이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었다.
해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드한다.
다운로드된 JPG 이미지 파일은 정상적인 JPG 헤더 포맷을 가지고 있지만, 오프셋 0x1506B 위치부터 은밀하게 ZIP 압축 포맷이 숨겨져 있다.
또한 공격자는 압축 코드가 노출되지 않도록 하기 위해 정상 ZIP 포맷의 4바이트 코드를 0xCA 코드로 조작해 두었다. 조작된 위치는 총 두군대로 0x1506B 오프셋(0x50, 0x4B, 0x03, 0x04) 부분과 0xFDECD 오프셋(0x50, 0x4B, 0x05, 0x06)이다.
스테가노그래피 기법으로 숨겨져 있는 압축 포맷을 변경하고 나머지 이미지 헤더 부분을 제거하면 실제 내부에는 ZIP 형식의 압축 포맷이 포함되어 있는 것을 확인할 수 있다. 압축 파일 내부에는 'readme.html', 'readme.png', 'sync.exe' 파일이 존재한다.
'readme.html', 'readme.png' 파일은 랜섬웨어 감염시 사용되는 랜섬노트 파일들이며, 'sync.exe' 파일이 랜섬웨어 기능을 수행하는 악성파일이다.
만약 이메일로 전파된 악성 스크립트가 실행되면 스테가노그래피 기법에 의해 숨겨진 랜섬웨어가 실행되고 컴퓨터에 존재하는 주요 파일들이 암호화된다.
암호화된 파일들은 기존 확장자 뒤에 '.kk' 라는 문자가 추가된다. 그리고 랜섬노트 화면을 띄워 감염된 사실을 이용자가 인지하도록 유도한다.
또한 바탕화면에 'README' 폴더를 생성하고 내부에 랜섬노트와 함께 비트코인 금액('AMMOUNT.txt')과 개인키 파일('KEY') 등을 생성한다.
공격자는 랜섬노트 내용을 통해 약 0.1 비트코인을 특정 지갑 주소(15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK)로 전송하고 3개의 이메일 주소로 연락하도록 유도한다.
해당 랜섬웨어는 시스템 파일 등의 손상을 최소화하고 자신이 생성한 랜섬노트의 암호화를 막기 위해 아래 경로들은 암호화 대상에서 제외한다.
△windows △program files (x86) △program files △programdata △winnt △system volume information △desktopreadme △$recycle.bin
또한 HWP 문서파일을 포함해 대다수의 파일들을 암호화 확장자 목록으로 지정하고 있다. 그리고 이 랜섬웨어는 RSA-4096 PUBLIC KEY를 이용해 암호화에 사용한다.
이스트시큐리티 시큐리티대응센터(ESRC) 측은 “랜섬웨어 제작자들이 스테가노그래피 기법을 결합시키는 등 갈수록 지능화, 고도화되고 있는 추세다. 따라서 이메일에 의심스러운 파일이 첨부되어 있는 경우 절대 열어보지 않는 보안 습관이 중요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★