ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Petya 랜섬웨어 소개
    IT 정보/IT, 보안 소식&팁 2016. 5. 19. 16:15
    반응형

    랜섬웨어 위협이 나날이 커지고 있다. Cryptowall, TeslasCrypt, Locky 등 랜섬웨어 변종들은 막대한 피해를 유발했다. 그리고 최신 변종인 Petya는 더욱 교묘한 활동양상을 보인다.

     

    Petya는 파일 암호화에 그치지 않고 시스템 자체를 먹통으로 만들어 피해자가 합의금을 지불할 수밖에 없도록 하며 파일시스템의 MFT(master file table)을 암호화하여 운영체제 불러오기 자체를 막아 버린다. MFTNTFS 파일시스템에서 핵심적인 파일로 NTFS 논리볼륨의 모든 파일기록과 디렉토리를 담고 있다. 각 기록에는 운영체제의 정상적 부팅을 위해 필요한 모든 요소가 들어 있다.

     

    Petya는 다른 맬웨어처럼 구직원서에 드롭박스 링크가 포함된 스피어피싱 이메일을 통해 배포된다. 이 링크는 자동 추출되는 커버레터가 있다고 속임수를 쓰지만 실제로는 자동 추출되어 악성행동을 개시하는 실행파일이 들어 있다.


     Petya 다운로드파일


    Petya 감염행동양상

     

    Petya 랜섬웨어의 감염은 두 단계로 진행된다. 1단계에서는 MBR 감염과 암호화키 생성이 이루어져며 이 때 합의금 지불을 요구하는 메시지에 사용되는 복호화 코드도 생성된다. 2단계에서는 MFT가 암호화된다.

     

    암호화 1단계  


     

    감염 1단계 행동양상

     

    MBR 감염은 DeviceIOControl API 지원으로 \\.\PhysicalDrive0 직접조작을 통해 진행된다. 먼저 기기 드라이버에 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 전송하여 루트드라이브 \\.\c의 물리적 위치를 알아낸다. 그리고 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 통해 \\.\PhysicalDrive0 확장디스크파티션 정보를 전송하게 된다.



     

    악성코드는 XOR op코드 및 0x37을 통해 원본 MBR을 암호화시킨 다음 나중에 이용하기 위해 보관하게 된다. 또한 0x37이 들어 있는 34개의 디스크영역이 생성된다. 이후 PetyaMFT 감염코드가 실행된다. 56번 영역에는 암호화된 원본 MBR이 들어간다.

     



    감염된 디스크



    암호화된 원본 MBR

     

    MBR 감염 이후에는 NTRaiseHardError 트리거링을 통해 의도적으로 시스템을 중단시킨다. 이는 BSOD 트리거링으로 이어져 시스템이 재시작되며 결국 감염된 MBR을 통해 부팅이 진행되는 결과가 된다.

     


    BSOD 트리거링



    BSOD

     

    디스크의 덤프이미지를 조사한 결과 가짜 CHKDSK가 나타났으며 합의금 요구 메시지와 더불어 ASCII로 해골 모양이 표시됐다.



    덤프 디스크 이미지

     

    감염 2단계

     

    2단계 감염코드는 16비트 아키텍쳐로 작성됐으며 BIOS 중단(interrupt) 신호를 이용한다. 감염코드는 시스템 부팅시 Petya 악성코드를 34번 영역에 있는 메모리로 불러온다. 우선 섹터의 첫 바이트가 0x0인지 조사함으로써 시스템이 이미 감염됐는지 판별한다. 아직 감염되지 않은 상태라면 가짜 CHKDSK가 표시된다.

     


    가짜 CHKDSK

     

    아래 메시지가 보인다면 이미 MFT 테이블이 salsa20 알고리즘을 통해 암호화됐음을 의미한다.




    피해자는 부팅시 보는 화면



    랜섬 메시지 및 안내

     

    Petya 랜섬웨어 웹페이지

     

    피해자가 개인 복호화키를 얻을 수 있는 웹페이지는 봇에 대한 방어를 갖추고 있으며 Petya 랜섬웨어 프로젝트가 개시된 시기에 대한 정보와 파일복구시 유의사항 그릭 FAQ 페이지를 포함하고 있다. 해당 페이지는 기이하게도 사용하게 편리하며 합의금 액수가 두 배로 인상되기 전까지 남은 시간을 보여주기도 한다.

     


    랜섬 페이지 captcha



    Petya 홈페이지

     

    또한 Petya에 대해 경고하는 여러 안티바이러스 업체의 블로그와 뉴스기사 등 다양한 뉴스 피드도 들어 있다.

     



    아울러 비트코인 구매방법 등 합의금을 지불하는 과장에 대한 단계별 안내도 나와 있다. 피해자가 돈을 지불하는 과정에서 문제가 생길 경우에 대비한 웹지원 창구까지 마련돼 있다. Petya의 요구금액이 다른 랜섬웨어에 비해 저렴한 편이란 사실도 주목할 만하다.



     

    합의금지불 4단계에서는 Petya 측에서 입금을 받았는지 확인할 때까지 다음 버튼이 비활성화 상태가 된다.

     

    이하는 ThreatTrackThreatSecure Network 대시보드에서 Petya를 차단한 모습이다. ThreatSecure와 같은 툴을 통해 이러한 공격을 실시간으로 감지 및 방해할 수 있다.

     


    ThreatSecure Network에 의한 Petya 랜섬웨어 적발

     

    <참고>유료안티바이러스 http://storefarm.naver.com/softmate

    <참고>ThreatTrack 보안소프트웨어 http://softmate1.blog.me/220310999709


     



    ThreatTrack Security Labs, A Glimpse at Petya Ransomware, 5. 3. 2016.

    https://blog.threattrack.com/petya-ransomware/

     

    번역: madfox




    참고링크 


    <랜섬웨어 차단 가능한 AVG 유료안티바이러스>


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.