PETYA에 해당하는글 4


러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.


MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.


Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.


다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.


현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:15



랜섬웨어는 이제 빠른 배포에 그치지 않고 암호화 외에 추가기능까지 생겨나고 있다. 2016년 2월 최초 발견된 Cerber 랜섬웨어는 처음 알려질 당시만 해도 피해자에게 돈을 요구하는 메시지를 음성으로 전달하는 등 음산한 면도 있었으나 기본적으로는 파일복구를 대가로 돈을 요구하는 단순한 구조를 가지고 있었다. 그러나 오늘날 Cerber 최신버전은 피해자 컴퓨터의 파일을 암호화시키는 데서 나아가 그 컴퓨터를 봇넷에 연결된 좀비PC로 만들어 버리기까지 한다. Cerber가 이메일첨부물을 통해 배포되고 실행되면 우선 파일을 암호화시키고 해당 파일의 복구 대가로 돈을 요구한다. 그런데 Cerber는 여기에서 그치지 않고 인터넷 연결을 제어하며 이렇게 되면 피해자 컴퓨터는 분산서비스공격(distributed denial of service, DDoS)이나 스팸전송 등에 활용되는 좀비PC가 된다. 이는 근래 맬웨어가 다목적으로 여러 악성코드를 가지고 있는 경향을 반영하는 사례다.


사실 여러 악성코드를 담은 랜섬웨어는 Cerber 이전에도 목격된 바 있다. Petya 랜섬웨어의 경우 피해자 컴퓨터의 하드드라이브 전체를 암호화하는 데 필요한 승인을 얻기 위해 Mischa 악성코드를 동반한다. CryptXXX 랜섬웨어의 경우 기본적인 암호화 외에 피해자의 개인정보와 비트코인을 훔칠 수 있는 기능까지 가지고 있다.


이렇게 여러 기능을 보유한 랜섬웨어는 기존의 단순한 랜섬웨어에 비해 훨씬 큰 피해를 야기할 수 있으며 따라서 예방의 중요성 또한 더욱 커진다. 사실 Cerber와 같은 랜섬웨어는 감염시 영향은 치명적이지만 충분히 예방할 수 있다. 이메일 주의, 주기적 백업, 운영체제 및 어플리케이션 패치 최신으로 유지, 강력한 보안솔루션 사용 등의 수칙을 따름으로써 랜섬웨어 감염을 예방하고 설령 감염이 발생할지라도 그 피해를 최소화할 수 있다. Kaspersky Lab 보안솔루션은 Cerber 랜섬웨어를 Trojan-Ransom.Win32.Zerber라는 이름으로 탐지해 낼 수 있다.



<참고: 카스퍼스키 안티바이러스 상세정보>




Sarah Pike, Multipurpose malware: Sometimes Trojans come in threes, 5. 27. 2016.

https://usblog.kaspersky.com/cerber-multipurpose-malware/7201/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.01 14:16



Petya 및 Mischa 랜섬웨어 제작자들이  '업계 경쟁세력'에게 일격을 날렸다. 우선 이른바 랜섬웨어서비스(Ransomware-as-a-Service, RaaS)라는 방식으로 랜섬웨어 변종을 대량 배포함으로써 일반인도 범죄의지만 있다면 랜섬웨어로 사이버공격을 행할 수 있는 발판을 마련했다.

참고: http://www.securityweek.com/petya-mischa-ransomware-now-available-service


그리고 Chimera 랜섬웨어에 감염된 시스템에 적용될 수 있다고 주장하면서 3500개의 RSA 개인키를 배포했으며 이는 라이벌 세력인 Chimera 랜섬웨어의 활동을 방해하려는 의도로 보인다. 해당 키는 Pastebin에 게재됐으며 게시글에서는 이를 통해 복호화툴을 만드는 데 도움이 될 수 있다고 밝히고 있다.

참고: http://pastebin.com/7HrZCsmT


Mischa 제작자들이 작성한 내용은 다음과 같다. "2016년 초 우리는 Chimera 랜섬웨어 개발과정에 상당부분이 접근할 수 있었으며 이에 따라 Chimera를 우리 프로젝트에 포함시켰다. 아울러 Chimera에 대한 복호화키 3500개를 공개 배포한다."


해당 복호화키가 실제로 Chimera 랜섬웨어로 암호화된 파일을 복호화할 수 있는지 판별하고 이를 통해 복호화 프로그램이 제작돠려면 시간이 거릴 수밖에 없지만 적어도 가능성은 생겼으므로 Chimera 랜섬웨어 피해자는 섣불리 파일을 삭제하지 말고 기다리는 것도 방법이 될 수 있겠다. 하지만 앞서 언급한 RaaS를 통해 참여자에게 랜섬웨어를 배포하여 수익을 챙길 수 있는 기회를 주는 방식이 출현했으며 상당기간 널리 퍼지리라 예상되므로 결코 주의를 늦출 수는 없다.


컴퓨터기술포럼 BleepingComputer.com 설립자 Lawrence Abrams는 "이번 일을 계기로 Petya 및 Mischa 랜섬웨어의 배포가 더욱 활발하게 일어날 가능성이 높다."는 의견을 피력했다.



Lisa Vaas, Chimera ransomware keys leaked by rival malware developers, 7. 28. 2016.

https://nakedsecurity.sophos.com/2016/07/28/chimera-ransomware-keys-leaked-by-rival-malware-developers/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.07.29 16:40

랜섬웨어 위협이 나날이 커지고 있다. Cryptowall, TeslasCrypt, Locky 등 랜섬웨어 변종들은 막대한 피해를 유발했다. 그리고 최신 변종인 Petya는 더욱 교묘한 활동양상을 보인다.

 

Petya는 파일 암호화에 그치지 않고 시스템 자체를 먹통으로 만들어 피해자가 합의금을 지불할 수밖에 없도록 하며 파일시스템의 MFT(master file table)을 암호화하여 운영체제 불러오기 자체를 막아 버린다. MFTNTFS 파일시스템에서 핵심적인 파일로 NTFS 논리볼륨의 모든 파일기록과 디렉토리를 담고 있다. 각 기록에는 운영체제의 정상적 부팅을 위해 필요한 모든 요소가 들어 있다.

 

Petya는 다른 맬웨어처럼 구직원서에 드롭박스 링크가 포함된 스피어피싱 이메일을 통해 배포된다. 이 링크는 자동 추출되는 커버레터가 있다고 속임수를 쓰지만 실제로는 자동 추출되어 악성행동을 개시하는 실행파일이 들어 있다.


 Petya 다운로드파일


Petya 감염행동양상

 

Petya 랜섬웨어의 감염은 두 단계로 진행된다. 1단계에서는 MBR 감염과 암호화키 생성이 이루어져며 이 때 합의금 지불을 요구하는 메시지에 사용되는 복호화 코드도 생성된다. 2단계에서는 MFT가 암호화된다.

 

암호화 1단계  


 

감염 1단계 행동양상

 

MBR 감염은 DeviceIOControl API 지원으로 \\.\PhysicalDrive0 직접조작을 통해 진행된다. 먼저 기기 드라이버에 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 전송하여 루트드라이브 \\.\c의 물리적 위치를 알아낸다. 그리고 IOCTL_VOLUME_GET_VOLUME_DISK_EXTENTS 제어코드를 통해 \\.\PhysicalDrive0 확장디스크파티션 정보를 전송하게 된다.



 

악성코드는 XOR op코드 및 0x37을 통해 원본 MBR을 암호화시킨 다음 나중에 이용하기 위해 보관하게 된다. 또한 0x37이 들어 있는 34개의 디스크영역이 생성된다. 이후 PetyaMFT 감염코드가 실행된다. 56번 영역에는 암호화된 원본 MBR이 들어간다.

 



감염된 디스크



암호화된 원본 MBR

 

MBR 감염 이후에는 NTRaiseHardError 트리거링을 통해 의도적으로 시스템을 중단시킨다. 이는 BSOD 트리거링으로 이어져 시스템이 재시작되며 결국 감염된 MBR을 통해 부팅이 진행되는 결과가 된다.

 


BSOD 트리거링



BSOD

 

디스크의 덤프이미지를 조사한 결과 가짜 CHKDSK가 나타났으며 합의금 요구 메시지와 더불어 ASCII로 해골 모양이 표시됐다.



덤프 디스크 이미지

 

감염 2단계

 

2단계 감염코드는 16비트 아키텍쳐로 작성됐으며 BIOS 중단(interrupt) 신호를 이용한다. 감염코드는 시스템 부팅시 Petya 악성코드를 34번 영역에 있는 메모리로 불러온다. 우선 섹터의 첫 바이트가 0x0인지 조사함으로써 시스템이 이미 감염됐는지 판별한다. 아직 감염되지 않은 상태라면 가짜 CHKDSK가 표시된다.

 


가짜 CHKDSK

 

아래 메시지가 보인다면 이미 MFT 테이블이 salsa20 알고리즘을 통해 암호화됐음을 의미한다.




피해자는 부팅시 보는 화면



랜섬 메시지 및 안내

 

Petya 랜섬웨어 웹페이지

 

피해자가 개인 복호화키를 얻을 수 있는 웹페이지는 봇에 대한 방어를 갖추고 있으며 Petya 랜섬웨어 프로젝트가 개시된 시기에 대한 정보와 파일복구시 유의사항 그릭 FAQ 페이지를 포함하고 있다. 해당 페이지는 기이하게도 사용하게 편리하며 합의금 액수가 두 배로 인상되기 전까지 남은 시간을 보여주기도 한다.

 


랜섬 페이지 captcha



Petya 홈페이지

 

또한 Petya에 대해 경고하는 여러 안티바이러스 업체의 블로그와 뉴스기사 등 다양한 뉴스 피드도 들어 있다.

 



아울러 비트코인 구매방법 등 합의금을 지불하는 과장에 대한 단계별 안내도 나와 있다. 피해자가 돈을 지불하는 과정에서 문제가 생길 경우에 대비한 웹지원 창구까지 마련돼 있다. Petya의 요구금액이 다른 랜섬웨어에 비해 저렴한 편이란 사실도 주목할 만하다.



 

합의금지불 4단계에서는 Petya 측에서 입금을 받았는지 확인할 때까지 다음 버튼이 비활성화 상태가 된다.

 

이하는 ThreatTrackThreatSecure Network 대시보드에서 Petya를 차단한 모습이다. ThreatSecure와 같은 툴을 통해 이러한 공격을 실시간으로 감지 및 방해할 수 있다.

 


ThreatSecure Network에 의한 Petya 랜섬웨어 적발

 

<참고>유료안티바이러스 http://storefarm.naver.com/softmate

<참고>ThreatTrack 보안소프트웨어 http://softmate1.blog.me/220310999709


 



ThreatTrack Security Labs, A Glimpse at Petya Ransomware, 5. 3. 2016.

https://blog.threattrack.com/petya-ransomware/

 

번역: madfox




참고링크 


<랜섬웨어 차단 가능한 AVG 유료안티바이러스>


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.05.19 16:15

위로가기