분석 정보/랜섬웨어 분석 정보

[악성코드 분석] SWF 취약점을 통해 전파된 랜섬웨어

TACHYON & ISARC 2016. 4. 21. 15:43

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 



 

 



1. 개요

악성코드의 목적은 금융정보 탈취파일 암호화, DDoS 공격용 좀비PC 생성단순 PC 파괴 등 다양하다그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다취약점 CVE-2016-1019 도 그 중 하나이다.


CVE Common Vulnerabilities and Exposures의 약자로보안 취약점 정보를 제공하는 시스템을 말한다각 취약점 별로 번호를 붙여 식별하고이 랜섬웨어에서 사용한 CVE-2016-1019  2016 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다.


이 보고서에서는 CVE-2016-1019 취약점을 통해 전파된 랜섬웨어에 대해 알아보겠다.



                                                  

2. 분석 정보

2-1. 파일 정보

구분

내용

파일명

swfRansom02.swf, swfRansom06.kaf외 8

파일크기

45,391 byte ,  278,528 byte

진단명

Trojan-Exploit/W32.CVE-2016-1019.45391, Trojan/W32.Ransom.278528

악성동작

랜섬웨어추가파일 다운로드

네트워크

 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 를 추가 다운






 


2-2. 유포 경로

.swf 확장자는 Adobe 에서 만든 플래시 파일 형식이다웹 페이지의 애니메이션이나 액션 스크립트에 사용되며 국내에서 많이 사용하는 파일 포맷이다웹사이트에 있는 .swf 파일을 실행하기 위해선 사용자 PC Adobe Flash Player 프로그램이 설치되어 있어야 한다


CVE-2016-1019 는 이렇게 인터넷 사용자에게 필수적인 프로그램 Adobe Flash Player에서 발생한 취약점으로Adobe Flash Player 21.0.0.197 이하 버전 사용자는 악의적으로 수정된 .swf 파일이 있는 웹사이트에 방문하는 것만으로도 위험에 노출될 수 있다.





[그림 1] 악의적으로 수정된 .swf 파일




2-3. 실행 과정

악의적으로 수정된 .swf파일 실행 시 악성코드에 감염되며 윈도우 정상 프로세스 파워쉘을 악용하여 추가 악성코드를 다운로드 받는다다운받는 주소는 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 이며사용자 임시폴더 하위에 a.exe 라는 파일명으로 저장 및 실행 시키지만 현재 해당 주소는 접속되지 않는다.




[
그림 2] 파워쉘을 통한 추가 파일 다운로드 시도

 

 



3. 악성 동작

3-1. 파일 암호화

다운로드 된 랜섬웨어는 하기 확장자를 가진 파일에 대해 암호화를 실시하고 확장자를 .cerber 로 변경한다특이사항으로 [2] 에 명시된 프로세스를 종료 시키는데 이는 암호화 과정의 오류를 방지하기 위함으로 보인다.


.contact .dbx .doc .docx .jnt .jpg .mapimail .msg .oab .ods .pdf .pps .ppsm .ppt .pptm .prf .pst .rar .rtf .txt .wab .xls .xlsx .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .accdb .aoi .asf .asp .aspx .asx .avi   .bak .cer .cfg .class .config .css .csv .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mdf .mid .mlb .mov .mp3 .mp4 .mpg .obj .odt .pages .php .psd .pwm .rm .safe .sav .save .sql .srt .swf .thm .vob .wav .wma .wmv .xlsb .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .docm .dot .dotm .dotx .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .mdb .pcd .pct .pl .potm .potx .ppam .ppsm .ppsx .pptm .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .wps .xla .xlam .xlm .xlr .xlsm .xlt .xltm .xltx .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dbf .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .odp .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .ndf .nvram .ogg .ost .pab .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erbsql .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .pot .pptx .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sdf .sqlite .sqlite3 .sqlitedb .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .sdb .sqlite-shm .sqlite-wal .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .tif


[
 1] 암호화 대상 확장자



outlook.exe

이메일 프로그램

thunderbird.exe

이메일 프로그램

thebat.exe

이메일 프로그램

thebat64.exe

이메일 프로그램

steam.exe

게임 클라이언트


[
표 2] 프로세스 종료 목록





3-2. 안내 페이지 및 감염 제외 국가

이 랜섬웨어는 최근 이슈 되고 있는 음성안내를 제공한다또한 PC 언어코드를 기준으로 감염 제외 PC를 식별하는데감염 제외 15개국에는 러시아우크라이나아제르바이잔 등 주로 동유럽 국가가 주를 이뤘다.

1049

Russian

1058

Ukrainian

1059

Belarusian

1064

Tajik

1067

Armenian


[
표 3] 감염 제외 국가




[
그림 3] 안내페이지





4. 결론

과거에는 PC 성능저하를 이유로 소프트웨어 업데이트를 하지 않는 사용자들이 많았다하지만 PC 성능이 상향되면서 성능저하를 이유로 업데이트를 하지않는 경우는 일어나지 않게 되었다. 또한, 윈도우 10의 경우 OS 업데이트를 무조건 설치해야 하는 정책을 준수하고 있다.


장기간 업데이트를 하지 않을 경우, 이처럼 새로 발견되는 취약점에 의해 자신도 모르는 사이에 악성코드에 감염될 수 있다근래에는 전반적인 보안의식 향상으로 피해 사례가 많이 줄었지만 여전히 많은 소프트웨어에서 업데이트에 대해 사용자 선택권을 부여하고 있고 실제로 일부 이용자는 업데이트에 대한 알림조차 받지 않고 있다.




[
그림 4] Adobe Flash Player 설치 시 출력되는 업데이트 설정 화면

 



대부분의 취약점은 알려지는 즉시 제작사에서 패치를 진행한다취약점이 패치 된 버전을 사용하는 것 만으로 해당 위협에서 벗어날 수 있기에 많은 보안전문가가 권고하는 업데이트의 생활화는 가장 기초적인 보안 대책이라고 할 수 있다.


위에 분석된 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


최신 Adobe Flash Player 는 https://get.adobe.com/kr/flashplayer/ 에서 다운로드 할 수 있다.


(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)



[
그림 5] 제어판에서 확인한 현재 설치 버전

 



[
그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 




[
그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면