2017년 3분기 랜섬웨어 동향

3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 는 9월 4주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다.

                             [그림1] 2017년 3분기 랜섬웨어 통계 (샘플 및 감염보고 건수)

위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다.

샘플은 전월 대비 68% 감소, 리포트 수는 36% 감소 하였다. 안랩은 2017년 3분 기준 약 150개 종류의 랜섬웨어를 모니터링 하고 있으며 이는 2분기 대비 40종 이상 증가 하였다. 이중 기타 (Etc) 로 분류한 84 종류의 랜섬웨어군의 샘플수량이 전월 대비 약 95% 정도로 매우 크게 감소 한 것이 큰 원인으로 확인 되었다. 해당 랜섬웨어군은 샘플수량대비 감염보고가 적은 것이 특징으로 따라서 크게 위협이 되지 않는 랜섬웨어군이다.

 

또한, 앞서 언급한 것처럼 Cerber 의 활동이 중단된 영향도 한 몫을 했다. Cerber 샘플은 8월 대비 9월

에 43% 감소 하였고 감염보고수는 55% 감소 하였다. 그리고 2분기와 달리 WannaCryptor 와 Petya 같

은 세간의 이슈를 끌만 한 랜섬웨어들이 발견 되지 않는 점도 있다.

 

반면, 다시 활발히 활동하는 랜섬웨어도 있는데 Locky 가 7월부터 꾸준히 샘플과 감염수가 증가 하고

있음을 알 수 있다. 다음 [그림2] 그래프를 통해서 Cerber 와 Locky 의 추세를 확인해 보았다.

[그림2] 2017년 Cerber / Locky 샘플 및 감염보고 추세

위 그래프를 통해서 Cerber 는 7월을 기점으로 샘플수와 감염수 모두 하락 하였다.

Cerber 유포는 Magnitude Exploit Kit 으로 알려진 취약점 악용 및 배포 도구를 이용하여 유포하는데 시작은 Malvertising 기법을 이용한다. 악의적인 광고 사이트로 유도가 되면 Exploit Kit 에 의한 취약점이 동작하고 성공하면 Cerber 에 최종적으로 감염 된다.

 

Cerber 는 3분기내 안티 바이러스와 같은 보안 제품의 진단을 회피 하기 위해서 유포 방식에 변화를 주는 것이 다양하게 관찰 되었다. 다음 [그림3] 에서 3분기내 주요 변화를 정리 하였다.

[그림3] 2017년 3분기 Magnitude Exploit Kit 변화

 

앞서 언급한대로 Magnitude Exploit Kit 를 이용한 Cerber 유포 활동이 중단 되었지만 안심 하기는 이르다. 집요하게 자신을 변화하면서 보안 제품을 우회하려는 시도를 보였고 잠시 숨을 고르고 있는지도 모른다. 다시 컴백 할 수 있는 만큼 아직도 안티 바이러스 제품을 설치 하지 않았거나 윈도우를 비롯한 사용중인 프로그램의 보안 업데이트를 진행 하지 않았다면 이 시점에 반드시 점검을 해보기 바란다.

 

[그림2] 추세 그래프를 통해서 Locky 는 3분기 기준 샘플수 대비 감염수는 무려 140% 가량 많았다. 이는 그 만큼 많은 사용자에게서 보고가 되고 있다는 뜻이다. Locky 의 유포는 크게 2가지로 나누어진다. 안랩은 유포 방식에 따라 각각 다른 유포자(또는 그룹)이 있다고 추정한다. 유포 방식은 첫번째, 악성 스팸 메일을 이용한 방식이다. 주로 다음 문장이 포함된 영어 제목의 메일로 시작 된다.

 

 

[그림4] Locky 악성 스팸 메일 제목 일부

메일에는 다운로드 증상을 갖는 JS 또는 VBS 확장자의 스크립트 파일이 첨부 되는 경우도 있고 스크립트를 7z 으로 압축하여 첨부된 경우도 있다. 일부 변형에 따라서 첨부파일 없이 메일 본문내 특정 URL의 링크를 삽입하는 경우도 있었다.

 

두번째는 SWF 취약점으로 추정 되는 유포 방법이다. 웹 브라우저인 Internet Explorer 사용자에서 보고

되고 있다. 현재 확인 된 내용으로는 Malvertising 기법과는 다르게 악성 광고 사이트로 유도 되지 않는

것으로 보여진다. 사용자가 방문한 특정 웹 사이트가 침해 당하여 악의적인 링크가 웹 페이지내 삽입

된 것으로 추정 된다. 악의적인 링크는 취약점이 있는 SWF 를 실행하도록 되어 있고 이로 인하여

Locky 에 최종 감염 되는 것으로 보여진다. 해당 유포 방식에 대한 연구와 조사가 진행 되고 있으며 결

과가 나올 시 다음 동향 리포트에 그 내용을 포함 할 예정이다.

 

유포 방식에 따른 Locky 는 외형도 다른데 사용되는 커스텀 패커도 다르고 하드코딩된 환경설정내 정보도 차이가 있다. 위 두 유포 방식의 Locky 의 경우 C2 정보가 존재하지 않는 형태 이지만 이와 또 다른 Locky 변형은 C2 정보가 존재하는 경우도 있었다. 이러한 정보를 토대로 Locky 는 랜섬웨어를 제작하고 유포 하고 싶은 자들이 돈을 주고 공격자들에게 의뢰할 경우 원하는 설정으로 제작을 도와주는 RaaS (Ransomware-as-a-Service) 형태로 추정 된다.

 

3분기 중 이슈가 되었던 랜섬웨어는 다음과 같다.

 

액세스 권한이 없는 파일을 암호화시 권한을 변경하는 행위를 하는 것이 특징인 Matrixran 랜섬웨어 변종이 악성 스팸 메일 형태로 유포 되어 7월말 ~ 8월초 다수 발견 되었다.

 

암호화 시킨 파일의 확장자를 .korea 로 변경하는 JigsawLocker 랜섬웨어가 국외에서 보고 되었으며 실제 동작 하지 않는 것으로 확인 되었다.

 

NemucodAES 라고 명명된 PHP 스크립트 형태의 랜섬웨어 변형이 또 다시 발견  되었다. 해당 랜섬웨어는 2016년에 처음 보고 되었다. 실행을 위해서 정상 PHP.EXE, PHP5.DLL 파일을 추가로 다운로드 하여 동작한다. 해당 랜섬웨어는 국외에서 복호화 도구가 공개 되었는데 사용 되는 mt_rand() 함수의 취약성으로 seed 값에 따라 정해진 난수값이 생성 되는 점 이용하여 키를 알아 낸 것으로 보인다.

 

SyncCrypt 라는 다소 특이한 랜섬웨어도 발견 되었다. 해당 랜섬웨어는 다운로드 증상이 있는 JS 스크립트를 이용하여 다운로드 된다. 다운로드 된 파일은 JPEG 포맷의 이미지 파일로 파일 내부에 PK ZIP 포맷으로 되어 있으며 압축 파일 내부에는 랜섬웨어 실행 파일과 랜섬노트등을 포함하고 있다. JS 코드 중 일부가 JPEG 이미지 파일의 특정 위치를 참조하여 파일을 생성 하도록 하여 랜섬웨어가 실행 될 수 있다. HWP 확장자로 암호화 대상에 포함된다.

 

악성행위에 필요한 DLL 파일과 파이썬 암호화 라이브러리를 내부에 가지고 있는 Scicario 랜섬웨어도 확인 되었다. 필요한 파일을 가지고 있다보니 랜섬웨어는 9MB 가 넘는 크기를 가지고 있으며 Pycrypto 파이썬 암호화 모듈을 이용하여 타켓 파일을 암호화 시킨다.

 

다음은 3분기 랜섬웨어 Top 14 에 대한 비율이다.

 

[그림5] 2017년 3분기 랜섬웨어 Top 14 샘플 비율

3분기 동향에서 주목할 만한 것은 Cerber 위협의 감소도 눈 여겨 보여지지만 Locky 의 부상도 간과 할 수 없다. 특히 2가지 이상의 유포 방식을 통해서 다양하게 확산 되어 감염보고 역시 증가 시킬 징후가

높아 보이기 때문이다.

 

Cerber 가 3분기 까지는 가장 많은 비율을 차지 하고 Locky 가 뒤를 따르고 있다. 글의 시작에 언급 했지만 Cerber 의 위협은 3분기 동안 서서히 약화 되었다. Cerber 는 지난 2016년 초 처음 보고 후 지금까지 국내에 가장 많은 샘플과 감염보고를 가지고 있는 랜섬웨어 이다. 3분기 동안 계속 변화하는 유포 방식을 관찰하고 연구한 결과 위협은 약화 되고 중단 될 수 있었다. 이것은 다양한 단계적 대응방법을 이용한 향상된 선제적 대응이 지속성을 유지하면서 위협에 대한 예측이 가능 했기 때문이다. (끝)

 

UPDATE //

 

Magnitude Exploit Kit 를 이용하여 새로운 랜섬웨어가 유포 되기 시작했다. 안랩은 10월14일 토요일 밤부터 해당 Kit 을 이용하여 새로운 랜섬웨어가 유포 되는 것을 확인 하였으며 이는 3주만에 활동을 재개 한 것이다. 안랩은 진단명을 Trojan/Win32.Cerber 로 최초 진단 후 현재는 Trojan/Win32.Magniber 로 변경 하였다. 일부 안티 바이러스에서는 Trojan.Ransom.MyRansom 으로 진단 한다.