어베스트는 지속적 지능 공격을 하는 랜섬웨어 Petya와 Mischa에 대한 내용에 대해 소개해 보려합니다.
Petya와 Mischa 랜섬웨어는 Janus라는 개발자가 배포하는 패키지로 사용자 데이터를 암호화하는 두가지 다른 방식을 결합하여 사용하는 특이한 랜섬웨어입니다. 대부분의 다른 랜섬웨어와 달리 Petya는 기본적으로 마스터 파일 테이블(MFT)와 마스터 부트 레코드(MBR)을 암호화합니다. 만약 Petya가 HDD의 MBR에 접속하기 위한 충분한 권한을 갖지못하면 Mischa 모듈이 설치되고 하나씩 파일을 암호화해 갑니다.
Petya 첫번째 버전은 MBR과 MFT 섹터만을 암호화했는데 로고나 폰트 등을 빨간색을 사용하였고 개발자는 지금은 녹색으로 색상을 변경하였고 두번째 버전에 Mischa를 추가하였습니다.
개발 과정동안에 개발자는 salsa20 암호화 알고리즘을 사용하는데 약간의 실수가 있었고 bruteforce의 일반 알고리즘을 사용하여 몸값을 지불하지 않고 파일들을 복구할 수 있었습니다. 그러나 최신 Petya MBR 로더 실행을 통해 버그를 수정하고 더이상 복구가 불가능하도록 업그레이드하였습니다.
Petya와 Mischa는 오프라인으로 동작이 가능하며 C&C 서버와 통신 없이도 작동하고 암호화 키를 다운로드하기 위해 다른 랜섬웨어가 필요하지도 않게 되었습니다. Petya와 Mischa은 모듈의 이름이고 개발자인 Janus는 영화 007의 제임스본드 골든아이에서 영감을 받았다고 합니다.
가짜 이메일
랜섬웨어는 주로 스팸메일을 통해 다른 종류의 첨부파일(zip, pif, pdf, exe 등) 형태로 위장하여 발송됩니다. 또는 다운로드할 수 있는 온라인 URL 링크를 포함하여 발송되기도 합니다. 가짜 이메일은 구인, 구직, 법률상담 등의 합법적인 이메일로 위장하여 발송하고 기기의 취약점이나 익스플로잇 공격을 통해 보내지는 않습니다. 순수하게 이메일 수신자가 감염된 첨부파일 클릭하기만을 기다립니다.
드로퍼
우리가 Petya를 분석할 때, Petya에 기기 디버그 관리자와 처음 컴파일 할 때의 날짜, 컴파일 기기 정보 등이 바이너리를 포함되어 있는 것을 발견하였습니다. API 기능을 필요로 하지 않고 있다는 점도 흥미로왔습니다
재미있는 사실 : 백신 프로그램을 우회하라?
아래 테이블을 보면 감염된 PC에 설치되어 있는 백신을 찾아낸다는 것입니다. 우리나라의 V3도 보이네요.
0x31 | 1 | nothing found |
0x32 | 2 | AhnLab |
0x33 | 3 | AVAST Software |
0x34 | 4 | AVG |
0x35 | 5 | Avira |
0x36 | 6 | Bitdefender |
0x37 | 7 | BullGuard Ltd |
0x38 | 8 | CheckPoint |
0x39 | 9 | COMODO |
0x41 | A | ESET |
0x42 | B | F-Secure |
0x43 | C | G DATA |
0x44 | D | K7 Computing |
0x45 | E | Kaspersky Lab |
0x46 | F | Malwarebytes Anti-Malware |
0x47 | G | McAfee |
0x48 | H | McAfee.com |
0x4A | J | Microsoft Security Client |
0x4B | K | Norman |
0x4C | L | Panda Security |
0x4D | M | Quick Heal |
0x4E | N | Spybot - Search & Destroy 2 |
0x50 | P | Spybot - Search & Destroy |
0x51 | Q | Norton Security with Backup |
0x52 | R | Norton Security |
0x53 | S | NortonInstaller |
0x54 | T | VIPRE |
0x55 | U | Trend Micro |
더 자세한 사항은 https://blog.avast.com/inside-petya-and-mischa-ransomware 페이지를 참조하시면 좋겠습니다.
결론
Petya 랜섬웨어 개발자는 아주 능력있는 프로그래머입니다. 랜섬웨어는 항상 재조명되고 발전되나가고 있습니다. 상대적으로 짧은 시간 동안 여러개의 버전을 만들어내고 버그를 수정하며 암호화 기능을 강화하고 있습니다. 개발자는 안티바이러스 백신에 대해 항상 모니터링하고 평가하고 어떻게 AV 백신을 우회할 지를 연구하고 있습니다.
랜섬웨어로 부터 안전하려면 항상 언급하듯이
- 수상한 첨부파일(zip으로 암호화된 js 파일, wsf, vbs 파일 등)을 열어 보지 말라는 것
- 마이크로소프트의 오피스 매크로를 기본적으로 사용하지 말것.
- 중요데이터는 항상 백업 할 것
- 시스템과 어플케이션 최신 패치와 업데이트할 것
위의 사항들을 잊지말고 실행하는 것입니다.
작성 : 어베스트코리아 (주)소프트메일
'새로운 소식' 카테고리의 다른 글
어베스트 엔드포인트 제품군 Skylake CPU 상의 블루스크린 버그 패치 (8.0.1609) (0) | 2016.10.28 |
---|---|
어베스트, AVG 공식 인수 완료, 곧 AVG 제품도 함께 제공해 드립니다 (0) | 2016.10.14 |
풍성한 추석 명절 기원합니다 (0) | 2016.09.12 |
[공지] Locky 랜섬웨어의 변종인 더욱 정교화된 Zepto 랜섬웨어 주의 (0) | 2016.09.09 |
[긴급공지] 제목"contract" 악성코드 첨부 메일 주의 요망 (0) | 2016.08.25 |