파이록키 (PyLocky) 랜섬웨어 주의보

게시일: 2018-09-19 l 작성자: Trend Micro (by Ian Kenefick Threats Analyst)

랜섬웨어는 오늘날의 위협 환경에서 정체기에 들어선 듯 보이지만, 여전히 사이버 범죄에서 빠질 수 없는 요소입니다. 실제로 2018년 상반기 동안 보안 솔루션을 우회하는 랜섬웨어의 활동이 소폭 증가하였으며, 파이록키의 경우 (트렌드마이크로 탐지명 RANSOM_PYLOCKY.A), 기존의 랜섬웨어를 모방하여 악명을 떨치고 있습니다. 트렌드마이크로는 7월 말과 8월에 걸쳐 파이록키 랜섬웨어를 퍼뜨리는 스팸 메일을 발견하였습니다. Locky (록키) 랜섬웨어를 표방하였지만, 파이록키 랜섬웨어는 록키 랜섬웨어와는 관련이 없는 것으로 밝혀졌습니다. 파이록키는 널리 사용되는 스크립팅 언어인 Python (파이썬)으로 작성되었으며, PyInstaller 이라는 파이썬 기반 프로그램인 독립형 실행 파일이 포함되어 있습니다.

2016년에 출현한 CryPy (RANSOM_CRYPY.A)와 2017년 나타난 Pyl33t (RANSOM_CRYPPYT.A) 등이 이미 파이썬으로 작성된 적이 있으므로, 파이록키가 파이썬을 사용한 최초의 랜섬웨어는 아닙니다. 하지만 파이록키는 안티 머신러닝 기능을 갖추고 있다는 점에서 주목할 만 합니다. 또한 Inno Setup Installer (오픈 소스 스크립트 기반 설치 관리자)와 PyInstaller를 함께 사용함으로써 기존의 머신러닝 기반의 솔루션이 파이록키 랜섬웨어를 탐지하기 더 어려워 졌습니다. (이전에 비슷한 방식으로는 Cerber 변종이 NullSoft installer를 사용한 사례가 있습니다.)

파이록키는 매우 배포 범위가 매우 집중되어 있습니다. 트렌드마이크로는 유럽 국가들 중 특히 프랑스를 겨냥한 스팸 메일을 발견하였습니다. 스팸 발송은 소규모로 시작되었지만, 결국 스팸의 양과 범위는 증가했습니다.


그림 1. 나라별 파이록키 관련 스팸 메일 분포: 8월 2일 (왼쪽) / 8월 24일 (오른쪽)



그림 2. 록키 랜섬웨어로 위장한 파이록키 랜섬 노트


감염 체인

8월 2일, 트렌드마이크로는 프랑스 기업을 타깃으로 파이록키를 배포하는 스팸 활동을 탐지하였고, 해당 스팸 메일은 소셜엔지니어링 기법을 활용한 인보이스등과 관련된 제목으로 사용자를 현혹합니다. 본문에는 파이록키가 포함된 악성 URL로 사용자를 리디렉션하는 링크를 클릭하도록 유도합니다.


그림 3. “귀하의 납입금을 확인하였습니다” 라는 뜻을 가진 프랑스어 제목의 스팸 메일


악성 URL은 실행 파일 (Facture_23100.31.01.2018.exe)을 포함한 ZIP 파일 (Facture_23100.31.07.2018.zip)이 포함된 악성 URL로 피해자를 유도합니다. 해당 파일이 성공적으로 실행되면 Facture_23100.31.08.2018.exe는 멀웨어 구성 요소들 (C++와 Python libraries, Python 2.7 Core dynamic-link library)과 C:\Users\{user}\AppData\Local\Temp\is-{random}.tmp에 메인 랜섬 실행 파일 (PyInstaller를 통해 만들어지는 lockyfud.exe)을 드랍합니다.



그림 4. ZIP 파일의 디지털 서명 정보 (위)와 파이록키 관련 악성 프로그램 구성 요소 (아래)


파이록키는 이미지, 비디오, 문서, 사운드, 프로그램, 게임, 데이터베이스 및 아카이브 파일을 암호화합니다. 파이록키가 암호화하는 파일 형식의 목록은 아래와 같습니다.

.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent


그림 5. 파이록키 쿼리 시스템 속성 (위)
기존 샌드박스 솔루션을 피하기 위해 일정 시간 동안 절전 모드로 구성되는 코드 (아래)


암호화 루틴

파이록키는 하드코드된 파일 확장명 목록을 암호화 하도록 구성되어 있습니다. 또한 파이록키는 WMI (Windows Management Instrumentation)를 악용하여 공격 대상 시스템의 속성을 확인합니다. 안티 샌드박스 기능을 갖춘 파이록키는 공격 대상 시스템의 총 가시 메모리 크기가 4GB 미만인 경우 999,999초 또는 11.5 일 이상 잠복하며, 4GB보다 크거나 같으면 바로 실행됩니다.

암호화 후 파이록키는 C&C 서버와 통신을 설정합니다. 파이록키는 Triple DES 암호와 PyCrypto 라이브러리를 사용하여 암호화 루틴을 구현합니다. 파이록키는 각 로지컬 드라이브를 반복하여 먼저 ‘efile’ method을 호출하기 전 파일 목록을 생성합니다. 해당 method는 각 파일을 암호화된 버전으로 덮어쓴 후 랜섬 노트를 실행하여 띄웁니다.

파이록키의 랜섬 노트는 영어, 프랑스어, 한국어, 이탈리아어로 되어있습니다. 또한 공격 대상의 시스템의 정보를 POST를 통해 C&C 서버로 전송합니다.



그림 6. 파이록키의 C&C 통신 (위) / 암호화 루틴 (아래)를 보여주는 코드



그림 7. 다양한 언어로 표기된 파이록키 랜섬 노트


예방 및 트렌드마이크로 솔루션

파이록키의 회피 기술과 일반적으로 관리자들에게 오픈된 합법적인 툴의 남용은 심층 방어의 중요성을 더 잘보여줍니다. 예를 들어, 머신러닝은 고유한 멀웨어를 탐지하는데 유용한 사이버 보안 도구이지만, 보안의 만병 통치약이 될 수는 없습니다. 오늘날의 사이버 위협은 다양한 경로로 침투함으로 보안에 대한 다층적인 접근이 중요합니다. 기업은 항상 시스템을 업데이트하고, 규칙적으로 파일 백업을 하며, 시스템 구성 요소 사용을 보호하고 사이버 보안에 대한 기업의 인식 문화를 더 키워야 합니다.

트렌드마이크로의 XGen™ 보안데이터센터, 클라우드 환경, 네트워크, 엔드포인트 전반에 걸치 위협에 맞선 위협 방지 기술을 혼합한 Cross-generation 기술입니다. 또한 하이파이 머신러닝 기능을 통해 게이트웨이와 엔드포인트 데이터, 애플리케이션, 물리, 가상, 클라우드 워크로드를 보호합니다. XGenTM 은 웹/URL 필터링, 행위 분석, 사용자 지정 샌드박스 등의 기능을 통해 기존의 보안을 우회하고, 알려진 취약점 및 알려지지 않은 취약점을 악용하여 개인 식별 가능 데이터를 훔치거나 암호화하는 오늘날의 진화한 위협으로부터 기업을 안전하게 보호합니다.

RANSOM_PYLOCKY.A (SHA-256) 관련 해시:

  • c9c91b11059bd9ac3a0ad169deb513cef38b3d07213a5f916c3698bb4f407ffa
  • 1569f6fd28c666241902a19b205ee8223d47cccdd08c92fc35e867c487ebc999

관련 해시(SHA-256):

  • e172e4fa621845080893d72ecd0735f9a425a0c7775c7bc95c094ddf73d1f844 (Facture_23100.31.07.2018.zip)
  • 2a244721ff221172edb788715d11008f0ab50ad946592f355ba16ce97a23e055 (Facture_23100.31.07.2018.exe)
  • 87aadc95a8c9740f14b401bd6d7cc5ce2e2b9beec750f32d1d9c858bc101dffa (facture_31254872_18.08.23_{numbers}.exe)

관련 악성 URL:

  • hxxps://centredentairenantes[.]fr (C&C server)
  • hxxps://panicpc[.]fr/client[.]php?fac=676171&u=0000EFC90103
  • hxxps://savigneuxcom[.]securesitefr[.]com/client.php?fac=001838274191030

[원문: A Closer Look at the Locky Poser, PyLocky Ransomware]