MFT에 해당하는글 2


러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.


MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.


Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.


다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.


현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:15

랜섬웨어 위협이 나날이 커지고 있다. Cryptowall, TeslasCrypt, Locky 등 랜섬웨어 변종들은 막대한 피해를 유발했다. 그리고 최신 변종인 Petya는 더욱 교묘한 활동양상을 보인다.

 

Petya는 파일 암호화에 그치지 않고 시스템 자체를 먹통으로 만들어 피해자가 합의금을 지불할 수밖에 없도록 하며 파일시스템의 MFT(master file table)을 암호화하여 운영체제 불러오기 자체를 막아 버린다. MFTNTFS 파일시스템에서 핵심적인 파일로 NTFS 논리볼륨의 모든 파일기록과 디렉토리를 담고 있다. 각 기록에는 운영체제의 정상적 부팅을 위해 필요한 모든 요소가 들어 있다.

 

Petya는 다른 맬웨어처럼 구직원서에 드롭박스 링크가 포함된 스피어피싱 이메일을 통해 배포된다. 이 링크는 자동 추출되는 커버레터가 있다고 속임수를 쓰지만 실제로는 자동 추출되어 악성행동을 개시하는 실행파일이 들어 있다.


 Petya 다운로드파일


Petya 감염행동양상

 

Petya 랜섬웨어의 감염은 두 단계로 진행된다. 1단계에서는 MBR 감염과 암호화키 생성이 이루어져며 이 때 합의금 지불을 요구하는 메시지에 사용되는 복호화 코드도 생성된다. 2단계에서는 MFT가 암호화된다.

 

암호화 1단계  


 

감염 1단계 행동양상

 

MBR 감염은 DeviceIOControl API 지원으로 \\.\PhysicalDrive0 직접조작을 통해 진행된다. 먼저 기기 드라이버에 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 전송하여 루트드라이브 \\.\c의 물리적 위치를 알아낸다. 그리고 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 통해 \\.\PhysicalDrive0 확장디스크파티션 정보를 전송하게 된다.



 

악성코드는 XOR op코드 및 0x37을 통해 원본 MBR을 암호화시킨 다음 나중에 이용하기 위해 보관하게 된다. 또한 0x37이 들어 있는 34개의 디스크영역이 생성된다. 이후 PetyaMFT 감염코드가 실행된다. 56번 영역에는 암호화된 원본 MBR이 들어간다.

 



감염된 디스크



암호화된 원본 MBR

 

MBR 감염 이후에는 NTRaiseHardError 트리거링을 통해 의도적으로 시스템을 중단시킨다. 이는 BSOD 트리거링으로 이어져 시스템이 재시작되며 결국 감염된 MBR을 통해 부팅이 진행되는 결과가 된다.

 


BSOD 트리거링



BSOD

 

디스크의 덤프이미지를 조사한 결과 가짜 CHKDSK가 나타났으며 합의금 요구 메시지와 더불어 ASCII로 해골 모양이 표시됐다.



덤프 디스크 이미지

 

감염 2단계

 

2단계 감염코드는 16비트 아키텍쳐로 작성됐으며 BIOS 중단(interrupt) 신호를 이용한다. 감염코드는 시스템 부팅시 Petya 악성코드를 34번 영역에 있는 메모리로 불러온다. 우선 섹터의 첫 바이트가 0x0인지 조사함으로써 시스템이 이미 감염됐는지 판별한다. 아직 감염되지 않은 상태라면 가짜 CHKDSK가 표시된다.

 


가짜 CHKDSK

 

아래 메시지가 보인다면 이미 MFT 테이블이 salsa20 알고리즘을 통해 암호화됐음을 의미한다.




피해자는 부팅시 보는 화면



랜섬 메시지 및 안내

 

Petya 랜섬웨어 웹페이지

 

피해자가 개인 복호화키를 얻을 수 있는 웹페이지는 봇에 대한 방어를 갖추고 있으며 Petya 랜섬웨어 프로젝트가 개시된 시기에 대한 정보와 파일복구시 유의사항 그릭 FAQ 페이지를 포함하고 있다. 해당 페이지는 기이하게도 사용하게 편리하며 합의금 액수가 두 배로 인상되기 전까지 남은 시간을 보여주기도 한다.

 


랜섬 페이지 captcha



Petya 홈페이지

 

또한 Petya에 대해 경고하는 여러 안티바이러스 업체의 블로그와 뉴스기사 등 다양한 뉴스 피드도 들어 있다.

 



아울러 비트코인 구매방법 등 합의금을 지불하는 과장에 대한 단계별 안내도 나와 있다. 피해자가 돈을 지불하는 과정에서 문제가 생길 경우에 대비한 웹지원 창구까지 마련돼 있다. Petya의 요구금액이 다른 랜섬웨어에 비해 저렴한 편이란 사실도 주목할 만하다.



 

합의금지불 4단계에서는 Petya 측에서 입금을 받았는지 확인할 때까지 다음 버튼이 비활성화 상태가 된다.

 

이하는 ThreatTrackThreatSecure Network 대시보드에서 Petya를 차단한 모습이다. ThreatSecure와 같은 툴을 통해 이러한 공격을 실시간으로 감지 및 방해할 수 있다.

 


ThreatSecure Network에 의한 Petya 랜섬웨어 적발

 

<참고>유료안티바이러스 http://storefarm.naver.com/softmate

<참고>ThreatTrack 보안소프트웨어 http://softmate1.blog.me/220310999709


 



ThreatTrack Security Labs, A Glimpse at Petya Ransomware, 5. 3. 2016.

https://blog.threattrack.com/petya-ransomware/

 

번역: madfox




참고링크 


<랜섬웨어 차단 가능한 AVG 유료안티바이러스>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.19 16:15

위로가기