ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 16-04-07 09:08
Locky 랜섬웨어 감염 경로
 글쓴이 : ESTC
조회 : 5,709  




최근 Locky 로 불리우는 랜섬웨어에 감염된 기업 및 사용자의 수가 크게 증가하고 있으며, 실제로 이
랜섬웨어가 피해자의 파일을 암호화한 후 비트코인을 이용한 몸값 지불을 요구하는 사례가 다수 보고되고 있습니다.

그렇다면, 이 위협이 어떻게 컴퓨터 시스템을 감염시키고 시스템 내의 파일을 암호화하는 것일까요?
ESET 은 다양한 계층의 보안 시스템을 피해 Locky 랜섬웨어를 감염시키는 방법과 단계를 다음과 같이 설명하고 있습니다.

아래의 그림은 사용자 시스템이 Locky 랜섬웨어에 감염되는 단계를 보여주고 있습니다.
먼저 송장(invoice), 계약(contract) 등 사용자가 관심을 가질 만한 다양한 언어로 표현된 주제와 특정 숫자가 결합된 형태(invoice_087657 등)의 제목을 가진 이메일을 수신하게 되는데, 이 이메일은 Microsoft Office 문서(.DOC, .DOCM 또는 .XLS 등)를 첨부 파일로 포함하고 있습니다.

사용자가 이 문서를 열면 BAT 파일이 생성되며, 동시에 BAT 파일은 VBScript 코드로 이루어진의 또 다른 파일을 생성하게 됩니다.
이 두가지 종류의 파일은 모두, 이후 ESET 솔루션에 의해 Win32/Filecoder.Locky 으로 검출되는 Locky 렌섬웨어를 다운로드하는데 이용됩니다.



위에서 설명한 각 Locky 랜섬웨어의 구성 요소와 함께, 아래에서 Locky 가 목표를 달성하기 위해 어떻게 악성 동작을 수행하는지 단계별로 설명할 것입니다.
마지막으로, ESET 의 사전 방역 기능이 어떻게 Locky 랜섬웨어로부터 사용자를 보호할 수 있는지도 함께 살펴 보겠습니다.

1. 악성 매크로가 포함된 문서 파일


악성 매크로가 포함된 문서는, 다음의 스크린샷의 경고창에서 사용자가 [옵션...] 버튼을 눌러 해당 매크로가 실행되도록 설정할 수 있습니다.
한 번 매크로 실행 설정이 활성화되면, 감염 동작을 시작하기 위해 악성의 매크로 코드가 자동으로 실행됩니다 :



보다 깊이 있는 분석을 위해 감염의 시작 부분을 생성하는 매크로를 자세히 살펴보면, 코드 라인의 세 부분에서 "UgfdxAfff.bat"라는 BAT 파일을 생성하는 명령어를 찾을 수 있습니다.
이 파일에서 Base64 로 암호화 된 코드를 생성하는 "write" 함수를 볼 수 있으며, 다음의 스크린샷에서 알 수 있듯이, 마지막에 "Shell" 함수가 방금 생성된 BAT 파일을 실행하게 됩니다 :



2. BAT 와 VBS 스크립트


"ugfdxafff.bat" 파일은, BAT 파일에 의해 실행되어 랜섬웨어(이번 분석의 경우에는 "asddddd.exe")를 다운로드 하기 위한 URL 을 포함하는 VBScript 파일을 생성하는 것이 주요 목적 중 하나입니다.

마지막으로, BAT 파일은 "start asddddd.exe"명령을 사용하여 다운로드된 Locky 랜섬웨어를 실행하고,시스템에서 감염의 증거를 제거하기 위해 VBS 파일과 BAT 파일 자신을 삭제합니다. 이러한 동작 순서에 대한 명령을 다음 화면에서 볼 수 있습니다:



3. 사전 방역


Locky 랜섬웨어의 동작 방법을 직접 확인한 후 느낀 가장 중요한 점 중 하나는, 성능이 검증된 사전 방역 솔루션을 사용함과 동시에, 사용자의 보안 의식 재고 및 교육 등이 반드시 동반되어야만 악성코드가 받은 편지함에 저장되기 전 또는 저장된 이후라도 매크로를 사용하도록 설정하기 전에 Locky 랜섬웨어의 공격을 예방할 수 있음을 이해해야 한다는 것입니다.

사용자 또는 회사 직원에게 전달되는 스팸 메일의 수신을 허용하는 것은, Locky 랜섬웨어와 같은 형태의 공격의 시작점 중 하나이기 때문에, 이로 인해 회사의 중요 정보를 유출시키고 사용자에게 큰 문제를 야기할 수 있습니다.

결론


Locky 랜섬웨어와 같은 형태의 악성코드는 개인 또는 업무용 데이터와 파일은 물론 기업의 전체 네트워크 내에 존재하는 파일 들을 손상시킬 수 있기 때문에 Microsoft Office 문서에서 매크로를 사용함으로써 발생하는 잠재적인 위험을 심각하게 고려하는 것이 매우 중요합니다.

아울러, 모든 사용자가 사이버 범죄의 동향과 랜섬웨어 같은 위협의 영향에 대한 교육은 매우 중요하며,컴퓨터 보안의 모범 사례를 내부적으로 공유해야 합니다. 물론 가장 중요한 것은, 시스템에 손상을 주는 다양한 유형의 악성코드로 인한 피해를 예방하기 위해서는 최신의 검증된 안티바이러스 솔루션을 적절히 구성하여 사용하는 것입니다.

추가로, "Locky 랜섬웨어의 개요와 대응 방법"은 다음의 링크를 참조하시기 바랍니다.

http://estc.co.kr/board/bbs/board.php?bo_table=news&wr_id=44

분석에 사용된 파일과 ESET 진단명

Win32/Filecoder.Locky.A (MD5:dba9a404a71358896100f9a294f7c9a3)
VBA/TrojanDownloader.Agent.AUD (MD5:c7d3afbe92d91cd309cce2d61d18f268)
BAT/TrojanDownloader.Agent.NHW(MD5 : 30f0378659496d15243bc1eb9ba519ef)
VBS/TrojanDownloader.Agent.NZN(MD5 : 048820a62c0cef4ec6915f47d4302005)

랜섬웨어 대응, ESET 만으로도 충분합니다.