[EML] Locky Ransomware

0x00. 개요¶

봇넷, 좀비 PC, DDoS라는 말이 흔하게 쓰이기 시작할 때 쯤 국가 조직과 글로벌 회사간의 협력등을 통해 이러한 문제를 해결해 나가기 시작했다. 이를 통해 좀비 PC를 통한 DDoS 공격등으로 수익을 내던 해커 단체 또는 악성코드 제작자들은 새로운 수익 모델이 필요하게 되었다. 이때 새로운 수익 모델로 등작한 악성코드가 랜섬웨어이다. 최초로 등장한 랜섬웨어는 1989년의 AIDS 바이러스 (또는 PC Cyberg)이지만 지금과 같은 형태의 랜섬웨어는 2010년 9월에 등장한 CryptoLocker 일 것이다. 이후 CryptWall, CTBLocker부터 최근 TeslaCrypt, Locky에 이르기까지 다양한 형태의 랜섬웨어가 활동하고 있으며 윈도우, 리눅스, 맥OS 뿐만 아니라 안드로이드에 이르기까지 대부분의 운영체제에 맞는 랜섬웨어가 등장했다.

이 중 Locky 랜섬웨어는 2016년 1월에 발견된 랜섬웨어로 파일 암호화시 파일 확장자를 .Locky로 바꾸는 특징에 의해 명명된 랜섬웨어이다. Locky 랜섬웨어는 이메일을 통한 타겟 공격을 통해 배포되는 특징을 갖고 있는데 실제 어떤 과정을 통해 랜섬웨어에 감염되는지 그 과정을 살펴보자.

• 관련 기사 보러가기
  • 2014.06.02 GameOver Zeus Botnet Disrupted (원문)
  • 2015.12.02 보안뉴스 - 2015년 전 세계 강타한 랜섬웨어 월별 총정리
  • 2016.02.22 보안뉴스 - 신종 랜섬웨어 ‘록키’ 국내 금융기관 유입
  • 2016.03.07 보안뉴스 - 애플 맥 OS 노리는 신종 랜섬웨어 출현

0x10. 전체 동작¶

해커/악성코드 제작자가 악성 자바스크립트가 포함된 메일을 전달하고 이를 확인할 경우 외부 서버로 부터 Locky 랜섬웨어를 다운로드 후 실행한다.

0x20. 분석 정보¶

악성 자바 스크립트는 다음과 같이 메일내에 포함되어 전달된다. 주의할 점은 기존 타겟 공격은 악성 동작을 위한 파일을 첨부 파일 형태로 전달했다면 해당 악성코드는 자바스크립트를 메일 본문에 포함하는 형태를 갖고 있다. 따라서 이메일 내에 자바스크립트를 탐지하고 동작을 차단하는 기능이 없는 이메일 서비스를 사용한다면 본문에 포함된 자바스크립트가 자동 실행된다.

첨부된 자바스크립트는 난독화되어 있어 난독화 해제 또는 실행 이전까지 그 동작을 파악하기 어렵게 작성되어 있다.

악성 자바스크립트가 실행되면 외부 서버로 부터 악성 파일 다운로드를 시도하며 정상 다운로드시 특정 경로에 파일 생성 후 실행된다. 이때 생성된 파일의 확장자는 .scr 로 화면 보호기 파일처럼 위장했으나 .exe 파일과 같이 실행이 가능하다. 정상적으로 다운로드 후 실행되면 Locky 랜섬웨어가 동작해 파일 암호화 후 바탕 화면을 변경해 사용자에게 감염 사실을 알리게 된다.

• 다운로드 시도되는 악성 파일명 : 1.exe
• 생성 경로 : %TEMP%
• 생성된 악성 파일명 : writable.scr
• 대상 파일 확장자
  • .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

0x30. 외부 서버 접속¶

• 외부 서버 : torgtehnik.ru (89.108.87.179)

현재 해당 서버로 부터 Locky 랜섬웨어 다운로드는 지원하지 않는다.

0x40. 샘플 목록¶

• invoice_for_first-team_14027.js : 8819701B358B4C9BF604C0F45678330FE14FF1A423F31897C79B9749B7A408BC
• writable.scr : 73D608D95C55757577BB0E4437EBDE53FC52CE891805D4D17A3D3A4738F9457D