스테가노그래피 기법을 이용한 랜섬웨어 등장!

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다.

이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다.

해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다.

[그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일

- image.***.co/mxRqXF/arrival.jpg

- sm.*******.im/X8IOl.jpg

- 185.10.***.***/images/arrival.jpg

[표 1] 이미지를 다운로드 하는 URL 주소

[그림 2] WSF 스크립트 파일에 숨겨져 있는 다운로드 및 실행 기능

다운로드된 JPG 이미지 파일은 정상적인 JPG 헤더 포맷을 가지고 있지만, 오프셋 0x1506B 위치부터 은밀하게 ZIP 압축 포맷이 숨겨져 있습니다.

또한, 공격자는 압축 코드가 노출되지 않도록 하기 위해 정상 ZIP 포맷의 4바이트 코드를 0xCA 코드로 조작해 두었습니다. 조작된 위치는 총 두 군데로 0x1506B 오프셋(0x50, 0x4B, 0x03, 0x04) 부분과 0xFDECD 오프셋(0x50, 0x4B, 0x05, 0x06) 입니다.

[그림 3] 스테가노그래피 기법으로 JPG 파일에 숨겨져 있는 랜섬웨어 압축 포맷

스테가노그래피 기법으로 숨겨져 있는 압축 포맷을 변경하고, 나머지 이미지 헤더 부분을 제거하면 실제 내부에는 다음과 같은 ZIP 형식의 압축 포맷이 포함되어 있는 것을 확인할 수 있습니다.

압축 파일 내부에는 'readme.html', 'readme.png', 'sync.exe' 파일이 존재합니다.

[그림 4] JPG 파일에 숨겨져 있던 압축파일 분리 후 화면

'readme.html', 'readme.png' 파일은 랜섬웨어 감염시 사용되는 랜섬노트 파일들이며, 'sync.exe' 파일이 랜섬웨어 기능을 수행하는 악성파일입니다.

만약 이메일로 전파된 악성 스크립트가 실행되면 스테가노그래피 기법에 의해 숨겨진 랜섬웨어가 실행되고, 컴퓨터에 존재하는 주요 파일들이 암호화됩니다.

암호화된 파일들은 기존 확장자 뒤에 '.kk' 라는 문자가 추가됩니다. 

[그림 5] 랜섬웨어 감염으로 인해 암호화된 화면

그리고 다음과 같은 랜섬노트 화면을 띄워 랜섬웨어에 감염된 사실을 이용자가 인지하도록 유도합니다.

[그림 6] 랜섬웨어 감염 후 보여지는 랜섬노트 화면

또한 바탕화면에 'README' 폴더를 생성하고 내부에 랜섬노트와 함께 비트코인 금액('AMMOUNT.txt')과 개인키 파일('KEY') 등을 생성합니다.

[그림 7] 랜섬웨어 감염 후 생성되는 파일 및 화면

공격자는 랜섬노트 내용을 통해 약 0.1 비트코인을 특정 지갑 주소(15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK)로 전송하고, 다음 3개의 이메일 주소로 연락하도록 유도합니다.

- getmyfiles@keemail.me

- getmyfiles@scryptmail.com

- getmyfiles@mail2tor.com

[표 2] 공격자가 연락을 유도하는 3개의 이메일 주소

해당 랜섬웨어는 시스템 파일 등의 손상을 최소화하고, 자신이 생성한 랜섬노트의 암호화를 막기 위해 다음과 같은 경로들은 암호화 대상에서 제외하고 있습니다.

- windows\

- program files (x86)\

- program files\

- programdata\

- winnt\

- \system volume information\

- \desktop\readme\

- \$recycle.bin\

[표 3] 암호화 대상 제외 경로

[그림 8] 랜섬웨어 감염 제외 대상 폴더

또한, HWP 문서파일을 포함해 대다수의 파일들을 암호화 확장자 목록으로 지정하고 있습니다.

accdb, accde, accdr, adp, ach, arw, asp, aspx, backup, backupdb, bak, bat, bay, bdb, bgt, blend, bmp, bpw, cdf, cdr, cdr3, cdr4, cdr5, cdr6, cdrw, cdx, cer, cfg, class, cls, config, contact, cpp, craw, crt, crw, css, csv, d3dbsp, dbx, dcr, dcs, dds, der, dif, dit, doc, docm, docx, dot, dotm, dotx, drf, drw, dwg, dxb, dxf, edb, eml, eps, fdb, flf, fpx, frm, gif, gpg, gry, hbk, hpp, html, hwp, jpe, jpeg, jpg, kdbx, kdc, key, jar, java, laccdb, latex, ldf, lit, lua, mapimail, max, mbx, mdb, mfw, mlb, mml, mmw, midi, moneywell, mocha, mpp, nef, nml, nrw, oab, odb, odc, odf, odg, odi, odm, odp, ods, odt, otg, oth, otp, ots, p12, pas, pab, pbm, pcd, pct, pcx, pdf, pef, pem, pfx, pgm, php, pict, pntg, potm, potx, ppam, ppm, pps, ppsm, ppsx, ppt, pptm, pptx, ppz, prf, psd, ptx, pub, qbw, qbx, qpw, raf, rtf, safe, sav, save, sda, sdc, sdd, sdf, sdp, skp, sql, sqlite, sqlite3, sqlitedb, stc, std, sti, stm, stw, sxc, sxg, sxi, sxm, sxw, tex, txt, tif, tiff, vcf, wallet, wb1, wb2, wb3, wcm, wdb, wpd, wps, xlr, xls, xlsb, xlsm, xlsx, xlam, xlc, xlk, xlm, xlt, reg, rspt, profile, djv, djvu, ms11, ott, pls, png, pst, xltm, xltx, xlw, xml, r00, 7zip, vhd, aes, ait, apk, arc, asc, asm, asset, awg, back, bkp, brd, bsa, bz2, csh, das, dat, dbf, db_journal, ddd, ddoc, des, design, erbsql, erf, ffd, fff, fhd, fla, flac, iif, iiq, indd, iwi, jnt, kwm, lbf, litesql, lzh, lzma, lzo, lzx, m2ts, m4a, mdf, mid, mny, mpa, mpe, mpeg, mpg, mpga, mrw, msg, mvb, myd, myi, ndf, nsh, nvram, nxl, nyf, obj, ogg, ogv, p7b, p7m, p7r, p7s, package, pages, pat, pdb, pdd, pfr, pnm, pot, psafe3, pspimage, pwm, qba, qbb, qbm, qbr, qby, qcow, qcow2, ram, rar, ras, rat, raw, rdb, rgb, rjs, rtx, rvt, rwl, rwz, scd, sch, scm, sd2, ser, shar, shw, sid, sit, sitx, skm, smf, snd, spl, srw, ssm, sst, stx, svg, svi, swf, tar, tbz, tbz2, tgz, tlz, txz, uop, uot, upk, ustar, vbox, vbs, vcd, vdi, vhdx, vmdk, vmsd, vmx, vmxf, vob, vor, wab, wad, wav, wax, wbmp, webm, webp, wks, wma, wp5, wri, wsc, wvx, xpm, xps, xsd, zip, zoo

[표 4] 암호화 확장자 목록

[그림 9] 랜섬웨어 암호화 대상 확장자 리스트

또한 아래와 같은 RSA-4096 PUBLIC KEY를 암호화에 사용합니다.

[그림 10] 랜섬웨어 RSA-4096 PUBLIC KEY 화면

이처럼 랜섬웨어 제작자들은 스테가노그래피 기법을 결합시키는 등 랜섬웨어를 유포하는 방식이 갈수록 지능화, 고도화되고 있는 추세입니다. 따라서 이메일에 의심스러운 파일이 첨부되어 있는 경우 절대 열어보지 않는 보안 습관이 그 어느 때보다 중요한 시기입니다.

더불어 이스트시큐리티 시큐리티대응센터(ESRC)는 한국인터넷진흥원(KISA)과 긴밀히 협력해 해당 랜섬웨어 유포지가 조기에 차단될 수 있도록 공동 대응을 진행 중입니다.

현재 알약 제품에서는 해당 악성파일을 'Trojan.Ransom.SyncCrypt' 탐지명으로 진단 및 치료하고 있습니다.