그 동안 CryptXXX 랜섬웨어(Ransomware)의 유포 방식은 대부분 Exploit Kit을 이용하여 보안 패치가 제대로 이루어지지 않은 PC가 특정 웹사이트 접속 시 자동 감염되는 방식으로 유포되고 있었습니다.
그런데 최근 메일에 첨부된 MS Word 문서(.doc)에 포함된 매크로(Macro) 기능을 통해 CryptXXX 랜섬웨어가 유포되고 있다는 정보가 공개되어 살펴보도록 하겠습니다.
참고로 CryptXXX 랜섬웨어 감염으로 인해 암호화된 파일은 변종에 따라 파일명과 확장명이 ".crypt → .cryp1 → .cryptz → 확장명 랜덤(Random) → 파일명/확장명 변경없음 → 파일명/확장명 랜덤(Random)" 패턴으로 다양하게 변화되고 있었습니다.
"Security Breach - Security Report #123456789" 제목으로 수신된 메일에 첨부(SHA-1 : b07510201ae1cc8268728c0c17e012ce2d0f869c - Fortinet : WM/Agent.BGV!tr)된 MS Word 문서(.doc)를 실행하면 Microsoft Office 로고와 함께 매크로(Macro) 기능을 활성화하도록 안내하는 문구가 포함되어 있습니다.
사용자가 매크로(Macro) 기능을 사용할 수 있도록 활성화할 경우 문서는 "error data!" 메시지가 표시되며 백그라운드 방식으로 다음과 같은 악의적인 기능을 수행합니다.
MS Word 문서에 포함된 매크로(Macro) 기능 수행을 통해 특정 웹 서버에 등록된 com_loader.jpg 그림 파일(SHA-1 : d3a69a5aa1f49a55eaed6de0686b45dede103b31 - Kaspersky : Trojan-Ransom.Win32.CryptXXX.bmy)을 다운로드하도록 구성되어 있습니다.
다운로드된 com_loader.jpg 그림 파일은 PE 파일로 임시 폴더(%Temp%)에 랜덤(Random)한 (숫자).exe 파일로 생성 및 실행되도록 구성되어 있습니다.
이를 통해 실행된 CryptXXX 랜섬웨어 악성 파일은 "91.220.131.147" C&C 서버(SSL)와의 통신에 성공할 경우 키교환 및 랜섬웨어 메시지 정보를 받아와 파일 암호화를 진행할 수 있습니다.
참고로 기존의 CryptXXX 랜섬웨어의 가장 큰 특징은 취약점(Exploit)을 통한 감염을 통해 임시 폴더(%Temp%)에 DLL 악성 파일을 생성하여 regsvr32.exe 또는 rundll32.exe 시스템 파일을 통해 특정 실행 변수를 추가하여 동작하도록 구성되어 있었습니다.
성공적으로 C&C 서버와 통신이 이루어질 경우 파일 암호화 대상 폴더에 생성되는 README.bmp, README.html, README.txt 메시지 정보를 받아오는 것을 확인할 수 있습니다.
이번에 사용된 CryptXXX 랜섬웨어는 기존 변종 중 파일명과 확장명을 변경하지 않는 방식으로 파일 암호화가 진행됩니다.
또한 파일 암호화 완료 단계에서는 vssadmin.exe 시스템 파일 실행을 통해 "Microsoft(R) 볼륨 섀도 복사본 서비스용 명령줄 인터페이스" 명령어(delete shadows /all /quiet)로 시스템 복구를 할 수 없도록 삭제를 시도합니다.
최종적으로 파일 암호화가 완료된 후에는 "C:\Users\%UserName%\AppData\Local\Temp\README.BMP" 그림 파일을 바탕 화면 배경으로 변경합니다.
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.bmp
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt
또한 Windows 부팅 시마다 시작프로그램 폴더에 등록된 README.bmp, README.html, README.txt 3종의 랜섬웨어 메시지 파일을 자동 실행되도록 구성되어 있습니다.
생성된 README.html 메시지 파일에서는 "ATTENTION! YOUR FILES ARE ENCRYPTED." 메시지를 통해 사용자 ID 정보와 Tor Browser를 이용한 특정 URL 주소로 접속을 안내하고 있습니다.
결제 관련 사이트에서는 한국어를 비롯한 25개국 언어로 암호 해독 서비스를 지원하고 있습니다.
내부에서는 파일 복구를 위한 Microsoft decryptor를 비트코인(Bitcoin) 결제를 통해 구입하지 않을 경우 가격이 2배로 상승하며, 일정 기간 후에는 복구키를 삭제하여 파일을 풀 수 없도록 협박하고 있습니다.
■ MS Word 문서(.doc)의 매크로(Macro) 기능을 이용한 암호화를 수행하는 CryptXXX 랜섬웨어(Ransomware) 대응 방법
웹사이트 접속 과정에서 취약점(Exploit)을 이용한 CryptXXX 랜섬웨어 감염 방식 또는 MS Word 문서(.doc)의 매크로(Macro) 기능을 이용한 CryptXXX 랜섬웨어 감염 방식 모두 AppCheck 안티랜섬웨어 제품은 파일 암호화 행위 차단이 가능하며, 일부 암호화된 파일도 자동으로 복원하고 있으므로 백신에서 차단하지 못할 경우를 대비하여 반드시 설치하시기 바랍니다.
또한 MS Word 문서를 실행할 경우 매크로(Macro) 기능 활성화를 요구할 경우에는 랜섬웨어(Ransomware)를 비롯한 악성코드 감염과 연결될 수 있다는 점에서 함부로 실행하지 않도록 각별히 주의하시기 바랍니다.