ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Cerber 오피스365 랜섬웨어 소개
    카테고리 없음 2016. 7. 15. 15:44
    반응형

    최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다.


    <참고: ThreatAnalyzer 맬웨어분석 샌드박스>

     

     

    분석과정

     

    역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 하는지 알아내려 할 때 상세한 내용을 조사하기에 앞서 분석대상이 풍기는 전반적인 분위기를 포착할 수 있어야 한다.

     

    ThreatAnalyzer는 샌드박스 솔루션으로 프로그램, 파일, URL을 통제 및 감시되는 환경 내에서 실행하고 이에 대한 상세보고서를 생성하여 연구분석 인력이 해당 샘플의 정확한 행동양상을 판단할 수 있도록 돕는 역할을 한다. 샌드박스는 피해징후(indicator of compromise, IOC)를 빠르게 포착하기 위한 위협정보 생성에 적합한 솔루션이다ThreatAnalyzer 6.1ThreatTrack이 선보이는 최신 샌드박스로 행동탐지 메커니즘을 내장하여 대상 샘플의 전체적인 행동양상을 판단하고 이러한 행동양상을 토대로 해당 샘플이 악성인지 무해한지 예측할 수 있다.

     



    위 그림을 보면 ThreatAnalyzer 6.1이 본 샘플에 대해 다음과 같은 중요 정보를 생성했음을 볼 수 있다.

     

    1. 3개 항목에 따라 대상샘플을 악성으로 판단

    (1) ThreatTrack 통합 위협정보 데이터베이스 ThreatIQ 관측결과 대상샘플이 차단된 URL에 접근 시도

    (2) 1개 이상의 안티바이러스 엔진이 대상샘플을 감지

    (3) 대상샘플의 행동양상 판단결과 악성일 가능성이 높음

    2. 레지스트리 변경, 파일 입출력(IO), 네트워크 접근시도와 이에 따른 프로세스 내용을 분석가/사용자에게 제공

    3. 분석결과 수집된 상세정보를 다운로드 가능한 PDF 또는 XML 형식 보고서로 생성. 사용자는 선택에 따라 상세보고서, 생성된 중요파일, 새롭게 열린 창에 대한 스크린샷, 네트워크 활동내역을 기록한 PCAP 파일 사본 등이 포함된 자료를 다운받을 수 있다.

     

    ThreatAnalyzer는 사용자가 분석한 샘플에 대한 상세보고서를 XML, JSON, PDF 형식으로 제공한다. 여기에는 생성된 프로세스, 생성/변경/접근된 파일, 변경된 레지스트리, 생성된 오브젝트, 네트워크 접속내역 등의 내용이 포함된다.

     

    본 샘플에 관련된 XML 파일을 상세히 살펴보면 다음과 같은 활동내역을 볼 수 있다.

    WINWORD.EXE 프로세스 생성(분석과정에서 DOTM 파일을 주입했으므로 예상된 결과), 프로세스 트리를 보면 생성된 프로세스는 다음과 같다,/

    exe

    exe

    임의의 이름이 지정된 VBS 파일을 %appdata% 디렉토리에 다음과 같이 생성 - %appdata%\15339.vbs

    VBS 파일을 요청하는 cmd.exe 프로세스 생성

    exe /V /C set “GSI=%APPDATA%\%RANDOM%.vbs” (for %i in (“DIm RWRL” “FuNCtioN GNbiPp(Pt5SZ1)” “EYnt=45” “GNbiPp=AsC(Pt5SZ1)” “Xn1=52” “eNd fuNCtiON” “SUb OjrYyD9()”

    다음 URL에 대한 접속 시도

    httx://solidaritedeproximite.org/mhtr.jpg

    임의의 이름이 지정된 .TMP 파일을 %appdata% 디렉토리에 생성하고 실행 - 해시값: ee0828a4e4c195d97313bfc7d4b531f1

     

    이상의 분석결과는 단순한 오피스 문서파일에 대한 분석결과임을 볼 때 대단히 수상한 행동양상에 해당하며 이를 정상이라고 판단하기는 어렵다그러므로 원래 아는 사람이나 기관이 보낸 첨부물이라 해도 조금이라도 의심이 되는 경우라면 본 시스템에 받기에 앞서 ThreatAnalyzer와 같은 샌드박스를 통해 실행시켜 보는 게 좋다.

     

     

    역설계


     


    본 랜섬웨어의 코드를 분석해 보면 오피스 365 외에 오피스 2007 이상 버전에서도 작동함을 알 수 있다. 악성 오피스 첨부물을 열 경우 Document_Open 함수 내부의 매크로가 자동 실행된다. 다만 이는 매크로가 허용된 경우, 혹은 이전 버전의 오피스에서는 보안수준이 낮음으로 설정된 경우에만 해당된다. 또한 Cerber 매크로 변종의 각 연산은 난독화돼 있는데 이는 분석과정을 지연시키고 기존 안티바이러스의 시그내쳐 탐지를 우회하려는 수법일 가능성이 높다.


     

    자동 실행된 매크로는 %appdata%VBS 스크립트를 생성하게 된다. VBS 파일 또한 난독화 처리됐으나 암호화되진 않았다여기에서 행동탐지를 회피하려는 의도가 있을 수도 있고 없을 수도 있는 흥미로운 행동양상이 관측된다. 매크로는 Timer 함수를 통해 임의의 정수가 생성하고 이를 자체 생성한 변수와 비교하는데 이는 코드가 암호화 구성요소를 다운로드하는 시점을 결정하게 된다. 그리고 나서 VBS 내장 네트워크 기능을 통해 원격서버에 접속하여 다음 파일의 다운로드를 시도하게 된다. 위 파일은 단순한 JPG 파일이라서 무해해 보일 수도 있지만 위 VBS 코드를 보면 이 JPG 파일의 내용을 %appdata%.TMP 형식으로 저장하고 실행시킨다는 점을 알 수 있다. 이 수법은 사실 오래 전부터 다른 맬웨어가 이미 사용했던 구식 수법이라서 이목을 끈다.

     


    다은로드된 구성요소의 MD5 해시값: ee0828a4e4c195d97313bfc7d4b531f1 


    이 파일은 Cerber 랜섬웨어의 암호화 구성요소로 피해대상 시스템의 목표파일을 스캔 및 암호화한다. 이 구성요소에 대한 전체 분석결과는 별도의 글에서 다룬다. 흥미로운 점은 이렇게 다운로드된 Cerber 실행파일이 인터넷 연결이 끊어진 경우에도 파일 암호화를 실행한다는 데 있다. EXE 내부 코드를 보면 CrytoWall, Locky, Teslacrypt 등 다른 랜섬웨어와 달리 파일 암호화를 위해 원격서버에 접속하려는 시도를 하지 않는다는 점을 알 수 있다.

     

    시스템 감염이 완료되면 바탕화면에 아래 그림과 같은 메시지가 표시된다.


     

    그리고 웹브라우저를 통해 아래 그림과 같이 메시지가 표시된다.


     

    그리고 로봇 음성을 통해 “your documents, photos, databases, and other important files have been encrypted” 라는 메시지를 재생하기도 한다.

     

     

    감염과정 요약

    1. 악성 오피스 첨부물을 포함한 스피어피싱 메일 도달

    2. 사용자가 이메일을 열고 첨부물을 실행시켰을 때 오피스 매크로가 허용된 상태라면 매크로를 실행되어 별도의 VBS 스크립트가 생성됨

    3. 스크립트가 원격서버에 접속하여 Cerber 랜섬웨어 암호화 구성요소를 다운받아 실행시킴

    4. 사용자 파일을 스캔하고 암호화

    5. 사용자 시스템이 Cerber에 감염됐다는 메시지 표시


     

     


    ThreatTrack Security Labs, A Look at the Cerber Office 365 Ransomware, 7. 13. 2016.

    https://blog.threattrack.com/closer-look-cerber-office-365-attack/

     

    번역: madfox




    참고링크 


    <유료안티바이러스 제품비교>

    반응형

    댓글

Designed by Tistory.