Babuk 랜섬웨어 Builder 분석

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

2021년 1월 최초로 등장한 Babuk 랜섬웨어는 지난 4월까지 전 세계 기업 및 특정 개인을 대상으로 활발한 공격 활동을 펼쳤습니다. 

 

하지만 지난 4월, 워싱턴 DC 경찰서 공격을 마지막으로 랜섬웨어 운영을 중단하였습니다. 

 

그 후 5월 말, Babuk 랜섬웨어 운영자는 데이터 유출 사이트를 Payload.bin으로 리브랜딩 후 다른 공격자들에게 피해자들로부터 훔친 데이터를 유출할 수 있는 기회를 제공하였습니다. 

 

6월 말, 악성코드 스캐닝 사이트 Virustotal에 Babuk 랜섬웨어 빌더가 업로드되었으며, 이를 한 보안 연구원이 발견하였습니다.  이 빌더가 Virustotal 사이트에 업로드된 경위는 아직 확인되지 않았습니다. 

 

이에 ESRC에서는 해당 Babuk 랜섬웨어 Builder에 대해 간단히 분석해 보았습니다. 

 

Virustotal에 올라온 Babuk 랜섬웨어 Builder는 다음과 같은 파일로 구성되어 있습니다. 

 

 

[그림1] 압축 해제한 Babuk Ransomware builder

 

 

우리는 Builder.exe 파일을 실행하여 암호화/복호화 파일을 생성 해 보았습니다. 

 

[그림2] est_test 폴더 생성

생성된 바이너리 파일들은 다음과 같습니다. 

 

[그림3] 생성된 est_test 폴더

 

생성된 바이너리 파일들 중 e_win.exe 파일은 파일들을 암호화할 때 사용되며, d_win.exe 파일은 암호화된 파일들을 복호화할 때 사용합니다. 
 

e_win.exe 파일을 실행하면, 다음과 같이 파일들을 .babyk 확장자 파일로 암호화를 하며 랜섬노트를 생성합니다. 

 

 

[그림4] 암호화 된 화면

다시 d_win.exe 파일을 실행하면, 암호화된 파일들이 다시 복호화가 됩니다.
 

[그림5] 복호화 된 화면

암호화키와 랜섬노트는 하드코딩 되어있으며, 리버싱을 통해 해당 부분만 변경한다면 누구나 해당 빌더를 이용하여 손쉽게 랜섬웨어를 제작할 수 있습니다. 

이번 랜섬웨어 빌더 유출로 인해 랜섬웨어 공격 증가가 예상되는 만큼, 사용자 및 기업들의 각별한 주의가 요구되고 있습니다. 

현재 알약에서는 해당 랜섬웨어 빌더에 대해 Misc.Riskware.RansomBuilder,  Trojan.Ransom.Babuk로 탐지중에 있습니다.