신종 랜섬웨어 R980, 기존 랜섬웨어 기능을 짜깁기 하다

게시일: 2016-08-16 l 작성자: Trend Micro

높은 수익성을 보장하는 랜섬웨어는, 여전히 사이버 범죄자들 사이에서 가장 인기가 좋은 공격 수단입니다. 랜섬웨어의 변종 및 신규 랜섬웨어가 계속해서 나타나고 있는 가운데, 최근 당사에서는 R980(진단명 RANSOM_CRYPBEE.A) 신종 크립토 랜섬웨어를 확인했습니다.

R980은 스팸메일 또는 악성 웹사이트를 통해 확산되고 있습니다. Locky, Cerber, MIRCOP과 같은 랜섬웨어와 마찬가지로, R980 스팸메일은 악성 매크로(W2KM_CRYPBEE.A)를 포함하는 문서파일이 첨부되어 있으며, 해당 매크로가 실행될 경우 특정 URL에서 R980이 다운로드 됩니다. R980이 발견된 2016년 7월 26일 이후 해당 URL 커넥션이 빈번히 확인되고 있습니다.

그림 1. R980에 감염된 PC의 배경화면에 설정되는 랜섬 노트

그림 2. 악성 문서에 포함된 매크로가 hxxp:// bookmyroom[.]pk/assets/timepicker/f[.]exe 에서
랜섬웨어를 다운로드

R980은 AES-256과 RSA 4096 알고리즘을 결합하여 151 종류의 파일 형식을 암호화합니다. 이전 버전의 CryptXXX와 마찬가지로 암호화된 파일에 .crypt 확장자를 추가하지만, 그 외 유사점은 발견되지 않았습니다. R980의 암호화 매커니즘은 암호법 서비스 제공자(Cryptographic Service Provider, CSP)를 사용합니다. CSP는 개발자들이 윈도우 기반 애플리케이션에 암호화 기능을 구현하기 위해 사용하는 라이브러리 입니다.

그림 3. R980은 CSP의 CryptAcquireContext와 CryptGenerateRandom 등의
기능을 이용하여 암호화에 RSA를 사용

R980은 다음의 레지스트리 키를 항상 사용합니다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
다른 랜섬웨어와 달리 R980은 시스템 감염 후 자가삭제를 실행하지 않고, 다음의 파일들을 만들어 IOC(indicators of compromise)를 남깁니다. 그런 의미에서 DMA Locker (진단명 RANSOM.MADLOCKER.B)를 연상시키기도 합니다.

  • rtext.txt – 랜섬노트
  • status.z – 랜섬웨어 초기 실행 IOC
  • status2.z – 드롭된 복사본 실행 IOC
  • k.z – 다운로드한 base64 디코딩 데이터
  • fnames.txt – 암호화된 파일들의 파일명

그림 4. R980 협박장 예시. 복호화 툴을 받기 위한 0.5비트코인(미화 약 294.42달러) 지불 방법이 기재

R980은 피해자가 랜섬을 지불하기 위한 개별 비트코인 주소를 제공한다. 추적을 피하기 위해 공격자들은 Mailinator 서비스를 악용하여 일회성 이메일 주소를 생성한다. Mailinator는 이메일 발송 몇 시간 후 자동으로 메일이 삭제되는 시스템의 서비스이다. 또한 복호화 툴 링크를 전달하기 위한 공개 이메일 주소도 같은 서비스를 이용한다.

그림 5. R980의 C&C 서버 통신 스냅샷. 랜섬 지불을 위한 비트코인 주소를 제공하고 있는 모습,
비트코인 주소는 각 피해자 개별 주소 제공

기존 랜섬웨어의 다양한 기술을 모아 만들어졌다고 생각되는 R980은, 악성 매크로와 악성 웹사이트를 사용한다는 점에서 역시나 위험한 랜섬웨어로 여겨집니다. 따라서 MS Office® 애플리케이션의 매크로를 비활성화 할 것을 제안하며, 알 수 없는 발신자로부터 온 이메일의 첨부파일은 열어보지 않아야 합니다. 또한 랜섬웨어 대응을 위한 백업도 중요합니다.

트렌드마이크로의 랜섬웨어 대책

랜섬웨어로부터 시스템을 보호하기 위해서는 포괄적인 대책이 중요합니다. 다층보안을 적용할 경우, 랜섬웨어 감염을 어떤 단계에서든지 차단할 수 있습니다. R980과 같은 랜섬웨어의 경우, 트렌드마이크로는 악성 매크로를 탐지하여 랜섬웨어가 시스템을 감염하기 전 차단합니다.

기업용 보안 솔루션

  • 이메일 보안

    Deep Discovery Email Inspector는 가장 대중적인 이메일과 웹 등을 통한 랜섬웨어 전달을 탐지하여 차단합니다.

    스피어피싱 보안
    악성코드 샌드박스
    IP/웹 검증
    문서 익스플로잇 탐지
  • 엔드포인트 보안

    오피스스캔은 엔드포인트 단계에서 실행되는 랜섬웨어 특유의 악성 행위를 탐지하여 차단합니다.

    랜섬웨어 동작 모니터링
    소프트웨어 제한 정책
    웹 검증
    브라우저 익스플로잇 방지
  • 네트워크 보안

    Deep Discovery Inspector은 네트워크로 침투하는 랜섬웨어의 악성 트래픽과 통신 등의 활동을 탐지합니다.

    네트워크 트래픽 스캐닝
    악성코드 샌드박스
    래터럴 무브먼트 방지
  • 서버 보안

    Deep Security는 의심스러운 네트워크 활동을 탐지하고 서버와 애플리케이션 취약점 공격을 방지합니다.

    웹서버 보안
    취약점 방어
    래터럴 무브먼트 방지

중소기업 및 개인용 보안


원문: R980 Ransomware Found Abusing Disposable Email Address Service