크립토 랜섬웨어 SNSLocker의 코드에 숨겨진 비밀

게시일: 2016-06-09 l 작성자: Trend Micro

SNSLocker 랜섬웨어는 공격 방식이나 인터페이스 및 외관상 여타 크립토 랜섬웨어와 크게 다르지 않은 악성코드입니다. 하지만 트렌드마이크로에서 코드를 자세히 분석한 후 해당 랜섬웨어에서 놀라운 비밀을 발견하였습니다. 바로, 악성코드 공격자의 서버에 접속할 수 있는 계정 정보가 포함되어 있다는 것이었습니다.

SNSLocker의 제작자가 랜섬웨어를 만들어 공격하기 시작한 이유를 어렵지 않게 유추해 볼 수 있습니다. 맞춤 제작한 서버 또는 지불 시스템이 아닌, 기성 서버 및 지불 시스템을 사용한 것으로 보아, SNSLocker의 제작자 역시 빠르게 돈을 벌 수 있는 랜섬웨어에 매력을 느낀 것입니다. 많은 사이버 공격자들이 랜섬웨어 공격을 행하는 이유는 바로 대규모 감염이 가능하고 투자 회수율이 빠르게 이루어진다는 것입니다. 하지만, SNSLocker 제작자가 서버 정보를 코드에 노출한 것으로 보아 너무 급히 제작을 했거나 코드 제작에 큰 투자를 하지 않았다고 생각할 수 있습니다. 해당 서버 정보는 여러 보안 전문가들이 소셜 미디어에 이미 공유하였습니다. 당사는 해당 분석사항을 법률 집행기관에 제보하였습니다.

SNSLocker(트렌드마이크로에서 RANSOM_SNSLOCKER.A로 탐지)는 대부분의 크립토 랜섬웨어군에서 발견되는 타이머, 위협 메시지, 암호화, 지불 링크 연결, 몸값 요구 등의 기능을 가지고 있습니다. SNSLocker의 평균 요구 몸값은 미화300달러 입니다.

그림1. SNLocker 잠금 화면

SNSLocker는 Newtonsoft.Json과 MetroFramework UI와 같은 대중적인 라이브러리를 활용하여 .Net Framework 2.0으로 제작되었습니다. 또한 Microsoft .Net Crypto API를 사용하여 시간을 단축하였습니다.

그림2. .Net Framework 2.0으로 제작된 SNSLocker

앞서 말한 바와 같이 SNSLocker의 코드에는 악성코드의 서버와 로그인 정보를 알 수 있는 코드열이 존재합니다. 코드에 적힌 비밀번호를 이용하면 누구나 해당 서버에 접속할 수 있고, 이를 활용하여 복호화 키도 알아낼 수 있습니다.

그림3. 코드에 노출되어 있는 서버 정보

SNSLocker의 공격과 확산

당사의 연구에 따르면 공격자는 무료 호스팅 공급자의 서버를 제공받아 C&C 및 결제 서버로 활용했습니다. 이러한 방식으로 공격자는 계정 유지보수에 지불되는 비용이 거의 없습니다. SNSLocker는 몸값을 적법한 암호화 화폐 게이트웨이를 통하여 지불받습니다. 이것은 제작자가 맞춤형 지불 시스템을 구축하는 데 크게 의미를 부여하지 않았다는 것을 의미합니다.

마지막으로, SNSLocker는 여러 지역으로 확산된 것을 확인하였습니다. 분석 당시 피해자는 전 세계 여러 나라에 분포되어 있습니다. 미국에서 가장 많은 피해자가 발생했으며, 한국도 두 번째로 많은 6.26%를 기록하였습니다.

그림4. SNSLocker 감염 확산

SNSLocker는 랜섬웨어가 만연한 현실을 잘 반영합니다. 사이버 범죄자들은 단기간 내에 랜섬웨어 시스템을 빠르게 구축하고 전세계적으로 배포시킬 수 있습니다. 사이버 범죄자들이 확산 배포 플랫폼을 이용하든, 서비스형 랜섬웨어를 구축하든, 자신의 작은 오퍼레이션을 실행하던, 랜섬웨어가 바로 돈입니다.

트렌드마이크로 솔루션

트렌드마이크로는 SNSLocker와 같은 랜섬웨어의 공격으로부터 위협을 최소화하기 위해 대기업과 중소기업 및 개인 사용자를 위한 다양한 솔루션을 제공합니다.

트렌드마이크로 랜섬웨어 복호화 툴은 특정 크립토 랜섬웨어를 복호화할 수 있는 무료 툴입니다. 이 툴을 사용하여 랜섬웨어 피해자들은 범죄자에게 돈을 지불하지 않고 데이터를 복구시킬 수 있습니다.

대기업은 다층 단계별 보안을 적용하여 위협을 최소화할 수 있습니다. 트렌드마이크로 Deep Discovery Email Inspector는 이메일을 통해 침투하는 랜섬웨어가 엔드유저까지 도달하기 전에 탐지하여 차단합니다. 오피스스캔 11.0 SP1은 동작 모니터링, 웹 평판, 익스플로잇 방지 등의 기능이 탑재되어 엔드포인트에서의 랜섬웨어 활동을 방지합니다. Deep Discovery Inspector는 네트워크에서 탐지되는 랜섬웨어를 방어하며, Deep Security는 기업의 물리적, 가상화, 클라우드 서버를 랜섬웨어로부터 보호합니다.

중소기업은 트렌드마이크로의 Worry-Free 비즈니스 시큐리티 서비스를 이용하여 클라우드 기반 이메일 게이트웨이 보안을 제공받을 수 있습니다. 또한 동작 모니터링, 실시간 웹 평판 기능을 활용하여 랜섬웨어를 탐지하고 차단합니다.

개인 사용자는 트렌드마이크로 맥시멈 시큐리티 또는 인터넷 시큐리티를 활용하여 악성 웹사이트, 이메일, 파일 차단을 통해 랜섬웨어의 위협으로부터 보호받을 수 있습니다.

관련 해쉬:

3cbe96abba5269eb69093ebc07dd82e3091f0d3d – RANSOM_SNSLOCK.A
71caed58a603d1ab2a52d02e0822b1ab8f1a9095 – RANSOM_SNSLOCK.A


원문: Ransomware Leaves Server Credentials in its Code