2017년 5월경까지 활발하게 유포되던 Locky 랜섬웨어는 한동안 조용하다가 8월 중순경에 스팸(Spam) 메일 첨부 파일을 통해 <Random>-<Random>-<Random>-<Random>-<Random>.diablo6 형태로 암호화하는 유포가 다시 시작되었습니다.
이후 최근에는 메일 첨부 파일 형태와 취약점(Exploit)을 이용하여 보안 패치가 제대로 이루어지지 않은 사용자가 웹 사이트 접속 시 자동 감염되는 방식으로 Locky 랜섬웨어 감염을 통해 <Random>-<Random>-<Random>-<Random>-<Random>.lukitus 형태로 암호화하고 있습니다.
취약점을 이용한 Locky 랜섬웨어(.lukitus) 유포 정보는 체크멀(CheckMAL) 블로그에서 공개한 내용을 참고하시기 바라며, 이 글에서는 메일 첨부 파일을 통해 유포된 MS Word 문서(.doc)를 통해 감염되는 Locky 랜섬웨어가 샌드박스(Sandbox) 자동 분석 환경을 우회하도록 제작된 부분을 중심으로 살펴보도록 하겠습니다.
우선 2017년 5월경 유포된 Locky 랜섬웨어(.osiris)의 경우에는 PDF 문서 파일을 통해 감염시키는 방식이 활용된 적이 있었습니다.
2017년 9월 11일 유포가 확인된 스팸(Spam) 메일에는 501329539.doc 문서 파일(SHA-1 : 751d028451cb22ab5e5ffcb8de68733860b4330c - AhnLab V3 : BinImage/Fakepic)을 첨부하여 사용자가 실행하도록 유도하고 있습니다.
실행된 MS Word 문서는 내부에 포함된 매크로(Macro)가 포함되어 있으며 사용자가 매크로 기능을 허용할 경우 동작하는 구조입니다.
실제로 MS Word 문서 구조를 확인해보면 내부에 VBA 스크립트 코드가 포함되어 있는 것을 확인할 수 있습니다.
그런데 일반적으로 매크로가 포함된 악성 문서 파일을 실행할 경우 자동으로 악성 스크립트 실행을 통해 다음 단계로 넘어가는 반면 이번에 사용된 방식은 자동 분석 환경을 우회할 목적으로 추가 동작을 진행하지 않고 대기합니다.
VBA 파일 내부 코드를 확인해보면 문서 파일이 종료될 경우 다음 단계로 진행하도록 제작되어 있음을 알 수 있으며, 일반적으로 샌드박스(Sandbox) 자동 분석의 경우에는 매크로 실행 후 오픈된 문서 파일 종료까지는 고려하지 않을 수 있기 때문에 이런 추가 행위 조건을 넣은 것으로 보입니다.
사용자가 오픈되어 있는 MS Word 문서를 종료하는 시점에서 스크립트 실행을 통해 PowerShell 기능으로 난독화된 코드를 실행하며, 해당 코드는 Nzb 문자열을 제거할 경우 3개의 웹 서버 중 1개에서 Locky 랜섬웨어 악성 파일을 다운로드하도록 설정되어 있습니다.
살아있는 서버에서 파일 다운로드가 이루어지면 "C:\Users\%UserName%\AppData\Local\Temp<숫자>.exe" 파일(SHA-1 : aa27dda522ea0ed0e8a11b89c1cdd3ec6ba973d7 - Malwarebytes : Ransom.Locky) 형태로 저장 및 실행됩니다.
이 과정을 프로세스 변화 영상을 통해 확인해 보시면 WINWORD.EXE (MS Word 프로그램)이 종료하는 시점에서 PowerShell 기능을 통해 Temp34298.exe 파일을 추가 다운로드하여 동작하는 모습을 확인할 수 있습니다.
실행된 Locky 랜섬웨어는 "188.127.239.10/imageload.cgi" C&C 서버와의 통신을 통해 파일 암호화가 진행되기 시작합니다.
이를 통해 문서, 사진, 음악, 압축 등의 개인 데이터 파일은 <Random>-<Random>-<Random>-<Random>-<Random>.lukitus 형태로 암호화되어 변경되며, 암호화된 폴더마다 lukitus-<Random>.htm 메시지 파일이 생성됩니다.
또한 바탕 화면 배경을 "C:\Users\%UserName%\Desktop\lukitus.bmp" 그림 파일로 변경하며, 추가적으로 "C:\Users\%UserName%\Desktop\lukitus.htm" 메시지 파일을 생성합니다.
Locky 랜섬웨어는 한국어(Korean)를 포함한 30개 언어로 Locky Decryptor 서비스를 운영하고 있으며, 초기 등장 이후부터 꾸준하게 다양한 유포 방식으로 국내에 피해를 유발하는 대표적인 랜섬웨어(Ransomware) 중의 하나입니다.
현재 유포되는 Locky 랜섬웨어(.lukitus)의 다양한 유포 방식과 변종에 대해서는 AppCheck 안티랜섬웨어 제품이 차단이 가능하며, 탐지 이전에 일부 암호화된 파일에 대해서도 자동 복원까지 지원합니다.
그러므로 백신 프로그램의 탐지를 우회할 수 있는 Locky 랜섬웨어로부터 피해를 입지 않도록 랜섬웨어 차단 솔루션도 추가로 설치하여 피해입지 않도록 사전 예방하시기 바랍니다.