본문 바로가기

벌새::Analysis

Windows PowerShell을 이용해 파일 암호화를 시도하는 PowerWare 랜섬웨어 주의 (2016.3.30)

728x90
반응형

Windows 운영 체제에는 기본적으로 시스템 관리용 스크립트 언어를 처리할 수 있는 Windows PowerShell이 기본 장착되어 있으며, 이를 악용한 악성코드가 점차 증가하고 있는 추세라고 합니다.

최근 메일에 동봉된 

MS Word 문서(.doc)에 포함된 매크로(Macro) 기능을 통해 실행 파일없이 파일 암호화를 수행하는 Fileless 계열의 PowerWare 랜섬웨어(Ransomware)가 발견되었습니다.

 

기존의 랜섬웨어(Ransomware)는 감염 시 악성 실행 파일(.exe)을 생성하여 파일 암호화를 진행했다면 PowerWare 랜섬웨어는 Windows PowerShell에 악의적인 스크립트 명령어를 입력하여 랜섬웨어(Ransomware) 행위를 수행합니다.

메일 첨부 파일을 통해 확인된 MS Word 문서(SHA-1 : 9abeef3ed793f28a24562c3e5c3104eee99daa1c - AhnLab V3 : W97M/Powershell)를 살펴보면 문서 내용을 제대로 표시하기 위해서 추가적으로 매크로(Macro) 실행을 하도록 유도하고 있습니다.

사용자가 안내에 따라 매크로(Macro) 실행을 허용할 경우 내부에 포함된 VBS 스크립트 명령에 따라 CMD 모드로 Windows PowerShell 기본 정책을 우회하여 외부 특정 서버로부터 스크립트 파일(.ps1)을 다운로드하여 실행하도록 구성되어 있습니다.

실제 동작하는 프로세스를 확인해보면 MS Word 프로그램(WINWORD.EXE)이 cmd.exe 프로세스를 통해 명령어 처리를 수행하여 Windows PowerShell 도구(powershell.exe)를 호출하여 암호화를 진행하는 것을 알 수 있으며, 이 과정에서 어떠한 악성 실행 파일(.exe)은 관여하지 않습니다.

우선 CMD 모드로 동작하는 명령어를 살펴보면 Windows PowerShell 도구를 호출하여 정책 우회를 통해 특정 서버에서 스크립트 파일(.ps1)을 다운로드하여 임시 폴더에 생성합니다.

정상적으로 서버에서 스크립트 파일(.ps1)이 다운로드될 경우 "C:\Users\(로그인 계정명)\AppData\Local\Temp\Y.ps1" 파일(SHA-1 : 8a26892a7949c6a29d9d620c2ffd4c58921d6736 - Microsoft : Ransom:PowerShell/Powerware.A)로 생성됩니다.

Windows PowerShell은 임시 폴더에 생성된 Y.ps1 스크립트 파일을 로딩하여 다음과 같은 악의적인 기능을 수행합니다.

Y.ps1 악성 스크립트에는 파일 암호화 방식, 암호화 대상 파일 확장명 등의 암호화 관련 정보가 포함되어 있으며, 이를 통해 기존의 다른 랜섬웨어(Ransomware)와는 다르게 제외 폴더가 없이 파일 암호화를 수행합니다.

파일 암호화가 이루어진 각 폴더에는 금전 협박 메시지 파일(FILES_ENCRYPTED-READ_ME.HTML)이 생성되며 암호화된 파일은 파일명 및 확장명 변경없이 변경됩니다.

실제 암호화된 BMP 그림 파일을 오픈할 경우 정상적으로 파일이 표시되지 않도록 암호화된 것을 알 수 있습니다.

특히 과도한 파일 암호화 행위로 인하여 Chrome 웹 브라우저 실행 시 "Unable to find locale data files. Please reinstall." 오류 메시지가 생성되는 등 정상적인 일부 소프트웨어 실행에 문제를 유발할 수 있습니다.

금전 협박 메시지 파일(FILES_ENCRYPTED-READ_ME.HTML)을 살펴보면 기존의 CryptoWall 랜섬웨어와 유사한 방식이며, 지정한 웹사이트 접속을 통해 감염자에게 부여된 #UUID 값을 입력하도록 안내하고 있습니다.

특히 결제 페이지에서는 또 다른 광고 배너까지 포함하고 있는 특징을 가지고 있으며, 자신의 신뢰도를 위해 1MB 이하의 암호화된 파일에 대한 복호화 서비스도 제공하고 있습니다.

참고로 무료 복호화 방식은 SendSpace 서버에 파일을 업로드하여 제출하는 방식이며 12시간 이내에 이메일로 전달된다는 점에서 정보 유출 가능성도 충분하므로 매우 주의하시기 바랍니다.

 

■ 악성 실행 파일없이 파일 암호화를 시도하는 PowerWare 랜섬웨어 대응 방법

 

이번 사례와 같이 악성 실행 파일없이도 파일 암호화가 가능한 PowerWare 랜섬웨어의 경우 백신 프로그램이 스크립트 파일(.ps1)을 차단하지 못할 경우 행위 기반으로 차단을 못할 가능성이 매우 높습니다.

그러므로 Fileless 방식의 파일 암호화 행위도 차단이 가능한 AppCheck 랜섬웨어 백신을 통해 PowerWare 랜섬웨어에 대응할 수 있는 것을 확인하였으므로 백신 프로그램과 함께 사용하시길 권장합니다.

 

또한 메일을 통해 수신된 MS Word 문서 오픈 시 추가적인 매크로(Macro) 실행을 허용하도록 유도할 경우에는 악성 파일 가능성이 매우 높으므로 절대로 실행하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형