SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서
1. 개요
악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다.
CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다.
이 보고서에서는 CVE-2016-1019 취약점을 통해 전파된 랜섬웨어에 대해 알아보겠다.
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
swfRansom02.swf, swfRansom06.kaf외 8건 |
파일크기 |
45,391 byte , 278,528 byte |
진단명 |
Trojan-Exploit/W32.CVE-2016-1019.45391, Trojan/W32.Ransom.278528 |
악성동작 |
랜섬웨어, 추가파일 다운로드 |
네트워크 |
http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 를 추가 다운 |
2-2. 유포 경로
.swf 확장자는 Adobe 에서 만든 플래시 파일 형식이다. 웹 페이지의 애니메이션이나 액션 스크립트에 사용되며 국내에서 많이 사용하는 파일 포맷이다. 웹사이트에 있는 .swf 파일을 실행하기 위해선 사용자 PC에 Adobe Flash Player 프로그램이 설치되어 있어야 한다.
CVE-2016-1019 는 이렇게 인터넷 사용자에게 필수적인 프로그램 Adobe Flash Player에서 발생한 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전 사용자는 악의적으로 수정된 .swf 파일이 있는 웹사이트에 방문하는 것만으로도 위험에 노출될 수 있다.
[그림 1] 악의적으로 수정된 .swf 파일
2-3. 실행 과정
악의적으로 수정된 .swf파일 실행 시 악성코드에 감염되며 윈도우 정상 프로세스 파워쉘을 악용하여 추가 악성코드를 다운로드 받는다. 다운받는 주소는 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 이며, 사용자 임시폴더 하위에 a.exe 라는 파일명으로 저장 및 실행 시키지만 현재 해당 주소는 접속되지 않는다.
[그림 2] 파워쉘을 통한 추가 파일 다운로드 시도
악의적으로 수정된 .swf파일 실행 시 악성코드에 감염되며 윈도우 정상 프로세스 파워쉘을 악용하여 추가 악성코드를 다운로드 받는다. 다운받는 주소는 http://37.**.***.220/1e8ae3c6d1a39c9ca5de894fa5202850 이며, 사용자 임시폴더 하위에 a.exe 라는 파일명으로 저장 및 실행 시키지만 현재 해당 주소는 접속되지 않는다.
[그림 2] 파워쉘을 통한 추가 파일 다운로드 시도
3. 악성 동작
3-1. 파일 암호화
다운로드 된 랜섬웨어는 하기 확장자를 가진 파일에 대해 암호화를 실시하고 확장자를 .cerber 로 변경한다. 특이사항으로 [표2] 에 명시된 프로세스를 종료 시키는데 이는 암호화 과정의 오류를 방지하기 위함으로 보인다.
.contact .dbx .doc .docx .jnt .jpg .mapimail .msg .oab .ods .pdf .pps .ppsm .ppt .pptm .prf .pst .rar .rtf .txt .wab .xls .xlsx .xml .zip .1cd .3ds .3g2 .3gp .7z .7zip .accdb .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .csv .db .dds .dwg .dxf .flf .flv .html .idx .js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mdf .mid .mlb .mov .mp3 .mp4 .mpg .obj .odt .pages .php .psd .pwm .rm .safe .sav .save .sql .srt .swf .thm .vob .wav .wma .wmv .xlsb .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp .cs .db3 .docm .dot .dotm .dotx .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .mdb .pcd .pct .pl .potm .potx .ppam .ppsm .ppsx .pptm .ps .pspimage .r3d .rw2 .sldm .sldx .svg .tga .wps .xla .xlam .xlm .xlr .xlsm .xlt .xltm .xltx .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dbf .dcr .ddd .design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .odp .oil .pas .pat .pef .pfx .ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb .flvv .gif .groups .hdd .hpp .log .m2ts .m4p .mkv .mpeg .ndf .nvram .ogg .ost .pab .pdb .pif .png .qed .qcow .qcow2 .rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach .acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der .des .dgc .djvu .dng .drf .dxg .eml .erbsql .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq .incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef .nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12 .p7b .p7c .pdd .pem .plus_muhd .plc .pot .pptx .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz .s3db .sd0 .sda .sdf .sqlite .sqlite3 .sqlitedb .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11 .x3f .xis .ycbcra .yuv .mab .json .ini .sdb .sqlite-shm .sqlite-wal .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx .pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war .ascx .tif |
[표 1] 암호화 대상 확장자
outlook.exe |
이메일 프로그램 |
thunderbird.exe |
이메일 프로그램 |
thebat.exe |
이메일 프로그램 |
thebat64.exe |
이메일 프로그램 |
steam.exe |
게임 클라이언트 |
[표 2] 프로세스 종료 목록
3-2. 안내 페이지 및 감염 제외 국가
이 랜섬웨어는 최근 이슈 되고 있는 음성안내를 제공한다. 또한 PC 언어코드를 기준으로 감염 제외 PC를 식별하는데, 감염 제외 15개국에는 러시아, 우크라이나, 아제르바이잔 등 주로 동유럽 국가가 주를 이뤘다.
1049 |
Russian |
1058 |
Ukrainian |
1059 |
Belarusian |
1064 |
Tajik |
1067 |
Armenian |
… |
… |
[표 3] 감염 제외 국가
[그림 3] 안내페이지
4. 결론
과거에는 PC 성능저하를 이유로 소프트웨어 업데이트를 하지 않는 사용자들이 많았다. 하지만 PC 성능이 상향되면서 성능저하를 이유로 업데이트를 하지않는 경우는 일어나지 않게 되었다. 또한, 윈도우 10의 경우 OS 업데이트를 무조건 설치해야 하는 정책을 준수하고 있다.
장기간 업데이트를 하지 않을 경우, 이처럼 새로 발견되는 취약점에 의해 자신도 모르는 사이에 악성코드에 감염될 수 있다. 근래에는 전반적인 보안의식 향상으로 피해 사례가 많이 줄었지만 여전히 많은 소프트웨어에서 업데이트에 대해 사용자 선택권을 부여하고 있고 실제로 일부 이용자는 업데이트에 대한 알림조차 받지 않고 있다.
[그림 4] Adobe Flash Player 설치 시 출력되는 업데이트 설정 화면
대부분의 취약점은 알려지는 즉시 제작사에서 패치를 진행한다. 취약점이 패치 된 버전을 사용하는 것 만으로 해당 위협에서 벗어날 수 있기에 많은 보안전문가가 권고하는 업데이트의 생활화는 가장 기초적인 보안 대책이라고 할 수 있다.
위에 분석된 악성코드 모두 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.
최신 Adobe Flash Player 는 https://get.adobe.com/kr/flashplayer/ 에서 다운로드 할 수 있다.
(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)
[그림 5] 제어판에서 확인한 현재 설치 버전
[그림 4] Adobe Flash Player 설치 시 출력되는 업데이트 설정 화면
[그림 5] 제어판에서 확인한 현재 설치 버전
[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
[악성코드 분석] CryptXXX 랜섬웨어 주의 (0) | 2016.06.07 |
---|---|
[악성코드 분석] 모바일 결제방식 추가, Rokku 랜섬웨어 주의 (0) | 2016.04.28 |
[악성코드 분석] MBR 변조로 부팅을 방해하는 PETYA 랜섬웨어 (0) | 2016.04.15 |
[악성코드 분석] Radamant (랜섬웨어) (0) | 2016.02.26 |
[악성코드 분석] 80.exe (랜섬웨어) (0) | 2015.12.28 |