상세 컨텐츠

본문 제목

직접 실행시켜야 하는 랜섬웨어, LeChiffre

국내외 보안동향

by 알약(Alyac) 2016. 1. 25. 17:53

본문

직접 실행시켜야 하는 랜섬웨어, LeChiffre

LeChiffre, Ransomware Ran Manually


이미지 출처(https://blog.malwarebytes.org/intelligence/2016/01/draft-lechiffre-a-manually-run-ransomware/)


최근 인도 뭄바이에서 큰 피해를 입혔던 LeChiffre 랜섬웨어에 대한 분석이 있었습니다여타 대부분의 랜섬웨어 종류들과 달리, LeChiffre 랜섬웨어는 사용자 기기를 자동으로 감염시키지 않으며 감염된 시스템 내에서 수동으로 실행되어야 합니다. 공격자들은 자동으로 네트워크를 검색하여 취약한 원격 데스크탑을 공격, 원격 로그인한 뒤 직접 LeChiffre를 실행시킵니다.


파일 암호화 및 복호화

이 악성코드를 실행시키면 다음과 같은 러시아어로 된 화면이 나타나며, .LeChiffre 확장자로 파일들을 수동 선택하여 암호화 시킵니다.

이미지 출처(https://blog.malwarebytes.org/intelligence/2016/01/draft-lechiffre-a-manually-run-ransomware/)


 C&C서버와의 통신 없이 오프라인으로도 파일 암호화가 가능하기 때문에, Cryptowall 랜섬웨어와도 차이점을 보입니다. 또한 LeChiffre 랜섬웨어는 특이한 복호화 방식을 가지고 있는데, 사용자가 직접 암호화된 파일과 base64로 코딩된 128바이트의 시크릿 코드를 해커에게 전송해야 합니다.


백도어 생성

 시스템 내 파일 암호화와 더불어 LeChiffresethc.exe파일을 cmd.exe로 바꿔 치기 해 백도어를 생성합니다. 사용자가 SHIFT 키를 5번 누를 경우 로그인 여부와 관계없이 윈도에서 sethc.exe파일이 실행되는데, 때문에 공격자는 로그인하지 않은 상태에서도 시스템 명령어를 입력할 수 있습니다.


외부 통신 및 내부 특징

 설치 시 감염 기기의 위치정보를 수집하며, Scan 기능과 함께 원격 HTTP 프로토콜 서버와 통신을 시작합니다.

또한 해당 악성코드는 파일 크기와 관계없이 첫, 마지막 0x2000 (8192) 바이트를 암호화시키며, AES 키 또는 초기화 벡터로 예상되는 32바이트(256비트)의 콘텐츠를 파일에 추가합니다. LeChiffre는 로컬 파일 뿐 아니라 로컬 네트워크로 공유된 모든 가능한 리소스 및 가상환경에서 매핑된 파일들도 암호화시킬 수 있습니다.


결론

 LeChiffre 랜섬웨어는 전문적인 해커들이 만들었다고는 보기 어렵습니다. 코드는 Delphi로 작성되었으며, 바이너리는 UPX로 패킹되었고 분석에 대항하는 어떠한 시스템도 찾아볼 수 없었습니다. 하지만 어찌됐든 경계심 없는 사용자에게 피해를 입힐 가능성이 있기 때문에, 랜섬웨어가 증가하고 있다는 사실에 대한 경각심이 필요할 것입니다.


알약에서는 해당 악성코드에 대하여 Trojan.Generic.15482007로 탐지하고 있습니다.


출처 :

https://blog.malwarebytes.org/intelligence/2016/01/draft-lechiffre-a-manually-run-ransomware/




관련글 더보기

댓글 영역