랜섬웨어엔딩 #2016 1Q

랜섬웨어로부터벗어나자유롭게봄을즐길준비되셨나요?

STSC & NSHC 공동랜섬웨어주의경보발령!

어떻게감염되는건가요?

- 이메일을이용한타켓팅 공격도있고요.

- 각종취약점을악용하기도 해요.

감염이후제 PC 는어떻게되요?

- 아이예부팅조차안될수도 있고요

- 중요파일들만암호화되는 경우도있어요.

그럼, 이제어쩌죠?

- 공격자는다양한방법으로 돈을요구할거에요

- 사전에미리방어되었다면 좋았겠지만…우리같이방법을찾아 봐요!

MalwareMustDie"에서발표한2016년에성행할랜섬웨어목록 (2016.02)

악성코드 분석을 전문적으로 하는 "MalwareMustDie"에서 2016년도 성행할 것으로 예상하는랜섬웨어 목록을 발표했습니다. 이런 발표는 매년 있어 왔지만 "악성코드" 목록이 아닌 "랜섬웨어"목록이라는특정악성코드타입에대해서만언급한것이이례적인데요.

이렇게 랜섬웨어는 짧은 시간에 악성코드에서 가장 중요한 부분을 차지하는 유형이 되었고 그 공격대상은 윈도우 운영체제가 설치된 PC 뿐만 아니라 맥, 리눅스 또는 모바일과 심지어 웨어러블기기까지노리고있는실정입니다.

랜섬웨어가뭐예요?

� PC(MBR) Locker

MBR, 마스터부트레코드를감염시켜

사용자의컴퓨터사용을차단하는유형

� File Locker

특정파일들을암호화하는유형

랜섬웨어는 AIDS Trojan으로부터 시작되었고, 새로운 보안 위협으로 부각된 것은 2011년 ~2012년입니다. 최근에는 PC Lock은 점차 사라지고 File Lock 형태가성행하고 있지만, 2016년3월 25일 "PC Lock" 형태의 랜섬웨어인 펫야(Petya)가 발견되었습니다. 그리고 다양한랜섬웨어들이 계속나오고있습니다.

바탕화면이이렇게변경되었나요?랜섬웨어의 아버지로 볼 수 있는 크립토 락커(CryptoLocker), 크립토락커의 직접적인 영향을 많이 받았으며다수의 변종이 나오고 있고 꾸준히 진화하고 있는 크립토워(CryptoWall), 그리고 크립토락커와 크립토워에서진화한 테슬라 크립트(TeslaCrypt), 마지막으로 2016년에 새롭게 등장한 록키(Locky) 랜섬웨어에 감염되신 것같아요. 물론랜섬웨어 종류는이것말고도 엄청많죠! 우리는 일단 4가지랜섬웨어를 비교분석해볼게요.

최근 유포되고 있는 랜섬웨어는 "이메일을통한타겟공격" 또는 "해킹된사이트를 이용한리다이렉트 공격"을 사용해요. 이메일의 경우추가 악성 행위를 수행하는 첨부파일 형태로전달해 사용자가 해당 파일을 열어보도록유도합니다.

예를 들어, 악성 매크로를 삽입할 수 있는워드, 엑셀과 같은 오피스 파일을 첨부하거나자바스크립트를 ZIP파일로 전달합니다. 중요문서를 메일로 받아본 경험이 있거나 카드사용내역서 등을 웹에서 확인해 본 사용자는경험에 의해 쉽게 열람하게 되지요. 이때 함께은닉된 다른 악성 파일이 실행되거나 외부서버로 부터 악성 파일을 다운로드 한 뒤실행됩니다. 결국 이런 과정에서 랜섬웨어에감염되게 됩니다.

랜섬웨어에이렇게감염되요

Compromised Servers

Script

Vulnerability

Exploit Kit

Stage 1. AttackSpear PhisingMalvertising

……..

Stage 2. 1st DamageDBDDGA

………

Stage 3. 2nd DamageBitCoin

Tor Network……..

과거 악성코드는 감염시키기 위해 타겟 공격,해킹된 웹 사이트, 각종 취약점부터 웜, USB를통한 오토런 방식등 사용할 수 있는 모든수단과방법을가리지 않았지요.

하지만 2013년 ~ 2014년쯤 랜섬웨어가본격적으로 새롭게 보안 이슈가 되기시작하면서 웜 , USB 등의 방식은 점차감소하였고 이메일을 통한APT 타겟팅/웹공 격 을 통 한 감 염 비 율 이 급 격 히증가했습니다.

랜섬웨어감염방식의변화APT 공격

웹해킹

취약점

USB (오토런)

FakeAV

공유폴더

2016년

이메일을이용한타켓팅공격

이메일을 이용한 APT 공격이 증가했지만 스팸 메일 건수는오히려 감소하였습니다. 불특정 다수에게 전달되던 스팸 메일의수치가 감소하고 타겟 공격으로 집중하기 시작했음을의미합니다.타겟 공격을 통해 특정 사용자에게 보내는 메일은 다음 조건에맞는방식을찾는것으로변화하고있습니다.

• 실행파일처럼 내가 원하는 동작을할수있어야한다.

• 기존의스팸 메일 탐지시스템에서 탐지되지 않아야한다.

워드매크로를통한랜섬웨어다운로드시나리오

1. 사용자는 이메일에 첨부된 파일을다운로드하고 확인합니다. 문서의 내용은한눈에 알아보기 어렵게 작성되어있으며,매크로(Macro)를 활성화해야 정상적으로내용을 확인할 수 있다는 안내문이적혀있습니다.

2. 의심없이 메크로를 활성화 하면, 원격서버로 부터 특정 폴더 (예 , %TMP%)에랜섬웨어가다운로드되고실행됩니다.

3. 이후 사용자 시스템은 랜섬웨어에감염되어 컴퓨터 및 네트워크 상의 모든파일이암호화됩니다.1

2

3

MACRO Enable.

취약점을악용한감염

� 앵글러(Angler), 리그(Rig), 매그니튜드(Magnitude), 뉴클리어(Nuclear), 스윗 오렌지(Sweet Orange) 그리고 뉴트리노(Neutrino) 등거의모든 익스플로잇 킷을통해랜섬웨어가유포되고있음.

� 이런 익스플로잇 킷은 여러단계의랜딩 페이지를 생성하고, 자바/플래시/인터넷 익스플로러취약점이나윈도우사용자시스템에기본적으로설치된파워쉘을악용하여, 최종적으로랜섬웨어를다운로드하고실행함.

NEUTRINO EKRIG EK

NUCLEAR EK

ANGLER EK SWEET ORANGE EKMAGNITUDE EK

2013.09CryptoLocker

2013.11CyptoWall

(clone of CryptoLocker)

2014.02CryptoWall 1.0

(CryptoLocker alike)2016.02Locky

(Dridex alike)

2015.02TeslaCrypt 1.0

(CryptoLocker alike)

2016.01TeslaCrypt 3.0

(CryptoWall alike)

2015.01CryptoWall

3.0

2015.11CryptoWall

4.0

2014.10CryptoWall 2.0

2015.06TeslaCrypt 2.0

(CryptoWall alike)

랜섬웨어유포 및 실행에악용되는 익스플로잇 킷

파일이어떻게암호화되는거죠?

AES keyEncrypted by

RSA public keyDecrypted by

RSA private key

Stored in Registry

C&C server

TargetFiles Encrypted

Files

최근 파일을 암호화하는 랜섬웨어에서 공통적으로사용하고 있는 암호화 방식은 RSA+AES 알고리즘의조합입니다. 크립토 락커와 록키 랜섬웨어의 경우대상파일을암호화하기위해 AES키를 생성하고,C2 서버에서 RSA 공개키를 받아와 그 키를암호화합니다.

따라서 암호화 된 파일을 다시 복호화 하려면서버에서 RSA 비밀키를 받아와서 키를 먼저 복호화한다음 파일을 복구할수있습니다.

크립토워(CryptoWall) 4.0의 경우,랜섬웨어 제작자가 복호화를 위한 별도의 실행파일다운로드를제공하기도 합니다.

랜섬웨어별복호화도구와감염이후변경되는확장자비교

CryptoLocker CryptoWall Tesla Locky

Decryptolocker.exe decompress-cryptolocker-clone-bundle.py TeslaCrack 복호화 툴 없음

.encrypted.cryptolocker

.[7자리 랜덤문자]랜덤문자 [3.0].TTT, .XXX, .Micro, .mp3 .locky

※ 암호화된키는크립토월 4.0의 경우 C2 서버에, 록키(Locky)의 경우 레지스트리에 저장합니다.

어떤파일이암호화되나요?

CryptoLocker CryptoWall3fr, accdb, txt, ai, arw, bay, cdr, cer, cr2, eps, erf, indd, mp3, mp4, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, rwl, srf, srw, wb2, wpd, wps, xlk, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, xls, xlsb, xlsm, xlsx, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf

.3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .agdl, .ai, .ait, .al,

.apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik,

.bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls,

.cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db_journal, .db3, .dbf, .dc2, .dcr, .ddd, .ddoc,

.ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dtd, .dwg, .dxb,

.dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk,

.hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m,

.m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mp3, .mp4, .mpg, .mrw, .myd, .nd,

.ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .ods, .p7c, .r3d, .mov,

.flv, .wav, .dcs, .cmt, .ce1, .odb, .odc, .odf, .odg, .odm, .odp, .ads, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott,

.p12, .p7b, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plus_muhd, .plc, .pot,

.potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba,

.qbb, .qbm, .qbr, .qbw, .qbx, .qby, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0,

.sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw,

.stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vob, .wallet, .wb2, .wmv, .wpd, .wps,

.x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip

시스템의모든 파일이암호화되는것이아니고, 각랜섬웨어마다인질로 잡는파일이조금씩 다릅니다.

어떤파일이암호화되나요?

Tesla.7z .rar .m4a .wma .avi .wmv .csv .d3dbsp .sc2save .sie .sum .ibank .t13 .t12 .qdf .gdb .tax .pkpass .bc6 .bc7 .bkp .qic.bkf .sidn .sidd .mddata .itl .itdb .icxs .hvpl .hplg .hkdb .mdbackup .syncdb .gho .cas .svg .map .wmo .itm .sb .fos.mcgame .vdf .ztmp .sis .sid .ncf .menu .layout .dmp .blob .esm .001 .vtf .dazip .fpk .mlx .kf .iwd .vpk .tor .psk .rim .w3x .fsh .ntl .arch00 .lvl .snx .cfr .ff .vpp_pc .lrf .m2 .mcmeta .vfs0 .mpqge .kdb .db0 .DayZProfile .rofl .hkx .bar .upk .das .iwi .litemod .asset .forge .ltx .bsa .apk .re4 .sav .lbf .slm .bik .epk .rgss3a .pak .big .unity3d .wotreplay .xxx .desc .py .m3u .flv.js .css .rb .png .jpeg .txt .p7c .p7b .p12 .pfx .pem .crt .cer .der .x3f .srw .pef .ptx .r3d .rw2 .rwl .raw .raf .orf .nrw .mrwref.mef .erf .kdc .dcr .cr2 .crw .bay .sr2 .srf .arw .3fr .dng .jpe .jpg .cdr .indd .ai .eps .pdf .pdd .psd .dbfv .mdf .wb2 .rtf .wpd.dxg .xf .dwg .pst .accdb .mdb .pptm .pptx .ppt .xlk .xlsb .xlsm .xlsx .xls .wps .docm .docx .doc .odb .odc .odm .odp .ods.odt

어떤파일이암호화되나요?

Locky Locky (2016.3.22 추가됨)wallet.dat, .key, .crt, .p12, .pem, .DOC, .odt, .ott, .sxw, .stw, .PPT, .XLS, .pdf, .RTF, .uot, .CSV, .txt, .xml, .3ds, .max, .3dm, .DOT, .docx,.docm, .dotx, .dotm, .602, .hwp, .ods, .ots, .sxc, .stc, .xlc, .xlm, .xlt, .xlw, .slk, .xlsb, .xlsm, .xltm, .xltx, .wk1, .wks, .123, .wb2, .odp, .otp, .sxi, .sti, .pps, .pot, .sxd, .std, .pptx, .potm, .potx, .uop, .odg, .otg, .sxm, .mml, .docb, .ppam, .ppsm, .sldx, .sldm, .ms11, .ms11(Security copy), .lay, .lay6, .asc,.SQLITE3, .SQLITEDB, .sql, .mdb, .db, .dbf, .odb, .frm, .MYD, .MYI, .ibd, .mdf, .ldf, .php, .c, .cpp, .pas, .asm, .h, .js, .vb, .vbs, .pl, .dip, .dch, .sch, .brd, .cs, .asp, rb, .java, .jar,.class, .pl, .sh, .bat, .cmd, .psd, .NET, .tiff, .tif, .jpg, .jpeg, .cgm, .raw, .gif, .png, .bmp, .svg, .djvu, .djv, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .tar.bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .qcow2, .mp3, .wav, .swf, .fla, .wma, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u

n64, .011, .010, .099, .008, .007, .006, .005, .004, .003, .002, .001, .pst, .onetoc2, .ppsx, pptm, .xlsx, .dif, .csr

암호화된파일어떻게복호화 하죠? � 복호화도구사용

� 선불카드, 비트코인 결재 등

랜섬웨어에 감염되면, 사용자의 화면에는 감염사실을 알리는 텍스트 파일이나 안내 문구가 삽입된이미지가 나옵니다. 이를 통해 악성코드 제작자/해커는 자신이 원하는 방식으로 돈을 요구하는데,선불카드, 비트코인 결재 등 다양합다. 최근에는 Tor 네트워크를 이용해 특정 사이트에 접속 후 지불방법 및 계좌 정보를 알리는형태도나왔습니다.

일반 사용자 뿐만 아니라 대규모 병원의 시스템이 감염되어 실제 우리돈 2000만원 가량을 지불한사례도 있었습니다. 데이터를 복구하기 위해 이들이 요구하는 비용은 매우 다양한데, 록키같은 경우200불~800불을요구하기도하며, 테슬라는 500불 상당의비트코인 결재를요구합니다.

0.50BTC(200$)

2.00BTC(800$)

1.25BTC(500$)

랜섬웨어에감염되고싶지않아요..

� 이메일에첨부된파일을다운로드할 때 조심해요!

� 의심스러운문서파일의매크로는 활성화하지 않아요!

� 중요한데이터는다른 물리디스크뿐만아니라 클라우드서비스를통해 항상 백업!

� 운영체제최신 업데이트는기본, 백신도설치하면좋겠죠?

� IT 보안 담당자이신가요? 업데이트도 불가능하고 백신을설치할수 없는시스템인가요?각랜섬웨어의특징에 맞는대응 방안이있습니다.

내용이 더 궁금하다면,