-
CryptoWall 랜섬웨어 소개카테고리 없음 2016. 6. 1. 14:13반응형
사이버보안 업계에서는 누군가 대규모 맬웨어공격을 성공시킬 때마다 그 배후자에 대해 분노와 경외감을 동시에 느끼는 것이 일반적이다. 랜섬웨어가 바로 그러한 경우다. 랜섬웨어는 2009년 초부터 서서히 번지기 시작했지만 랜섬웨어의 의미를 재정립하고 그 위협을 새로운 수준으로 끌어올린 건 바로 CryptoWall이다. 초기 랜섬웨어는 정상파일로 가장한 감염파일이 파일공유사이트를 통해 배포되는 식으로 전파됐다. 랜섬웨어가 다운로드되면 사용자 기기에서 실행되어 사용자 데이터를 암호화하거나 기기 자체를 잠가 버리게 된다. 여기에서는 CryptoWall이 전통적인 방어대책인 안티바이러스를 어떻게 회피했는지에 대해 살펴보고자 한다.
1단계: 사전작업
오늘날 모든 기업에서 가장 널리 사용되는 수단은 바로 커뮤니케이션이다. CryptoWall 제작자들은 공격진입지점으로 활용하기 위해 인터넷에서
(주로 마케팅사이트를 통해 알려지는) 공개된 회사 이메일주소를 수집해 왔다. 그리고 이들 이메일주소에 대해 피싱이메일이 전송됐다. 이들 피싱이메일은 수신자 측에서 중요 이메일이기 때문에 제대로 열람해야 한다고 착각하도록 위장됐다. 이들 이메일은 대체로 CryptoWall 랜섬웨어에 대한 직접다운로드 링크 또는 첨부물을 포함하고 있으며 물론 수신자는 이를 알지 못한다. 사용자가 이 링크나 첨부물을 클릭하는 즉시 암호화 과정이 개시된다. 아래는 booking.com 이메일로 위장된 랜섬웨어 첨부 이메일의 예시다.
Booking.com 이메일 예시
2단계: Cryptowall 4.0 최신버전 해부
Cryptowall 4.0
Md5 해시값: e73806e3f41f61e7c7a364625cd58f65
CryptoWall은 다음과 같은 시스템정보를 수집한다.
∘ ComputerName
∘ UserName
∘ SystemDrive serial number
∘ CPU INFO (using PROCESSOR_IDENTIFIER)
∘ Number of CPUs (using PROCESSOR_Level)
∘ Revision Number of CPU (using PROCESSOR_REVISION)
∘ OS Major version
∘ OS Minor version
∘ IsWow64
∘ Keyboard Layout
로딩된 모듈에는 윈도 Crypto API(CRYPTSP), 윈도7 Windows 7 Enhanced Cryptographic Provider(RSAENH)에 관련된 DLL이 있다. 이를 통해 CryptoWall이 암호화에 관련된 활동을 개시하리라는 사실을 짐작할 수 있다.
CryptoWall은 위 시스템정보를 활용하여 다음과 같은 API 시퀀스를 통해 피해자 PC의 md5 해시를 생성한다.
∘ CryptAcquireContext
∘ CryptCreateHash ; Algorithm ID = CALG_MD5 0x00008003, hash key: nonkeyed algorithm (0)
∘ CryptHashData
∘ CryptGetHashParam
그 예시는 아래와 같다.
CryptoWall은 아래와 같은 API를 사용하여 새로운 프로세스인 Explorer.exe에 코드를 주입하게 된다.
∘ ZwCreateSection
∘ ZwMapViewOfSection
∘ ZwAllocateVirtualMemory
∘ ZwWriteVirtualMemory
∘ ZwProtectVirtualMemory
∘ ZwQueueApcThread
∘ ZwResumeThread
CryptoWall은 %APPDATA% 폴더의 원본파일에 대한 사본을 생성하고 AutoStart 레지스트리 입력을 생성하게 된다. 주입된 코드는 시스템 보호를 해제하는 역할을 하며 또한 시스템의 숨은 사본을 삭제하고 새로운 프로세스인 svchost.exe에 코드를 주입한다.
숨은 사본을 제거하여 파일복구서비스 불능화
- AV Limitation: - Emulation TimeOut
시스템복구 불능화
암호화과정은 svchost.exe에서 이어진다. 이 프로세스에서는 CnC(command and control, 명령통제) 서버와 통신하기 위해 필요한 명령을 구현한다. 또한 이상의 시스템정보를 수집하고 피해자 PC의 md5 해시를 생성하여 이를 통해 CnC 서버와 통신하게 된다.
일부 CnC 서버:
CnC 서버
네트워크 커뮤니케이션은 HTTP를 사용하되 암호화된다. I2P URL을 통해 다음 I2P 프록시 중 하나에 접속을 시도하게 된다. 이 접속이 성공하면 POST 요청과 암호화된 스트링 요청을 전송하게 된다.
CryptoWall은 다음과 같은 정보를 설정파일 내부에 보관한다.
∘ Received public key binary data
∘ TXT
∘ HTML
∘ PNG
위 정보 중 마지막 3개 파일은 파일암호화 프로세스 이후 피해자 시스템의 각 폴더에 쓰여진다.
∘ Normal file behavior
∘ Payload after multiple layers of encryption
3단계 - 자동차에 열쇠를 놓고 나온 상황
자동차 안에 열쇠가 놓인 채로 문이 잠긴다면 무척 난감하다. 열쇠를 코앞에 두고도 방법이 없어서 따로 기사를 불러야만 하거나 도구를 기가 막히게 쓸 수 있어야만 한다. 랜섬웨어가 딱 이렇다. 사용자의 소중한 정보와 데이터가 인질로 잡혀 공개될 위기에 있는 와중에 이를 막기 위한 방법이 없기 때문이다.
HELP_YOUR_FILES.HTML
CryptoWall은 암호화를 끝내고 나서 사용자에게 상황을 설명하고 복호화수단 구매방법을 안내하는 메시지를 전송한다.
CryptoWall에 대해 보다 상세한 정보는 아래 링크 참조.
https://blog.threattrack.com/cryptowall-4-targets-bookings-com-customers/
4단계 랜섬웨어 대비솔루션 모색
다행인 점은 바로 CryptoWall 감염의 징후가 발견된다면 이를 막을 수 있는 기회가 적지 않다는 것이다. 우선 이메일의 경우 기존 보안대책을 회피하는 맬웨어를 포착하도록 설계된 지능형 이메일보안솔루션은 랜섬웨어를 유포시키는 랜섬웨어나 취약점악용을 탐지할 수 있는 훌륭한 방책이다. 이를 통해 CryptoWall에 의한 데이터 탈취 및 암호화를 방지할 수 있다. 그리고 네트워크 방어를 강화할 수도 있다. 발견된 위협을 식별하고 이를 네트워크 이상활동과 연관시키는 지능형 보안솔루션은 데이터를 지킬 수 있는 중요한 자산이다. ThreatTrack이 개발한 ThreatSecure Network는 엔드 간 네트워크 가시성을 제공하며 실시간탐지를 통해 랜섬웨어 배포 그리고 이에 대한 CnC 서버와 관련된 악성 IP 주소를 거치는 트래픽을 잡아낼 수 있다.
<참고: ThreatTrack 보안솔루션>
ThreatTrack Security Labs, The Day the Earth Stood Still for CryptoWall, 5. 25. 2016.
https://blog.threattrack.com/the-day-the-earth-stood-still-for-cryptowall/
번역: madfox
참고링크
반응형
