워너크립터(WannaCryptor)는 워너크라이(Wanna Cry), W크립트(Wcrypt) 등으로도 불리는 랜섬웨어(Ransomware)로 2017년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 감염 보고되고 있다.
* 현황
WannaCryptor는 2017년 2월 최초 발견 되었다. 악성코드 제작자는 ShadowBrokers가 NSA로부터 해킹 해 2017년 4월 공개한 SMB(Server Message Block) 취약점(MS17-010) EternalBlue를 이용한 변형을 2017년 5월 제작했다. 관련 SMB 취약점은 마이크로소프트사가 2017년 3월 보안 업데이트를 공개했지만 보안 업데이트가 적용되지 않은 시스템은 위험에 노출되며 패치 되지 않은 시스템이 다수 존재한다. 2017년 5월 12일(현지 시간 기준) 이후 스페인, 영국을 시작으로 전 세계에 존재하는 시스템을 감염시키고 있다.
* 감염 경로
많은 랜섬웨어가 메일 첨부 파일이나 홈페이지 방문 할 때 감염되는데 반해 WannaCryptor 랜섬웨어는 MS17-010 (Microsoft Windows SMBv2 원격코드실행 취약점)을 통해 감염 된다. 즉, 윈도우 2017년 3월 보안 업데이트가 적용되지 않은 시스템은 별도의 사용자 동작 없이도 인터넷이 연결 되어 있다면 감염 될 수 있다.
[그림-1] MS17-010 취약점을 이용하여 감염되는 WannaCryptor 실행 흐름도
WannaCryptor 랜섬웨어 유포와 관련된 Microsoft Windows SMB 취약점은 종류는 다음과 같다.
|
Windows SMB 원격 코드 실행 취약성(CVE-2017-0143) |
SMB 취약점 영향을 받는 시스템은 다음과 같다.
(윈도우 시스템이 공격 대상이며 리눅스, 맥 혹은 스마트폰은 공격 대상이 아니다.)
|
Windows 10 (취약점을 갖고 있으나, WannaCryptor의 공격대상은 아님) |
* 전파 방법
자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하거나 임의의 IP 로 SMB 프로토콜 패킷을 반복하여 전송한다.
[그림-2] SMB 원격실행코드 취약점이 발생하는 패킷
이후 수신되는 데이터를 검증하여 취약점이 발생하는 SMB 패킷 헤더에 실행코드를 추가한 데이터를 추가 전송한다. 타겟 시스템의 운영체제가 취약점 패치되지 않은 환경일 경우 악의적인 쉘코드가 동작한다.
이후 타겟으로 다음의 IPC$ 공유폴더 경로가 사용된다.
[그림-3] \\IPC$ 로 공유된 폴더
취약점 발생 이후 실행되는 쉘코드는 다음 내용을 포함한다.
[그림-4] SMB 취약점 발생이후 실행되는 쉘코드
감염된 시스템에서 WannaCrypto 랜섬웨어가 실행된 이후 다시 SMB 취약점을 통한 유포를 수행하므
로 감염대상은 증가할 수 있다. WannaCryptor 랜섬웨어 최초 실행 이후 다음 중 시스템에 존재하는 경
로에 추가 악성코드 파일을 생성한다. 파일생성 경로는 Windows 운영체제 버전에 따라 상이할 수 있
다.
- C:\ProgramData\[Random]\tasksche.exe
- C:\Intel\[Random]\tasksche.exe
- C:\Windows\tasksche.exe
- C:\User\(사용자명)\AppData\Local\Temp\랜덤.tmp
위 폴더 하위에 생성하는 [Random]명의 폴더명은 시스템정보를 조합하여 생성한 랜덤명으로 시스템
마다 유일한 값이 생성된다. 생성된 tasksche.exe 파일은 실제 랜섬웨어 감염행위를 수행하며 드로퍼
에 의해 “–i” 인자로 Install 모드가 실행된다.
* 증상
WannaCryptor에 감염되면 다음 확장자를 가진 파일을 암호화 시킨 후 확장자에 .WNCRY (변형에 따라 .WNCRYT 등으로 다를 수 있음)를 추가한다.
.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp
.otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqllitedb .sql .accdb .mdb .db .dbf .odb .frm
.myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp
.php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv
.3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso
.backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602
.hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam
.ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm
.docb docx .doc
파일을 암호화 시킨 후 바탕화면을 변경한다.
[그림-5] 파일 암호화 후 변경하는 바탕화면 이미지
300 달러 상당의 비트코인(Bitcoin)을 요구 창이 뜨며 28 개 언어로 작성되어 있다.
[그림-6] 파일 암호화 후 비트코인 지불을 요구하는 화면_한글
[그림-7] 파일 암호화 후 비트코인 지불을 요구하는 화면_영문
* 실행 후 증상
악성코드가 실행되면 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com에 접속을 시도해 성공하면 악성코드는 종료된다. 악성코드 발견 당시 해당 도메인은 존재하지 않아 한 분석가가 도메인을 구매해 랜섬웨어의 전파를 차단했다. 5월13일 이후 다른 도메인이 4개가 더 확인 되었다. 파일에서 도메인명만 수정한 형태로 확인 되었다.
[그림-8] URL 접속여부 확인 코드
인터넷이 안되는 등의 이유로 해당 사이트 접속이 안되면 악성코드와 관련된 파일을 생성하고 파일 암호화가 진행된다.
실행 후 Microsoft 정상 서비스를 위장하여 시스템에 등록되며, 시스템이 재시작 될 때마다 자동으로 실행되도록 한다. 등록하는 서비스 정보는 Microsoft 의 정상 서비스 명을 위장한 형태로“mssecsvc2.0” 이름을 사용하며 서비스로 동작 시 “-m security” 인자로 실행된다.
이후 서비스로 동작할 경우 SMB 취약점을 통한 자체 유포 루틴이 수행된다. 공격대상은 자신의 시스템 로컬IP 및 랜덤으로 조합한 IP 대역을 스캔하여 SMB 패킷(445포트) 을 전송한다. 이 과정에서 과도한 패킷이 발생하게 되며 네트워크에 트래픽 부하가 발생할 수 있다
주) 변형에 따라 생성되는 폴더나 파일이름이 다소 바뀔 수 있다.
[그림-9] tasksche.exe 가 생성하는 파일목록
생성하는 파일 정보는 다음과 같다.
|
b.wnry |
파일 암호화 후 바탕화면으로 설정하는 이미지 파일 |
|
c.wnry |
tor 관련 설정파일 (접속URL, 다운로드 URL) |
|
f.wrny |
샘플로 복호화 해주기 위한 파일들의 목록을 저장 |
|
r.wnry |
readme.txt |
|
s.wnry |
tor 모듈 ZIP 압축파일 |
|
t.wnry |
암호화된 암호화 모듈 |
|
u.wnry |
비트코인 결재를 유도하는 @WanaDecryptor@.exe 프로그램과 동일파일 |
|
taskdl.exe |
.WNCRYPT 확장자 파일목록 조회 목적의 프로그램 |
|
taskse.exe |
시스템 원격세션 관련 조회 프로그램 |
|
00000000.eky |
암호화된 개인키 파일 |
|
00000000.pky |
공개키 파일 |
[표-1] tasksche.exe 가 생성하는 파일 정보
msg 폴더에는 언어별 메시지 파일을 생성한다.
[그림-10] msg 폴더내 생성하는 랜섬노트 언어별 메시지 파일목록
TaskData 폴더에 온라인 상에서 익명을 보장해 주는 토르(Tor) 관련 파일을 생성한다. Tor를 사용해 추적을 어렵게 한다.
[그림-11] TaskData 폴더내 생성하는 토르(Tor) 파일목록
WannaCryptor 의 암호화 방식의 흐름은 다음과 같다.
[그림-12] WannaCryptor 암호화 방식 흐름
암호화된 파일들은 . “WANACRY!” 시그니쳐 + AES Key 암호화 Size + AES Key 암호화 DATA + Key Size Length + 원본파일 Length + 암호화된 파일 Data로 구성되어 있고 추후 복호화 될 경우 아래의 DATA 구조를 사용하여 파일이 복호화 될 수 있다.
다음은 암호화된 파일구조로 위에서 설명한 t.wnry 파일을 예로 한 것이다. 해당 파일과 동일한 구조로 다른 파일들도 암호화 된다.
[그림-13] 암호화된 파일의 구조 (t.wnry 파일 예)
* 안랩 대응
안랩 V3 제품군에서 다음과 같이 진단한다.
Trojan/Win32.WannaCryptor.C1951322
Trojan/Win32.WannaCryptor.C1951351
Trojan/Win32.WannaCryptor.R200571
Trojan/Win32.WannaCryptor.R200572
Trojan/Win32.WannaCryptor.R200579
Trojan/Win32.WannaCryptor.R200580 등
변형이 계속 등장하고 있어 미진단 변형이 존재할 수 있으므로 최신 윈도우 보안 업데이트 적용이 필요하다.
* 참고
- SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 (
http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723)
- 윈도우 버전별 보안업데이트 다운로드 (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)
'악성코드 정보' 카테고리의 다른 글
| [주의] WannaCryptor와 동일한 취약점 이용한 Petya 랜섬웨어 유포 (0) | 2017.06.28 |
|---|---|
| 국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어 (0) | 2017.06.12 |
| 파일의 엑세스 권한을 변경하는 Matrixran 랜섬웨어 (0) | 2017.04.19 |
| 유포 경로가 다양한 디도스 공격 목적의 악성코드 (0) | 2017.04.06 |
| 일부 파일에 대해 복구가 가능한 VenusLocker 랜섬웨어 (0) | 2017.03.17 |
댓글