4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.
1. 랜섬웨어 기능
엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 "explorer.exe" 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.
- tidisow.ru
[그림-1] 악성 기능별 인젝션 대상 프로세스
해당 랜섬웨어의 상세 기능은 하기의 글을 참고
2. DDoS 기능
기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및 DDoS 기능을 수행한다.
- b.googlex.me (Port: 22, 23, ...)
아래의 [그림-2]는 공격자 명령에 의해 DDoS 공격이 발생하는 부분을 나타내며, DDoS 기능관련 Thread가 반복적으로 생성되는 구조이다.
[그림-2] DDoS 관련 쓰레드 생성루틴
아래의 [그림-3]은 DDoS 공격 시 사용하는 다양한 HTTP 메시지 내용을 나타낸다.
[그림-3] DDoS 공격 시 사용되는 HTTP 메시지
랜섬웨어 동작방식과 유사하게 악성행위를 하는 실행파일이 별도의 파일형태로 생성되는 구조가 아닌, 정상 프로세스 실행 및 인젝션(Injection)을 통해 동작하여 파일기반의 진단을 우회하도록 한다.
인젝션 대상이 되는 프로세스는 감염 시스템의 아래의 레지스트리 정보를 통해 얻은 웹 브라우저이며, 테스트 시스템에서는 "chrome.exe"가 기본 웹 브라우저로 설정되어있어 [그림-1]의 (1)번째 단계에서 보여진 것 처럼 "chrome.exe"가 실행됨을 알 수 있다.
- HKCR\http\shell\open\command
[그림-4] 인젝션 대상 웹 브라우저 정보
해당 악성코드가 생성하는 뮤텍스 정보는 다음과 같다.
- "qazwsxedc" (고정)
최초 C&C 주소와 통신 시, 공격자에게 전송되는 정보는 아래의 API 호출을 통해 얻는다. (최종 전송 시, XOR 를 통해 암호화되어 전송)
- KERNEL32.GetComputerNameA
- KERNEL32.GetLocaleInfoW
- ADVAPI32.RegOpenKeyExA ("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion")
- ADVAPI32.RegQueryValueExA ("ProductName", "ProcessorNameString")
- KERNEL32.GlobalMemoryStatusEx
- KERNEL32.GetSystemInfo
Anti-VM 기능으로 아래의 [그림-5]에서 처럼 C&C 접속 전 30분간의 Sleep()을 수행하며, GetTickCount API를 이용하여 정상적으로 30분간 Sleep()을 수행하였는지 여부를 체크하는 코드가 존재한다.
[그림-5] 30분 Sleep() 정상 수행여부 체크
해당 악성코드에 대한 V3 진단명은 다음과 같다.
- Win-Trojan/Cryptolocker.Gen
'악성코드 정보' 카테고리의 다른 글
| 한글 제로데이 취약점을 이용한 악성코드 (0) | 2015.05.20 |
|---|---|
| 원본파일 복원이 가능한 TeslaCrypt 랜섬웨어 (2) | 2015.05.11 |
| 한국을 목표로 한 랜섬웨어, CryptoLocker 상세정보 (2) | 2015.04.29 |
| 한국을 목표로 한 랜섬웨어, CryptoLocker (0) | 2015.04.21 |
| 스팸메일로 유포되는 다운로더 악성코드 Upatre (0) | 2015.04.13 |
댓글