포스팅 내용

악성코드 분석 리포트

이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


악명높은 Locky 랜섬웨어 변종이 이메일 첨부파일을 통해 국내외로 다수 전파되고 있습니다. 인터넷 이용자분들은 아래 내용을 숙지하여 유사한 보안위협에 노출되지 않도록 각별히 주의하시기 바랍니다.


이번 공격 수법도 기존 사례와 비슷하게 이메일에 ZIP 파일을 첨부했고, 압축 내부에 악성 비주얼 베이직 스크립트(VBS) 파일을 포함하고 있습니다.


이메일 제목과 첨부파일에는 'E 2017-08-09 (숫자).확장명' 형태를 띄고 있으며, 확장명은 'PDF', 'XLS', 'DOC', 'XLSX', 'DOCX', 'TIFF', 'JPG' 등 다양하게 사용되었습니다.



[그림 1] 이메일 유포 화면 사례들



이번 Locky 랜섬웨어 유포에 사용된 대부분의 이메일은 발신 시간 코드가 'Date: Mon, 24 Jul 2017 07:51:08 +0000' 내용으로 조작되어 있습니다.


따라서 수신자는 2017년 07월 24일 발송된 메일로 오해하거나 현혹될 수 있는 특징이 있으며, 발신자의 이메일 주소는 무작위로 지정되어 발송되었습니다.


하지만 해당 이메일이 실제 집중적으로 유포된 시점은 한국시간 기준으로 2017년 08월 09일 오후 입니다. 



[그림 2] 이메일 발송 시간 조작 코드 화면



이메일 본문에는 단순히 'Files attached. Thanks" 내용만 포함되어 있고, ZIP 파일 내부에는 메일 제목과 동일한 패턴으로 VBS 악성 파일이 포함되어 있습니다.



[그림 3] 압축파일 내부에 포함된 악성 VBS 화면



만약, 이용자가 압축을 해제하고, 내부에 포함되어 있던 VBS 파일을 실행할 경우에는 스크립트 명령에 의해 특정 명령제어서버(C2)로 접속을 시도하는데, 공통적으로 'y872ff2f' 하위 주소를 포함하고 있습니다.



[그림 4] VBS 스크립트에 포함된 C2 화면



[그림 5] C2 명령서버와 통신을 시도하는 패킷 화면



공격자는 사전에 다양한 악성 도메인 주소를 생성해 최대한 오랜 기간 랜섬웨어가 유포되도록 만든 치밀함을 보이기도 하였습니다.


[그림 6] 다양한 C2 도메인들 화면



공격자의 악성 도메인과 정상적으로 통신이 이뤄지면 이용자 몰래 Locky 랜섬웨어가 다운로드되어 실행됩니다. 랜섬웨어의 작동에 의해 컴퓨터에 보관되어 있던 주요 문서, 음원, 데이터 파일이 암호화되고, 파일명은 특정 조건에 맞춰 변경되고, 확장명이 '.diablo6' 로 변경됩니다.



[8자리 문자]-[4자리 문자]-[4자리 문자]-[8자리 문자]-[12자리 문자].diablo6



더불어 바탕화면을 변경하고, 랜섬노트 화면을 띄어 비트코인 결제를 유도하게 만듭니다.



[그림 7] Locky 랜섬웨어 감염 후 생성된 바탕화면 이미지



변경된 바탕화면과 랜섬노트 화면에 보여지는 토르(Tor) 웹사이트 주소(g46mbrrzpfszonuk.onion/YCNQWIB49WUIES61)와 개인ID 값을 통해 비트코인 결제를 유도하게 됩니다.  



[그림 8] Locky 랜섬웨어가 사용하는 토르(Tor) 사이트 화면



해당 비트코인 지갑 주소를 조회해 보면 아직까지 특별히 거래된 내역이 확인되고 있지는 않습니다. 물론 공격자는 다양한 비트코인 주소(https://blockchain.info/address/16HXHodHWzxr4W4GWYQejrxAa8zbipoKiy)를 만들어 사용할 수 있습니다.



[그림 9] Locky 랜섬웨어가 사용하는 비트코인 거래내역 화면



Locky 랜섬웨어 변종이 한번 씩 잊을만하면 재등장하고 있습니다. 이처럼 전 세계 사이버 범죄자들은 랜섬웨어를 통한 금전적 수익을 얻기 위해 지속적 공격을 시도하고 있습니다.


또한, 공격자들은 다양한 이메일 보안환경 탐지를 회피하기 위해 변종 공격기법을 꾸준히 연구도입하고 있다는 점을 명심해야 합니다.


특히, 이메일에 URL 링크주소나 첨부파일이 존재하고, 평소 주고 받던 메일이 아닐 경우에는 십중팔구 악성 메일이라는 점을 기억하면 좋겠습니다.


현재 알약 제품에서는 해당 악성파일을 'Trojan.Downloader.VBS.Agent', 'Trojan.Ransom.LockyCrypt' 탐지명으로 진단 및 치료하고 있습니다.





저작자 표시
신고
  1. 고준희 2017.08.11 06:33 신고  수정/삭제  댓글쓰기

    저희도 이런 메일 때문에 고생중인데 도움이 많이 되는 자료 감사합니다.

    • BlogIcon 알약(Alyac) 2017.08.23 09:15 신고  수정/삭제

      고준희님, 안녕하세요? 도움이 되셨다니 다행입니다. 앞으로도 신속하고 정확한 정보를 제공하기 위해 노력하겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage