 폴더에 드롭한다.

-          파일 생성 경로 : C:\Windows\System32\drivers

-          파일 명 : [랜덤 2자리]dr.sys

cf) 드롭한 sys 파일은 [그림 4]에서 언급한 정상 프로그램의 드라이버 파일과 동일하다.

 

[그림 6] 드라이버 파일 생성 및 인증서

 

이 과정에서 생성된 파일은 서비스에 등록한 후 실행된다. 아래 [3]HermeticWiper 악성코드가 드라이버와 통신할 때 사용하는 제어 코드를 정리한 표이다.

 

[표 3] 악성코드에서 사용하는 I/O 및 파일 관리 제어 코드

 

HermeticRansom 악성코드 유포 사례

Hermetica 업체에 발급된 인증서를 사용한 악성코드 중, HermeticRansom으로 불리는 랜섬웨어를 사용한 경우도 발견됐다. 해당 랜섬웨어는 파일명에 .[공격자 메일].encryptedJB 확장자를 추가하고 read_me.html이라는 랜섬노트를 생성한다.

HermeticRansom 랜섬웨어는 자사 블로그에 소개된 바 있으며, 아래의 링크에서 확인할 수 있다.

2022.03.18 - [주간 랜섬웨어 동향] – 3월 3주차

 

[그림 7] HermeticRansom 랜섬웨어 랜섬노트

 

이 랜섬웨어와 관련해 지난 3월 초, 보안 업체 AVAST에서 HermeticRansom 랜섬웨어에 대한 무료 디크립터를 제작 및 배포했다.

 

[그림 8] HermeticRansom 랜섬웨어 디크립터

 

최근, 우크라이나와 관련한 사이버 공격이 많이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면