2014년 하반기부터 2015년 초에 .xtbl 또는 .ytbl 파일 확장명으로 파일 암호화를 통해 금전을 요구하는 Shade 랜섬웨어(Ransomware)는 단순히 파일 암호화만을 수행하는 것이 아니라 추가적인 악성코드를 다운로드하여 악의적인 기능을 수행하는 2중의 행위를 수행하였다고 합니다.

그런데 최근 일본(Japan) 메일 계정을 이용하여 특정 회사들을 대상으로 Shade 랜섬웨어 변종을 유포한 사례가 확인되어 살펴보도록 하겠습니다.

  • 메일 제목 : 제목 없음
  • 첨부 파일 : jppost_204574746.zip → 追跡番号_4455887213100_JAPANPOST.js (SHA-1 : 106d6be5cf84685e8d15cf417963593d60f71a3f) - Trend Micro : JS_CRYPTOLDESH.DL
확인된 메일은 일본어로 작성되어 있으며 ZIP 압축 파일 내에 동봉된 JS 스크립트 파일을 실행하여 우편물 주소를 확인하라는 내용으로 구성되어 있습니다.

최근 스팸 메일에 첨부된 JS 스크립트 파일을 실행할 경우 Locky 랜섬웨어 감염을 유발시키듯이, 해당 난독화된 스크립트 파일 역시 실행 시 다음과 같은 추가적인 파일 다운로드를 수행합니다.

  • h**p://hangkim***.com/wp-includes/js/tinymce/plugins/fullscreen/3789.60 (SHA-1 : 02b75e6ac19fad5f05690ec4900c6f50510cf312) - Trend Micro : Ransom_CRYPTOLDESH.B
다운로드된 악성 파일은 자기 자신을 임시 폴더(C:\Users\(로그인 계정명)\AppData\Local\Temp\rad38BB8.tmp)에 랜덤(Random)한 tmp 파일을 생성한 후 Windows 부팅 시마다 자동 실행되도록 다음과 같이 등록합니다.

생성 폴더 / 파일 및 진단 정보


C:\ProgramData\Windows\csrss.exe :: 시작 프로그램(Client Server Runtime Subsystem) 등록 파일, 메모리 상주 프로세스

 - SHA-1 : 02b75e6ac19fad5f05690ec4900c6f50510cf312

 - Trend Micro : Ransom_CRYPTOLDESH.B


생성 레지스트리 등록 정보


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - Client Server Runtime Subsystem = "C:\ProgramData\Windows\csrss.exe"


실행된 악성 파일은 감염자의 IP 정보를 조회한 후 C&C 서버와의 암호화된 통신을 통해 파일 암호화 준비를 수행합니다.

위와 같은 파일 암호화 대상이 되는 확장명을 가진 파일을 대상으로 네트워크 공유 폴더, 외장 하드, 하드 디스크를 대상으로 암호화가 진행된 후 .better_call_saul 확장명으로 변경되는 것이 특징입니다.

특히 파일 암호화와 동시에 네트워크 공유 폴더 루트 폴더, 외장 하드 루트 폴더, 바탕 화면에 README1.txt ~ README10.txt 문서를 생성합니다.

실제 파일 암호화가 이루어진 폴더를 확인해보면 기존에 무슨 파일이었는지 알 수 없도록 파일명까지 변경하고 있으며 한글 문서(HWP)는 암호화 대상에서 제외되어 있습니다.

파일 암호화가 마지막 단계에서는 랜덤(Random)한 파일명으로 생성되는 "C:\Users\(로그인 계정명)\AppData\Roaming\8457CF878457CF87.bmp" 그림 파일을 생성하여 바탕 화면 배경으로 변경합니다.

생성된 README(숫자).txt 파일에는 특정 이메일 계정으로 제시된 복호화 코드를 보낼 것을 요구하고 있으며, 48시간 이내에 답변이 없을 경우 Tor Browser 또는 웹 브라우저를 통해 특정 사이트로 접속을 안내하고 있습니다.

연결된 웹사이트는 러시아, 영어로 작성된 이메일 주소 안내와 RSA-3072 암호화 알고리즘으로 파일이 암호화되어 복호화 키 없이는 복구가 불가능함을 강조하고 있습니다.

Shade 랜섬웨어는 기존의 다른 랜섬웨어와는 다르게 파일 암호화 후 자동 종료(삭제)되지 않고 지속적으로 메모리에 상주하며, 감염 후 Windows 재부팅 시부터는 "Client Server Runtime Subsystem" 시작 프로그램 등록값을 통해 "C:\ProgramData\Windows\csrss.exe" 악성 파일이 자동 실행됩니다.

메모리에 상주하게 된 악성 파일은 파일 암호화가 완료된 후 일정 시간이 경과하면 추가적인 악성 파일을 드랍하는 행위를 확인할 수 있습니다.


생성 폴더 / 파일 및 진단 정보


C:\ProgramData\Drivers\csrss.exe :: 시작 프로그램(CSRSS) 등록 파일, 메모리 상주 프로세스, 숨김(H)/시스템(S) 속성

 - SHA-1 : 0953f0672acbc0ad601b0b8f53bf285a2fa6915e

 - Kaspersky : Trojan.Win32.Agent.neunfv


C:\Users\(로그인 계정명)\AppData\Local\Temp\54F6FA03.exe :: 랜덤(Random) 파일명

 - SHA-1 : 0953f0672acbc0ad601b0b8f53bf285a2fa6915e

 - AhnLab V3 : Trojan/Win32.FakeMS.R134559


C:\Users\(로그인 계정명)\AppData\Local\Temp\58E8B449.exe :: 랜덤(Random) 파일명

 - SHA-1 : 8b45f3a76e723f9ce170cc20b010a40318dbda36

 - AVG : Dropper.NSIS


생성 레지스트리 등록 정보


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - CSRSS = "C:\ProgramData\Drivers\csrss.exe"


추가 생성된 악성 파일은 악의적인 통신 수행을 목적으로 추가적인 DLL 파일(정상) 및 구성 요소를 생성하여 다음과 같은 행위를 수행합니다.

거의 대부분 WordPress 계열의 다수의 웹사이트 관리자 계정으로 로그인을 수행하여 사이트 권한 탈취를 시도하며, 이를 통해 관리자 권한을 획득한 경우 웹서버에 랜섬웨어(Ransomware) 악성 파일 업로드를 통한 유포에 활용될 것으로 추정됩니다.

또한 Windows 부팅 시마다 자동 실행하여 웹사이트 관리자 권한을 탈취할 Microsoft 파일로 위장한 "C:\ProgramData\Drivers\csrss.exe" 악성 파일은 숨김(H), 시스템(S) 속성값을 가지고 있으므로, 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크해야지 표시됩니다.


■ Shade 랜섬웨어(.better_call_saul) 대응 방법

메일 첨부 파일에 동봉된 JS 스크립트 파일 실행을 통해 다운로드되어 실행된 Shade 랜섬웨어는 파일 암호화 시도 시 AppCheck 안티랜섬웨어 제품을 통해 차단/제거 및 일부 훼손된 원본 파일을 자동 복원하는 것을 확인할 수 있었으며, 차단을 통해 추가적인 악성 파일 설치 행위도 예방할 수 있습니다.


또한 메일을 통해 유포되는 첨부 파일 실행을 통한 랜섬웨어 감염 방식은 사용자가 파일 실행 여부에 따라 감염 여부가 결정되므로 의심스러운 메일에 첨부된 파일을 함부로 실행하는 일이 없도록 각별히 주의하시기 바랍니다.


신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..