Trojan.Ransom.Ryuk 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.

최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다.

 

따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다.

 

악성코드 상세 분석

1. 프로세스 인젝션

사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회하기 위한 행위로 보입니다. 또한 제외 프로세스 ‘lsaas.exe’는 ‘lsass.exe’의 오타로 보입니다. 

 

[그림 1] 프로세스 인젝션 코드

 

2. 파일 암호화

파일 암호화를 수행하는 과정에서 중복 실행을 방지하기 위해 킬 스위치 파일인 ‘sys’파일을 생성합니다. 이 파일은 os 버전에 의해 구분되어 Windows XP 이하 버전 경우, ‘C:\Documents and Settings\Default User’하위로 Windows7 이상 버전 경우, ‘C:\Users\Public’하위로 생성합니다.

[그림 2] 킬 스위치 생성 코드

킬 스위치 기능을 하는 파일이 없을 경우, 이를 생성하고 파일 암호화를 진행합니다. 로컬의 모든 드라이브와 공유된 폴더들을 대상으로 루트 경로부터 파일을 탐색합니다. 파일 탐색 중 다음의 특정 문자열이나 확장자를 가지면 암호화에서 제외됩니다. 이는 백신의 탐지를 우회하고 시스템 파일들은 파일 암호화에서 제외하기 위함으로 보입니다.

 

Windows Ahnlab Chrome Mozilla %Recycle..Bin WINDOWS

[표 1] 암호화 제외 문자열

 

dll lnk hrmlog ini exe

[표 2] 암호화 제외 확장자

 

다음은 파일을 암호화하는 코드입니다.

 

[그림 3] 파일 암호화 코드

 

사용자가 암호화된 파일을 백업된 시점으로 되돌릴 수 있기 때문에 이를 방지하기 위하여 볼륨섀도우를 삭제합니다.

[그림 4] 볼륨섀도우 삭제 코드

3. 자동 실행 등록

파일 암호화 중 시스템이 종료될 경우, 모든 파일의 암호화가 진행되지 않을 수 있기 때문에 공격자를 컴퓨터 재부팅시 에도 암호화를 진행할 수 있도록 자동 실행 등록을 수행합니다. 그러나 재부팅 시에도 킬 스위치 파일이 남아있어 추가적인 암호화는 진행되지 않습니다. 

 

[그림 5] 자동 실행 등록 코드

 

 

4. 메타데이터

특정 서비스들을 종료할 수 있는 명령 데이터들이 발견되었습니다. 종료 대상 서비스는 Anti-Virus, DataBase 프로그램 등 180개 이상이 존재합니다. 하지만 이를 호출하는 루틴이 존재하지 않기 때문에 실행되지 않습니다.

[그림 6] 서비스 종료 명령 데이터

 

 

결론

본 랜섬웨어는 Hermes랜섬웨어의 변종으로써 사용자로부터 의심을 피하기 위해 임의의 프로세스에 인젝션을 시도하여 파일 암호화를 수행합니다. 또한 킬스위치 파일이 존재하며 암호화 과정에서 이 파일이 존재할 경우 암호화가 진행되지 않습니다. 재부팅시에도 악성행위를 지속하기 위해 자동실행등록을 합니다. 

하지만 사용자가 비정상적인 시스템을 인지하고 감염 초기에 해당 프로세스를 종료하면 이미 생성된 킬스위치 파일 때문에 암호화는 더이상 진행되지 않습니다. 

추가로, 악성행위 과정에서 실행되지 않는 메타데이터들과 킬스위치등의 취약점으로 암호화에 실패할 경우를 대비하여 공격자는 지속적인 변종을 생성할 것으로 예상됩니다. 

따라서, 사용자들은 감염을 예방하기 위해 출처가 불분명한 파일은 다운로드 및 실행을 지양하고 보안전문가들은 지속적인 연구가 필요합니다. 

현재 알약에서는 해당 악성코드를 “Trojan.Ransom.Ryuk”로 탐지하고 있습니다.