Cerber에 해당하는글 4



랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed denial of service, DDoS)이나 스팸전송 등에 활용되는 좀비PC가 된다. 이는 근래 맬웨어가 다목적으로 여러 악성코드를 가지고 있는 경향을 반영하는 사례다.


사실 여러 악성코드를 담은 랜섬웨어는 Cerber 이전에도 목격된 바 있다. Petya 랜섬웨어의 경우 피해자 컴퓨터의 하드드라이브 전체를 암호화하는 데 필요한 승인을 얻기 위해 Mischa 악성코드를 동반한다. CryptXXX 랜섬웨어의 경우 기본적인 암호화 외에 피해자의 개인정보와 비트코인을 훔칠 수 있는 기능까지 가지고 있다.


이렇게 여러 기능을 보유한 랜섬웨어는 기존의 단순한 랜섬웨어에 비해 훨씬 큰 피해를 야기할 수 있으며 따라서 예방의 중요성 또한 더욱 커진다. 사실 Cerber와 같은 랜섬웨어는 감염시 영향은 치명적이지만 충분히 예방할 수 있다. 이메일 주의, 주기적 백업, 운영체제 및 어플리케이션 패치 최신으로 유지, 강력한 보안솔루션 사용 등의 수칙을 따름으로써 랜섬웨어 감염을 예방하고 설령 감염이 발생할지라도 그 피해를 최소화할 수 있다. Kaspersky Lab 보안솔루션은 Cerber 랜섬웨어를 Trojan-Ransom.Win32.Zerber라는 이름으로 탐지해 낼 수 있다.



<참고: 카스퍼스키 안티바이러스 상세정보>




Sarah Pike, Multipurpose malware: Sometimes Trojans come in threes, 5. 27. 2016.

https://usblog.kaspersky.com/cerber-multipurpose-malware/7201/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.01 14:16



근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>


그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 이 랜섬웨어를 포착했으며 실제로 이 랜섬웨어로 인해 피해를 입은 사용자가 얼마 없다는 점을 생각한다면 이번 Avanan 공격사례가 대규모였다고이유는 없으며 오피스365 사용자만을 특별히 노린 경우도 아니다. 예를 들어 마이크로소프트의 경우 오피스365를 사용하는 고객이 수십만에 달하지만 Avanan의 클라우드보안플랫폼을 사용하는 고객이 몇 명인지는 알 수 없다. Avanan 측에서는 전체 고객의 57%라는 수치를 제시했으나 전체 고객 수를 알지 못하는 이상 이는 의미가 없는 수치다.


참고로 Cerber 랜섬웨어가 노리는 파일유형은 다음과 같다.

.gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .advertisements, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv, .contact, .dbx, .doc, .docx, .jnt, .jpg, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb,3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv



랜섬웨어 대응대책


GFI LanGuard과 같은 보안솔루션으로 시스템 패치와 업데이트를 자동화하여 취약점 발생가능성을 줄인다.


<참고: GFI LanGuard 네트워크보안솔루션>


•  엔드포인트 그리고 데이터가 거쳐가는 중간시스템에서 안타바이러스 소프트웨어를 구동한다.


•  GFI MailEssential과 같이 여러 안티바이러스 엔진을 동시에 구동하는 이메일보안 솔루션을 사용하거나 다양한 업체의 솔루션을 병렬적으로 사용하여 보안대책을 다층화한다.


<참고: GFI MailEssential 이메일보안솔루션>


• 오피스365 사용자의 경우 Advanced Threat Protection 서비스를 구독할 수 있으며 다른 제품군을 사용한다면 이와 유사한 기능을 사용하거나 제품군 자체의 변경을 고려한다. SPF, DKIM, DMARC 등의 필터링을 적용하고 이를 통과하지 못하는 경우는 차단하며 파트너 또한 이러한 정책을 채택하도록 한다.


•  중요데이터는 백업시키고 맬웨어 감염가능성을 차단하기 위해 해당 백업은 엔드포인트로부터 격리시킨다.




Casper Manes, Ransomware FUD strikes again, this time against Office 365, 7. 19. 2016.

http://www.gfi.com/blog/ransomware-fud-strikes-again-this-time-against-office-365/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 15:03



게시일: 2016-07-21 l 작성자: Trend Micro

기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.

위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.

20160712cerber1ransom

그림1. CERBER 최신 변종의 4가지 랜섬노트: 랜섬노트 음성 버전의 VBS 파일, 웹 브라우저 기본 설정을 결제사이트로 연결하는 .url 및 위 그림의 .html과 .txt 파일


2016년 3월 확인된 CERBER 랜섬웨어군은 서비스거부공격(denial-of-service, DDos) 등의 기능을 추가하며 지속적으로 발전하고 있습니다. 또한 이중 압축된 윈도우 스크립트 파일(Windows Script File, 확장자 .wsf)을 활용하여 동작 감지에 의한 공격 탐지 및 스팸 메일 필터링 우회 기능이 가능합니다. 컴퓨터 기계 음성으로 랜섬노트를 재생하는 독특성을 가진 크립토 랜섬웨어 중 하나이기도 합니다. CERBER의 소스코드는 러시아 지하시장에서 ‘서비스형 랜섬웨어(Ransomware-as-a service)’로 거래되고 있어, 사이버 범죄활동의 이익이 확대에 일조하고 있습니다. 해당 랜섬웨어는 초기 뉴클리어 익스플로익 킷을 이용한 악성광고에 의해 확산되었습니다.

Sample of Cerber-carrying spam email

그림 2. 청구서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예

Sample of Cerber-carrying spam email

그림 3. 차용증서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예


CERBER의 최신 변종은 Office 365 고객을 타겟하여 매크로가 조작된 악성 파일을 첨부한 스팸메일 형태로 전송합니다. 마이크로소프트는 PC에 설치된 Office 365 및 기타 Office 소프트웨어에 대한 보안 대책을 실시하고 있으며, 이러한 대책의 일환으로 매크로를 이용하는 악성 프로그램 감정을 방지하기 위해 ‘매크로 사용 안 함’이 기본으로 설정되어 있습니다. 그러나 다른 여러 랜섬웨어와 마찬가지로 CERBER 또한 사회공학적 기법 등을 이용하여 사용자가 이러한 보안 대책을 스스로 해제하여 파일에 내장된 매크로를 수동으로 활성화하도록 유도합니다.

문서(W2KM_CERBER.CAD)의 매크로를 활성화 할 경우, VBS 코딩된 트로이목마 다운로더(VBS_CERBER.CAD)가 생성되며, 해당 다운로더는 다음의 URL에서 RANSOM_CERBER.CAD를 다운로드 합니다.

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

해당 CERBER 변종은 AAES-265와RSA를 조합하여 442 파일 형식을 암호화하는 기능을 제공합니다. PC의 ‘IE(Internet Explorer)’의 시간대 설정을 변경하고, 섀도 복사본 제거, 윈도우 시동 복구 기능 비활성화, ‘아웃룩’ 또는 ‘Bat!’, ‘Thunderbird’와 같은 메일 프로그램 프로세스 및 MS워드 프로세스를 종료합니다. 그리고 감염된 PC가 위치한 국가가 독립국가연합 중 하나인 경우에는 악성활동을 종료합니다.

* 독립국가연합: 아제르바이잔, 아르메니아, 우크라이나, 우즈베키스탄, 카자흐스탄, 키르키즈스탄, 타지키스탄, 투르크메니스탄, 벨라루스, 몰도바, 러시아

Sample of Cerber-carrying spam email

그림4. 악성 매크로의 복호화 과정 일부, 트로이목마 VBS_CERBER.CAD생성명령, %Application Data%\{random file name}.vbs. The trojan saves the files it downloads using the name, %Application Data%\{random file name}.tmp.


트렌드마이크로는 2016년 5월부터 CERBER 랜섬웨어를 전송하는 스팸메일을 탐지하고 있습니다. 2016년 6월 눈에 띄는 급증이 발견되었습니다. 5월 스팸메일 탐지수가 800건 정도였던 것에 비해, 6월에는 12,000건 이상이 확인되었습니다. 최다를 기록한 2016년 6월 22일에는 9,000건 이상의 CERBER 확산 스팸메일이 확인되었습니다. 기타 제로데이 취약점을 이용하여 리그(Rig) 익스플로잇 킷과 마그니튜드(Magnitude) 익스플로잇 킷에 의해 확산되는 새로운 CERBER 변종도 확인되고 있습니다.

CERBER와 같은 크립토랜섬웨어의 작성자는 멀웨어 배포를 확장시키기 위한 여러 새로운 방법을 지속적으로 개발할 것입니다. 이번 경우 개인과 기업 사용자를 공격하기 위해 클라우드 기반 플랫폼을 이용했습니다. 해당 프로그램의 보안 대책이 적절하였음에도 불구하고, 사회공학적기법으로 속이기 때문에, 사용자들은 오피스 프로그램의 매크로를 비활성화 하고 수신인이 불명확한 이메일의 첨부파일을 실행할 때는 특히 더 주의해야 합니다. 백업 전략을 가지고 있는 것 또한 랜섬웨어에 대응하는 효과적인 방어입니다.


트렌드마이크로 솔루션

클라우드 기반 비즈니스 애플리케이션의 보안을 향상시키는 트렌드마이크로 클라우드 앱 시큐리티 (Cloud App Security, CAS)는 당사의 핵심 기술인 샌드박스와 평판 기술을 클라우드 기반 비즈니스 애플리케이션에서 활용할 수 있도록 기능을 구현하고, Office 365에 포함된 Exchange Online, SharePoint Online, OneDrive for Business 및 Box, Dropbox등에 높은 수준의 보안을 실현합니다. 네트워크 동작 모니터링 솔루션인 트렌드마이크로 Deep Discovery는 문서 취약점 공격 코드를 탐지하는 엔진 (Advanced Threat Scan Engine, ATSE) 등을 통해 랜섬웨어의 위협을 경고합니다.

기업 사용자는 이러한 위협에 따른 보안 위험을 줄이기 위해 다층적이고 단계적인 조치를 취해야 합니다. 이메일 공격 방지 제품 Deep Discovery Email Inspector는 이메일을 통해 유입되는 랜섬웨어를 감지하고 차단합니다. 오피스스캔과 같은 엔드포인트 제품은 동작 모니터링 기능 (무단 변경 모니터링 기능) 강화 및 애플리케이션 제어 및 취약점 패치 기능을 통해 위협을 최소화 할 수 있습니다. 서버 및 클라우드 보안 제품 Deep Security는 가상화, 클라우드, 물리적 서버 환경에서 랜섬웨어의 침입을 방지합니다. 트렌드마이크로의 개인용 솔루션 맥시멈 시큐리티 10은 악성 웹사이트, 이메일 및 기타 문서를 차단하여 랜섬웨어 및 기타 멀웨어의 공격에 대한 통합적인 보안을 제공합니다.

원문: Cerber: A Case in Point of Ransomware Leveraging Cloud Platforms




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


CERBER 변종, 클라우드 기반 서비스를 노린다

https://www.trendmicro.co.kr/kr/blog/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.22 11:37

최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

분석과정

 

역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 하는지 알아내려 할 때 상세한 내용을 조사하기에 앞서 분석대상이 풍기는 전반적인 분위기를 포착할 수 있어야 한다.

 

ThreatAnalyzer는 샌드박스 솔루션으로 프로그램, 파일, URL을 통제 및 감시되는 환경 내에서 실행하고 이에 대한 상세보고서를 생성하여 연구분석 인력이 해당 샘플의 정확한 행동양상을 판단할 수 있도록 돕는 역할을 한다. 샌드박스는 피해징후(indicator of compromise, IOC)를 빠르게 포착하기 위한 위협정보 생성에 적합한 솔루션이다ThreatAnalyzer 6.1ThreatTrack이 선보이는 최신 샌드박스로 행동탐지 메커니즘을 내장하여 대상 샘플의 전체적인 행동양상을 판단하고 이러한 행동양상을 토대로 해당 샘플이 악성인지 무해한지 예측할 수 있다.

 



위 그림을 보면 ThreatAnalyzer 6.1이 본 샘플에 대해 다음과 같은 중요 정보를 생성했음을 볼 수 있다.

 

1. 3개 항목에 따라 대상샘플을 악성으로 판단

(1) ThreatTrack 통합 위협정보 데이터베이스 ThreatIQ 관측결과 대상샘플이 차단된 URL에 접근 시도

(2) 1개 이상의 안티바이러스 엔진이 대상샘플을 감지

(3) 대상샘플의 행동양상 판단결과 악성일 가능성이 높음

2. 레지스트리 변경, 파일 입출력(IO), 네트워크 접근시도와 이에 따른 프로세스 내용을 분석가/사용자에게 제공

3. 분석결과 수집된 상세정보를 다운로드 가능한 PDF 또는 XML 형식 보고서로 생성. 사용자는 선택에 따라 상세보고서, 생성된 중요파일, 새롭게 열린 창에 대한 스크린샷, 네트워크 활동내역을 기록한 PCAP 파일 사본 등이 포함된 자료를 다운받을 수 있다.

 

ThreatAnalyzer는 사용자가 분석한 샘플에 대한 상세보고서를 XML, JSON, PDF 형식으로 제공한다. 여기에는 생성된 프로세스, 생성/변경/접근된 파일, 변경된 레지스트리, 생성된 오브젝트, 네트워크 접속내역 등의 내용이 포함된다.

 

본 샘플에 관련된 XML 파일을 상세히 살펴보면 다음과 같은 활동내역을 볼 수 있다.

WINWORD.EXE 프로세스 생성(분석과정에서 DOTM 파일을 주입했으므로 예상된 결과), 프로세스 트리를 보면 생성된 프로세스는 다음과 같다,/

exe

exe

임의의 이름이 지정된 VBS 파일을 %appdata% 디렉토리에 다음과 같이 생성 - %appdata%\15339.vbs

VBS 파일을 요청하는 cmd.exe 프로세스 생성

exe /V /C set “GSI=%APPDATA%\%RANDOM%.vbs” (for %i in (“DIm RWRL” “FuNCtioN GNbiPp(Pt5SZ1)” “EYnt=45” “GNbiPp=AsC(Pt5SZ1)” “Xn1=52” “eNd fuNCtiON” “SUb OjrYyD9()”

다음 URL에 대한 접속 시도

httx://solidaritedeproximite.org/mhtr.jpg

임의의 이름이 지정된 .TMP 파일을 %appdata% 디렉토리에 생성하고 실행 - 해시값: ee0828a4e4c195d97313bfc7d4b531f1

 

이상의 분석결과는 단순한 오피스 문서파일에 대한 분석결과임을 볼 때 대단히 수상한 행동양상에 해당하며 이를 정상이라고 판단하기는 어렵다그러므로 원래 아는 사람이나 기관이 보낸 첨부물이라 해도 조금이라도 의심이 되는 경우라면 본 시스템에 받기에 앞서 ThreatAnalyzer와 같은 샌드박스를 통해 실행시켜 보는 게 좋다.

 

 

역설계


 


본 랜섬웨어의 코드를 분석해 보면 오피스 365 외에 오피스 2007 이상 버전에서도 작동함을 알 수 있다. 악성 오피스 첨부물을 열 경우 Document_Open 함수 내부의 매크로가 자동 실행된다. 다만 이는 매크로가 허용된 경우, 혹은 이전 버전의 오피스에서는 보안수준이 낮음으로 설정된 경우에만 해당된다. 또한 Cerber 매크로 변종의 각 연산은 난독화돼 있는데 이는 분석과정을 지연시키고 기존 안티바이러스의 시그내쳐 탐지를 우회하려는 수법일 가능성이 높다.


 

자동 실행된 매크로는 %appdata%VBS 스크립트를 생성하게 된다. VBS 파일 또한 난독화 처리됐으나 암호화되진 않았다여기에서 행동탐지를 회피하려는 의도가 있을 수도 있고 없을 수도 있는 흥미로운 행동양상이 관측된다. 매크로는 Timer 함수를 통해 임의의 정수가 생성하고 이를 자체 생성한 변수와 비교하는데 이는 코드가 암호화 구성요소를 다운로드하는 시점을 결정하게 된다. 그리고 나서 VBS 내장 네트워크 기능을 통해 원격서버에 접속하여 다음 파일의 다운로드를 시도하게 된다. 위 파일은 단순한 JPG 파일이라서 무해해 보일 수도 있지만 위 VBS 코드를 보면 이 JPG 파일의 내용을 %appdata%.TMP 형식으로 저장하고 실행시킨다는 점을 알 수 있다. 이 수법은 사실 오래 전부터 다른 맬웨어가 이미 사용했던 구식 수법이라서 이목을 끈다.

 


다은로드된 구성요소의 MD5 해시값: ee0828a4e4c195d97313bfc7d4b531f1 


이 파일은 Cerber 랜섬웨어의 암호화 구성요소로 피해대상 시스템의 목표파일을 스캔 및 암호화한다. 이 구성요소에 대한 전체 분석결과는 별도의 글에서 다룬다. 흥미로운 점은 이렇게 다운로드된 Cerber 실행파일이 인터넷 연결이 끊어진 경우에도 파일 암호화를 실행한다는 데 있다. EXE 내부 코드를 보면 CrytoWall, Locky, Teslacrypt 등 다른 랜섬웨어와 달리 파일 암호화를 위해 원격서버에 접속하려는 시도를 하지 않는다는 점을 알 수 있다.

 

시스템 감염이 완료되면 바탕화면에 아래 그림과 같은 메시지가 표시된다.


 

그리고 웹브라우저를 통해 아래 그림과 같이 메시지가 표시된다.


 

그리고 로봇 음성을 통해 “your documents, photos, databases, and other important files have been encrypted” 라는 메시지를 재생하기도 한다.

 

 

감염과정 요약

1. 악성 오피스 첨부물을 포함한 스피어피싱 메일 도달

2. 사용자가 이메일을 열고 첨부물을 실행시켰을 때 오피스 매크로가 허용된 상태라면 매크로를 실행되어 별도의 VBS 스크립트가 생성됨

3. 스크립트가 원격서버에 접속하여 Cerber 랜섬웨어 암호화 구성요소를 다운받아 실행시킴

4. 사용자 파일을 스캔하고 암호화

5. 사용자 시스템이 Cerber에 감염됐다는 메시지 표시


 

 


ThreatTrack Security Labs, A Look at the Cerber Office 365 Ransomware, 7. 13. 2016.

https://blog.threattrack.com/closer-look-cerber-office-365-attack/

 

번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.15 15:44

위로가기