포스팅 내용

악성코드 분석 리포트

Hidden Tear 오픈소스 기반의 Hidden Beer 랜섬웨어 주의



히든비어(Hidden Beer) 랜섬웨어가 국내로 유입된 것이 확인되었습니다. 



히든비어(Hidden Beer)는 교육용 목적으로 만든 오픈소스 프로젝트 히든티어(Hidden Tear)기반으로 제작된 랜섬웨어로, 원본 소스가 2015년 GitHub에 게시된 이후 교육용 목적으로 만들어진 이 오픈소스 제작툴을 공격자들이 다양한 형태로 커스터마이징하여 사용되고 있습니다.


히든티어 기반 랜섬웨어는 2018년 현재까지도 제작 및 유포되고 있는 상황입니다.


[그림 1] 히든비어(Hidden Beer) 랜섬노트


해당 랜섬웨어는 감염된 사용자에게 복호화 비용으로 100달러 가치의 비트코인(BTC)을 요구하고 있으며 기존 Hidden Tear 기반 랜섬웨어와 기능상 크게 다른 점은 보이지 않으나 감염된 이후 바탕화면을 변경하는 이미지에 한국 남북정상회담에서 두 정상이 만나는 사진을 보여주는 것이 새로운 점입니다. 


하지만 바탕화면에 실제로 세팅되는 이미지는 정상사진이 아닌 깨진 사진으로, 이는 공격자가 사전에 세팅한 주소에서 받아오는 원본이미지 자체가 깨진 이미지 이기 때문입니다. 하지만 내부에 있는 디크립터에는 깨지지 않은 정상 이미지를 리소스에 포함하고 있습니다. 


[그림 2] 히든비어(Hidden Beer)가 변경한 사용자 화면


랜섬웨어 감염대상 확장자에는 다양한 종류의 문서확장자 파일 및 실행파일, 미디어파일, 이미지파일이 포함되어 있습니다.  


알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.HiddenTear로 탐지하고 있으며 Hidden Tear 기반 변종 랜섬웨어에 대한 모니터링을 강화하고 있습니다.




티스토리 방명록 작성
name password homepage