분석 정보/랜섬웨어 분석 정보

[악성코드 분석] ‘Park Geun-hye Resigns’ 기사 링크 주의, Cerber 랜섬웨어

TACHYON & ISARC 2016. 12. 2. 16:40

‘Park Geun-hye Resigns’ 링크 주의, 이슈를 이용해 유포된 Cerber 랜섬웨어




1. 개요 


악성코드 유포 방법은 다양한데, 이 중 하나로 사회적 이슈를 이용하는 방법이 있다. 사회적 이슈와 관련된 웹 페이지나 파일 등에 악성코드를 첨부하여 사용자가 접근했을 때 악성코드를 다운로드하고 감염을 시작한다. 


최근엔 국내 가장 큰 이슈에 맞춰, 박근혜 대통령 이슈를 이용해 유포되는 랜섬웨어가 등장하였다. 하루에도 수 많은 관련 기사들이 나오고 대부분의 사람들이 관심 갖는 이슈인 만큼 감염되기 쉽다는 것이 큰 특징이다. 


이번 보고서에선 ‘Park Geun-hye Resigns’이라는 자극적인 제목의 가짜 기사 링크로 접속을 유도하여, 사용자 PC를 감염시킨 Cerber 랜섬웨어에 대해 자세히 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

exename.exe

파일크기

341,607 byte

진단명

Ransom/W32.Cerber.341607

악성동작

파일 암호화, 금전 요구

네트워크

c*******e.com – 유포지

 




2-2. 유포 경로

해당 랜섬웨어는 해외 유명 뉴스 매체 CNN으로 위장한 사이트의 기사로 유포되고 있다. 해당 사이트에서 ‘Park Geun-hye Resigns’ 라는 제목의 기사를 클릭하면 새로운 버전의 Cerber 랜섬웨어가 사용자 PC에 다운로드된다. 다운로드된 랜섬웨어는 실행 시 사용자의 파일을 암호화 한다.



2-3. 실행 과정

다운로드된 Cerber 랜섬웨어가 실행되면 사용자의 파일을 암호화하며 각 폴더에는 HTA(HTML Application) 형태의 랜섬노트를 생성한다. 사용자 파일 암호화가 완료되면 아래 그림과 같이 감염된 PC의 바탕화면을 변경하여 암호화 사실을 알린다.


[그림] 감염 후 변경되는 사용자 바탕화면[그림] 감염 후 변경되는 사용자 바탕화면




3. 악성 동작


3-1. 파일 감염

해당 랜섬웨어는 아래 그림과 같이 사용자의 파일을 암호화한 뒤 파일 이름을 변경한다. 파일 확장자의 경우 임의의 네 자리 문자로 변경되며, 각 폴더엔 “_README_hta” 라는 이름의 HTA 랜섬노트가 생성된 것을 확인할 수 있다.


[그림] 랜섬노트와 암호화 된 파일[그림] 랜섬노트와 암호화 된 파일



암호화 대상이 되는 파일 확장자는 다음과 같다.


구분

내용

암호화

대상

파일 확장자

.accdb .mdb .mdf .dbf .vpd .sdf .sqlitedb .sqlite3 .sqlite .sql .sdb .doc .docx .odt .xls .xlsx .ods .ppt

.pptx .odp .pst .dbx .wab .tbk .pps .ppsx .pdf .jpg .tif .pub .one .rtf .csv .docm .xlsm .pptm .ppsm

.xlsb .dot .dotx .dotm .xlt .xltx .xltm .pot .potx .potm .xps .wps .xla .xlam .erbsql

.sqlite-shm .sqlite-wal .litesql .ndf .ost .pab .oab .contact .jnt .mapimail .msg .prf .rar .txt .xml .zip .1cd .3ds .3g2 .3gp

.7z .7zip .aoi .asf .asp .aspx .asx .avi .bak .cer .cfg .class .config .css .dds .dwg .dxf .flf .flv .html .idx

.js .key .kwm .laccdb .ldf .lit .m3u .mbx .md .mid .mlb .mov .mp3 .mp4 .mpg .obj .pages .php .psd

.pwm .rm .safe .sav .save .srt .swf .thm .vob .wav .wma .wmv .3dm .aac .ai .arw .c .cdr .cls .cpi .cpp

.cs .db3 .drw .dxb .eps .fla .flac .fxg .java .m .m4v .max .pcd .pct .pl .ppam .ps .pspimage .r3d .rw2

.sldm .sldx .svg .tga .xlm .xlr .xlw .act .adp .al .bkp .blend .cdf .cdx .cgm .cr2 .crt .dac .dcr .ddd

.design .dtd .fdb .fff .fpx .h .iif .indd .jpeg .mos .nd .nsd .nsf .nsg .nsh .odc .oil .pas .pat .pef .pfx

.ptx .qbb .qbm .sas7bdat .say .st4 .st6 .stc .sxc .sxw .tlg .wad .xlk .aiff .bin .bmp .cmt .dat .dit .edb

.flvv .gif .groups .hdd .hpp .m2ts .m4p .mkv .mpeg .nvram .ogg .pdb .pif .png .qed .qcow .qcow2

.rvt .st7 .stm .vbox .vdi .vhd .vhdx .vmdk .vmsd .vmx .vmxf .3fr .3pr .ab4 .accde .accdr .accdt .ach \.acr .adb .ads .agdl .ait .apj .asm .awg .back .backup .backupdb .bank .bay .bdb .bgt .bik .bpw

.cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ce1 .ce2 .cib .craw .crw .csh .csl .db_journal .dc2 .dcs .ddoc .ddrw .der

.des .dgc .djvu .dng .drf .dxg .eml .erf .exf .ffd .fh .fhd .gray .grey .gry .hbk .ibank .ibd .ibz .iiq

.incpas .jpe .kc2 .kdbx .kdc .kpdx .lua .mdc .mef .mfw .mmw .mny .moneywell .mrw .myd .ndd .nef

.nk2 .nop .nrw .ns2 .ns3 .ns4 .nwb .nx2 .nxl .nyf .odb .odf .odg .odm .orf .otg .oth .otp .ots .ott .p12

.p7b .p7c .pdd .mts .plus_muhd .plc .psafe3 .py .qba .qbr .qbw .qbx .qby .raf .rat .raw .rdb .rwl .rwz

.s3db .sd0 .sda .sr2 .srf .srw .st5 .st8 .std .sti .stw .stx .sxd .sxg .sxi .sxm .tex .wallet .wb2 .wpd .x11

.x3f .xis .ycbcra .yuv .mab .json .msf .jar .cdb .srb .abd .qtb .cfn .info .info_ .flb .def .atb .tbn .tbb .tlx

.pml .pmo .pnx .pnc .pmi .pmm .lck .pm! .pmr .usr .pnd .pmj .pm .lock .srs .pbf .omg .wmf .sh .war

.ascx .k2p .apk .asset .bsa .d3dbsp .das .forge .iwi .lbf .litemod .ltx .m4a .re4 .slm .tiff .upk .xxx

.money .cash .private .cry .vsd .tax .gbr .dgn .stl .gho .ma .acc .db .secret


[] 암호화 대상 파일 확장자


3-2. 볼륨 섀도 복사본 제거

해당 랜섬웨어는 윈도우 관리 도구(WMIC.exe)를 통해 사용자 PC의 볼륨 섀도 복사본을 제거한다. 이는 사용자가 랜섬웨어에 감염되기 전으로 되돌리는 것을 방지하기 위한 것으로 보인다.

[그림] 볼륨 섀도 제거[그림] 볼륨 섀도 제거



3-3. 금전 요구

파일 암호화가 완료된 후 아래와 같은 HTA 랜섬노트를 출력한다. 해당 랜섬노트에는 암호화 사실을 알려주며 복호화를 하기 위한 결제 안내 페이지의 주소를 나타낸다.

[그림] HTA 형태의 랜섬노트[그림] HTA 형태의 랜섬노트




해당 주소로 이동하면 아래와 같이 비트코인을 요구하고 있는 것을 확인할 수 있다. 5일 이내에 결제할 경우 1 비트코인이며, 이후에는 2 비트코인을 지불해야한다고 안내한다.


[그림] 결제 안내 페이지[그림] 결제 안내 페이지





4. 결론


공격자가 사회적 이슈를 악용하여 악성코드를 유포하는 것은 자주 사용하는 수법이다. 사용자는 단순히 정보를 얻기 위해 뉴스 기사나 웹 페이지에 접속한 것이지만, 악성코드는 사용자 모르게 설치되어 사용자의 PC 를 감염시킨다. 특히 현재 유포되고 있는 악성코드가 랜섬웨어라는 점에서 사용자에게 금전적인 피해를 줄 수 있어 각별한 주의가 필요하다.


이러한 피해를 예방하기 위해서는 백신 제품을 설치하고 최신 업데이트를 유지해야 한다. 또한 취약한 웹 사이트의 방문을 자제해야 하며 의심되는 URL이 있다면 접속하지 않아야 한다.


위 랜섬웨어는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.



[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면