미국 샌프란시스코 경전철을 공격한 HDDCryptor 랜섬웨어를 파헤치다!

게시일: 2016-12-08 l 작성자: Trend Micro

미국 샌프란시스코 경전철(San Francisco Municipal Transport Agency, SFMTA)는 2016년 11월 28일 (현지시간) 랜섬웨어의 공격을 받았다고 발표했습니다. SFMTA의 설명에 따르면, 11월 25일 랜섬웨어 감염을 확인하였으며 당초 약 900대의 PC가 영향을 받았다는 것입니다. 또한 암호화 된 데이터의 복구를 위해 100BTC(약 8,500만원) 지불을 요구하고 있으며, 이에 응하지 않을 경우 수집된 30GB의 임직원 및 승객 데이터를 모두 공개하겠다고 협박을 받았다는 보도도 있습니다. 트렌드마이크로는 이번 공격에 사용된 랜섬웨어가 2016년 9월에 등장한 크립토 랜섬웨어 HDDCryptor의 새로운 변종이며, 네트워크 침입에 의한 감염으로 추정하고 있습니다.

이번 공격에 사용된 HDDCryptor의 변종은 다른 버전과 마찬가지로, 전체 하드드라이브 및 윈도우 네트워크 공유 드라이브를 암호화 하기 위한 여러 툴을 다운로드합니다. 이번 공격의 배후에 있는 공격자는 익스플로잇 킷이나 자동 인스톨러를 사용하여 즉각적인 감염을 실행하지 않습니다. 대신 취약점을 이용하여 PC에 엑세스 한 뒤, 원격으로 악성코드를 실행합니다. SFMTA 공격사례에서는, 관리자 인증 정보를 이용하여 특정 작업이 모든 기기에서 실행되도록 예약한 뒤 공격을 수행한 것으로 추정됩니다.

신종 HDDCryptor 공격자와 접촉할 경우, 다음과 유사한 회신 메시지를 받게 됩니다.

그림1. 비트코인 구매 방법이 적힌 공격자 이메일 회신

HDDCryptor는 어떻게 발전해왔는가?

이전에 발생한 HDDCrytor 공격에서는 추가된 사용자 계정으로 모든 공격 활동을 수행하였습니다. 9월에 확인된 사용자 이름은 mythbuster이었습니다. 곧이어 사용자 계정 ABCD가 관찰되었지만, 이것은 탐지를 피하기 위해 공격자가 변경한 것으로 예상됩니다. 11월 하순에 확인된 최신 HDDCryptor는 사용자 계정을 추가하지 않는 대신 C:\Users\WWW라는 경로를 생성하여 로컬 하드드라이브 및 네트워크 공유 파일 암호화 실행에 필요한 파일이 해당 경로에 다운로드 됩니다.

그림2. HDDCryptor에 의해 다운로드 된 파일

원격 네트워크 공유 파일의 암호화 시도 후, 로컬 파일 암호화에 필요한 모든 구성요소를 구비한 뒤 시스템을 재부팅합니다. 그 후 HDDCryptor의 활동이 재개됩니다.

그림3. 재부팅 후 HDDCryptor의 악성 행위 스크린샷

한 번 더 리부팅을 하면, 랜섬웨어로 인해 조작된 MBR가 랜섬 노트를 표시합니다. 버전 별 이메일 주소 및 일부 문구를 제외하고 변경된 사항은 없습니다.

그림4. HDDCryptor 랜섬 노트

이전 버전과 마찬가지로, 랜섬웨어 바이너리 실행 중 전달되는 인수는 복호화를 위한 암호입니다.

원격 파일 시스템에서 실행되는 암호화는 mount.exe 파일에 의해 수행됩니다. 암호화 된 각 드라이브 이름과 암호가 인수로서 mount.exe에 전달되고 공유 파일의 암호화 활동이 실행됩니다.

당사는 HDDCryptor 버전별 분석을 통해 몇 가지 차이점을 확인했습니다. 첫째, 현재 버전의 mount.exe의 프로그램 데이터베이스(PBD) 내 crp_95_08_30_v3 문자열을 확인할 수 있습니다.

c:\users\public.unkonw\desktop\crp_95_08_30_v3\crp\release\mount.pdb

HDDCryptor의 이전 버전에서는 CRP_95_02_05_v3 문자열이 확인되었습니다. 이를 통해 랜섬웨어 개발자가 코드를 업데이트 및 개선하고 있음을 알 수 있습니다.

C:\Users\public.Unkonw\Desktop\CRP_95\CRP_95_02_05_v3\CRP\Release\Mount.pdb

샘플 분석 결과 HDDCryptor는 하드디스크 암호화를 위해 오픈소스 데이터 암호화 소프트웨어인 DiskCryptor를 사용하지만, DiskCryptor 본체를 재컴파일 하지 않는 다는 것이 입증되었습니다. 대신 HDDCryptor의 첫 버전 이후 dcapi.dll 파일을 패치하여 랜섬노트를 추가하였습니다. 이전 버전에서는 다운로드 된 파일은 메인 드로퍼의 PE리소스이었습니다. v2 이후, HDDCryptor 액터는 .rsrc(리소스) 섹션의 바이너리를 해제하기 위해 간단한 암호 해제 체계를 사용합니다.

그림5. 샘플에서 발견된 리소스 복호화 알고리즘
(해시값: 97ea571579f417e8b1c7bf9cbac21994) 리소스 로딩 이후
주소 0x9922D0에서 복호화가 시작된다

v2와 v3 모두 Visual Studio 2013 (v1은 VS 2012로 컴파일)으로 컴파일되며 위 스크린 샷과 같이 기본 안티 샌드박스와 안티 디버깅, 문자열 인코딩 및 간단한 리소스 암호화와 같은 몇 가지 기능이 개선되었습니다. 이것은 HDDCryptor 공격자가 AV 및 기타 탐지 기술을 회피하기 위해 랜섬웨어 코드를 신속하게 개선시키고 있음을 보여줍니다. 공격자는 시스템에 대한 사전 액세스 권한이 있으며 HDDCryptor를 수동으로 실행하는 것으로 보입니다. 인터넷에 직접 노출되는 RDP를 통해 이루어지는 것으로 추정됩니다.

HDDCryptor는 어떻게 변화할 것인가?

당사는 이번 SFMTA 공격에서 탈취된 30GB 상당의 데이터가 Deep Web에서 공개 및 판매될 것으로 예측했습니다. 랜섬웨어에 의한 정보 탈취 및 해당 정보의 언더그라운드 판매는 랜섬웨어의 진화 과정 중 하나로 예측해왔습니다.

일반적으로 파일을 소유주에게 반환하는 조건으로 랜섬을 요구합니다. 암호화 된 대규모의 데이터를 확인하여 판매할만한 유효한 정보를 찾는 것은 어렵습니다. 하지만 랜섬웨어는 파일을 암호화 함과 동시에 사본을 만들어 공격자에게 전달합니다. 피해자가 2BTC의 랜섬을 지불하면, 이것은 해당 데이터를 중요하게 여기고 있다는 것으로 인식되어 공격자는 수집된 정보가 어떤 것인지 직접 확인합니다. 일반적인 사항이라면 돈을 받은 후 파일을 복호화한 뒤 사본을 제거합니다. 하지만 만약 SFMTA와 같은 중요 기관이라고 판단되면, 랜섬 금액을 올린 뒤 정보를 공개하겠다고 협박합니다. 이러한 방식은 내년에 더 자주 발생할 것으로 예측되고 있습니다.

RANSOM_HDDCryptor에 대한 침해지표 관련 해시 값은 여기를 참조하세요.

트렌드마이크로의 대책

사업 중단, 금전적 손실, 이미지 실추 등으로 이어지는 최근 랜섬웨어 피해 사례는 적극적인 보안 대책 수립의 중요성을 강조합니다. 게이트웨이, 엔드포인트, 네트워크, 그리고 서버를 보호하는 다계층 보안 시스템을 권장합니다. 백업은 크립토 랜섬웨어에 대응하기 위한 최선의 방어입니다. 3-2-1 규칙에 따라 백업을 한다면, 랜섬웨어 피해를 당한 경우에도 데이터의 안전을 보장할 수 있습니다.

  • 3 개 이상의 복사본
  • 2 가지 종류의 단말에 (예 : 하드드라이브 및 USB)
  • 그 중 하나는 다른 2개와는 다른 위치에 저장 (예 : 집과 사무실)

트렌드마이크로는 크립토 랜섬웨어로 인한 피해를 최소화하기 위한 대책을 제공합니다.

네트워크 동작 모니터링 솔루션인 Deep Discovery는 문서 취약점 공격 코드 탐지하는 엔진 (Advanced Threat Scan Engine, ATSE) 등을 통해 랜섬웨어 침입을 경고합니다. 이메일 공격 방지 제품 Deep Discovery Email Inspector는 이메일을 통해 침투하는 랜섬웨어를 감지하고 차단합니다. 엔드포인트 보안 솔루션인 오피스스캔은 동작 모니터링(무단 변경 모니터링) 강화 및 애플리케이션 제어 및 취약점 보호 등을 통해 위협에 의한 영향을 최소화합니다. 서버 및 클라우드 보안 솔루션 Deep Security는 물리적, 가상화 및 클라우드 환경에 걸쳐 랜섬웨어가 서버에 침입하는 것을 방지합니다.


원문: HDDCryptor: Subtle Updates, Still a Credible Threat