본문 바로가기

벌새::Analysis

mp3 파일 검색으로 인한 Cerber 랜섬웨어(Ransomware) 감염 주의 (2016.11.7)

반응형

문서, 사진, 음악, 압축, 동영상 등의 개인 파일을 암호화하여 금전을 요구하는 Cerber 랜섬웨어(Ransomware)는 현재 국내 인터넷 사용자들이 가장 쉽게 감염될 수 있는 대표적인 랜섬웨어입니다.

 

 

현재 유포되는 Cerber 랜섬웨어(Ransomware)는 2016년 10월 초 (Random 파일명).(4자리 Random 확장명) 형태로 암호화되고 있으며, 2016년 10월 말경부터 Cerber Ransomware 4.1.x 버전으로 마이너 업그레이드가 이루어진 상태입니다.

 

그렇다면 실제 어떻게 사용자가 Cerber 랜섬웨어에 감염되어 파일 암호화가 진행되는지 시각적으로 공개된 정보가 없기에 감염 과정에 대해 살펴보도록 하겠습니다.

 

우선 Cerber 랜섬웨어의 감염 대상자는 보안 업데이트가 제대로 이루어지지 않은 PC 환경에서 특정 웹 사이트에 접속할 경우 노출되는 광고 배너 또는 추가적인 클릭을 통해 연결될 수 있는 악의적인 사이트로 인해 자동 감염이 될 수 있습니다.

 

예를 들어 사용자가 MP3 음악 파일을 찾기 위해 인터넷 검색을 통해 다음과 같은 해외 사이트에 접속을 할 수 있습니다.

 

 

해당 웹사이트 접속 행위만으로는 어떠한 문제도 발생하지 않으며, 사용자가 mp3 검색을 위해 검색창이 마우스를 클릭할 경우 광고 사이트를 비롯한 추가적인 사이트 연결이 자동으로 이루어지게 됩니다.

 

 

그 중에서 악의적인 스크립트 코드가 포함된 웹사이트 창이 오픈될 수 있으며, 외형적으로는 아무런 콘텐츠가 표시되지 않지만 내부적으로는 난독화된 코드가 포함되어 있는 것을 알 수 있습니다.

 

이런 사이트 연결이 이루어진 상태에서 보안 업데이트가 이루어진 환경에서는 코드 실행에 실패하지만 최신 보안 업데이트가 제대로 적용되지 않은 PC 환경에서는 다음과 같은 악의적인 코드가 단계별로 자동 실행될 수 있습니다.

 

 

  • SHA-1 : 4b62bbb0b7eb0b3f8ad24b6584eed89f363c47c6 - Kaspersky : HEUR:Exploit.Script.Generic
  • SHA-1 : f0d9f22badb0cc17a98140c2f76a8d599967d171 - Kaspersky : HEUR:Exploit.SWF.Generic

 

난독화된 코드는 접속 시마다 다양한 악성 도메인 연결을 통해 감염을 유발할 수 있으며, Adobe Flash Player 플러그인 취약점을 통해 이용하는 것을 알 수 있으며 이 과정에서 Powershell 기능을 통한 파일 다운로드 및 실행이 이루어집니다.

 

 

  • SHA-1 : 9d48589dc1e202847980004f8290cd12289f7a5c - Microsoft : Ransom:Win32/Cerber!rfn

 

최종적으로 Cerber 랜섬웨어(Ransomware) 악성 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\(Random).exe" 파일 형태로 생성 및 실행됩니다.

 

 

실행된 Cerber 랜섬웨어(Ransomware)는 하드 디스크, 네트워크 드라이브를 통한 공유 폴더, 외장 하드, USB 등과 같은 저장 장치에 존재하는 문서, 사진 등의 파일을 암호화한 후 "Cerber Ransomware 4.1.3" 버전으로 표기된 바탕 화면 배경으로 변경합니다.

 

또한 Cerber 랜섬웨어(Ransomware) 특유의 텍스트 음성 변환(TTS) 기능을 통해 "Attention! Attention! Attention! Your documents, photos, databases and other important files have been encrypted!" 음성을 출력합니다.

 

 

특히 한국어로 표시된 랜섬웨어 결제 안내 파일(README.hta) 생성을 통해 "Cerber Decryptor" 구매를 위한 안내를 수행합니다.

 

모든 파일 암호화 및 안내가 이루어진 상태에서는 Cerber 랜섬웨어(Ransomware) 악성 파일은 자동으로 삭제 처리가 이루어지는 것으로 마무리됩니다.

 

 

실제 취약점(Exploit)을 이용한 Cerber 랜섬웨어(Ransomware) 감염 과정을 보여주는 동영상을 제작하였으므로 감상해 보시기 바랍니다.(※ 영상 중간에 감염 시 게임 광고 사운드가 나오므로 사운드를 약간 줄이시기 바랍니다.)

 

위와 같은 Cerber 랜섬웨어(Ransomware) 감염 피해를 입은 경우 단순히 악성 파일 제거 또는 포맷을 통해 문제를 해결하는 분 중에서 감염의 원인을 제공하는 취약점(Exploit) 문제를 해결하는 분들이 얼마나 될지 의문입니다.

 

 

예전에 CryptoWall 랜섬웨어(Ransomware) 감염 이슈에 대해 소개하면서 취약점(Exploit)을 통한 악성코드 감염을 예방할 수 있는 방법을 자세하게 작성한 적이 있었습니다.

 

그러므로 예방법으로 제시한 ① Windows 업데이트 기능을 이용한 매월 제공되는 보안 패치 설치 ② 사용하는 웹 브라우저 보안 업데이트 ③ Adobe Flash Player 최신 버전 사용 ④ Oracle Java 플러그인이 설치된 경우 최신 버전 사용 ⑤ Microsoft Silverlight 플러그인이 설치된 경우 최신 버전 사용 ⑥ Adobe Acrobat 또는 Adobe Reader 보안 업데이트 ⑦ 취약점(Exploit) 차단 솔루션 추가 사용과 같은 보안 조치가 항상 꾸준하게 이루어져야 합니다.

 

특히 백신 프로그램의 진단 우회 및 제로데이(0-Day) 보안 취약점을 통한 랜섬웨어(Ransomware) 감염이 성공적으로 이루어질 수도 있다는 점에서 앱체크(AppCheck) 안티랜섬웨어 프로그램을 추가적으로 사용한다면 더욱 완벽하게 대응할 수 있습니다.

 

이번 감염 사례와 같이 자신도 모르게 자동 감염될 수 있는 랜섬웨어(Ransomware)를 비롯한 각종 악성코드에 대해 적극적인 보안 업데이트 및 보안 솔루션을 이용하여 대응하시기 바랍니다.

 

 

마지막으로 이번 감염 사례의 경우 광고 배너 차단 솔루션으로는 대응할 수 없으며, 특히 웹 브라우저에서 제공하는 팝업 차단 기능을 사용하지 않을 경우 악성 사이트가 팝업으로 노출될 수 있으므로 팝업 차단 기능을 반드시 활성화(ON)하시고 사용하시기 바랍니다.

728x90
반응형