본문 바로가기
악성코드 정보

NATIONAL SECURITY BUREAU

by DH, L@@ 2015. 1. 23.

Your computer was automatically blocked

 

작년부터 악명을 떨친 랜섬웨어는 크립토락커(CryptoLocker)와 크립토월(CryptoWall)이 있다. 이러한 랜섬웨어는 시스템 내부의 특정 파일을 암호화한 후 암호화 해제를 빌미로 돈을 요구한다. 하지만 최근 사용자에게 몸값을 요구하는 새로운 악성코드가 발견되었다.

 

이 악성코드는 국가안보국(National security bureau, NSB)으로 가장하여 사용자에게 경고 메시지 표기 및 시스템 사용을 방해한다. 이를 해결하기 위해서 미화 250달러를 입금하도록 유도하고 있다.

 

해당 악성코드에 감염되면, 아래 [그림 1]와 같은 화면이 나타나면서 "불법 소프트웨어가 탐지되어, 시스템을 사용을 차단하였습니다."는 메시지를 화면에 보여준다. 또한, 다른 프로그램의 실행을 방해하고, 메시지를 강제로 종료하여도 자동으로 다시 실행되므로 사용자는 시스템을 정상적으로 사용할 수 없다.

 

[그림 1] 감염 시 시스템에 표기되는 메시지

 

 

악성코드에 감염되면 아래 경로에 악성파일을 숨김속성으로 생성한다. 생성된 악성파일은 시작프로그램에 등록되어 시스템이 시작할 때 자동실행된다.

 

C:\Documents and settings\All Users\CEloogwA\

C:\Documents and settings\Administrator\AlAcUMcc\

[표 1] 악성파일 생성 경로

 

또한, 악성파일의 은폐를 목적으로 다음과 같이 레지스트리 값을 수정한다.

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA

사용자 계정 컨트롤 설정을 사용하지 않도록 변경

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

알려진 파일의 확장자가 보이지 않게 변경

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

탐색기 폴더 옵션의 "숨김폴더 표시 안함"으로 변경

[표 2] 수정된 레지스트리 경로

 

이후, 'C:\Documents and Settings' 경로 내부에 존재하는 파일(ppt, jpg, doc, png, exe, wav 등)을 감염시킨다. 감염 방식은, 시스템의 루트(C:\) 경로에 정상파일의 바이너리를 복사한 후 악성코드에 삽입하는 방법으로 진행된다.

 

감염된 파일들은 모두 실행파일(exe) 형태로 변경되며, 감염 시 정상파일에서 아이콘을 추출해 변조된 파일에 삽입시키기 때문에 외관상의 모습으로는 감염 여부를 구분하기 어렵다.

 

[그림 2] 감염 전 파일(좌) / 감염 후 파일(우)

 

위 그림은 악성코드 감염 전과 감염 후의 파일의 비교를 위한 그림이다. 보다 쉬운 이해를 위해 그림에서는 감염된 파일의 확장자를 보이게 설정하였다. 그러나 실제로 악성코드에 감염될 경우 확장자 '.exe'는 보이지 않는다.

 

 

[그림 3] 감염된 파일의 프로세스 트리

 

이처럼 감염된 파일은 파일명과 아이콘이 정상파일과 동일하게 위장하고 있다. 하지만, 악성파일의 실행이 선행되도록 조작되어있다. 그렇기 때문에 실행 시 위 [그림 3]와 같은 비정상적인 프로세스 트리를 가지게 된다.

 

[그림 4] 악성코드 내에 정상파일 실행 부분

 

감염된 파일을 실행하면, 악성코드를 생성/실행 하고 정상 파일을 temp 경로에 생성한 후 악성코드의 실행 시 인자 값으로 정상파일의 경로를 줌으로써, 악성코드의 자식프로세스로 실행되도록 만든다.

 

해당 악성코드는 국가안보국으로 가장하여 시스템의 가용성을 인질로 돈을 요구하고 있다. 파일들이 감염되는 과정에서 파일을 암호화하지는 않지만, 정상파일의 바이너리가 손상될 경우 정상 파일을 복구할 수 없을 수도 있기 때문에 사용자의 각별한 주의가 필요하다.

 

V3 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

 

Trojan/Win32.Agent (2014.12.16.03)

Trojan/Win32.Agent (2014.12.16.03)

Trojan/Win32.Dynamer (2014.12.12.02)

댓글