check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

美 샌프란시스코 경전철 공격한 ‘HDDCryptor’ 랜섬웨어 분석

트렌드마이크로 “이번 공격에서 탈취된 30GB 데이터 공개 및 판매될 것”

길민권 기자 mkgil@dailysecu.com 2016년 12월 14일 수요일
▲그림1. 비트코인 구매 방법이 적힌 공격자 이메일 회신

미국 샌프란시스코 경전철(San Francisco Municipal Transport Agency, SFMTA)는 2016년 11월 28일 (현지시간) 랜섬웨어의 공격을 받았다고 발표했다. SFMTA의 설명에 따르면, 11월 25일 랜섬웨어 감염을 확인했으며 당초 약 900대의 PC가 영향을 받았다는 것이다. 또한 암호화 된 데이터의 복구를 위해 100BTC(약 8,500만원) 지불을 요구하고 있으며, 이에 응하지 않을 경우 수집된 30GB의 임직원 및 승객 데이터를 모두 공개하겠다고 협박을 받았다는 보도도 있다.

트렌드마이크로는 이번 공격에 사용된 랜섬웨어가 2016년 9월에 등장한 크립토 랜섬웨어 HDDCryptor의 새로운 변종이며, 네트워크 침입에 의한 감염으로 추정하고 있다.

이번 공격에 사용된 HDDCryptor의 변종은 다른 버전과 마찬가지로, 전체 하드드라이브 및 윈도우 네트워크 공유 드라이브를 암호화하기 위한 여러 툴을 다운로드한다. 이번 공격의 배후에 있는 공격자는 익스플로잇 킷이나 자동 인스톨러를 사용해 즉각적인 감염을 실행하지 않는다. 대신 취약점을 이용해 PC에 엑세스 한 뒤, 원격으로 악성코드를 실행한다. SFMTA 공격사례에서는, 관리자 인증 정보를 이용해 특정 작업이 모든 기기에서 실행되도록 예약한 뒤 공격을 수행한 것으로 추정된다.

신종 HDDCryptor 공격자와 접촉할 경우, 다음과 유사한 회신 메시지를 받게 된다.

◇HDDCryptor는 어떻게 발전해왔는가
이전에 발생한 HDDCrytor 공격에서는 추가된 사용자 계정으로 모든 공격 활동을 수행했다. 9월에 확인된 사용자 이름은 mythbuster이었다. 곧이어 사용자 계정 ABCD가 관찰되었지만, 이것은 탐지를 피하기 위해 공격자가 변경한 것으로 예상된다. 11월 하순에 확인된 최신 HDDCryptor는 사용자 계정을 추가하지 않는 대신 C:UsersWWW라는 경로를 생성해 로컬 하드드라이브 및 네트워크 공유 파일 암호화 실행에 필요한 파일이 해당 경로에 다운로드 된다.

▲그림2. HDDCryptor에 의해 다운로드 된 파일

원격 네트워크 공유 파일의 암호화 시도 후, 로컬 파일 암호화에 필요한 모든 구성요소를 구비한 뒤 시스템을 재부팅한다. 그 후 HDDCryptor의 활동이 재개된다.

▲그림3. 재부팅 후 HDDCryptor의 악성 행위 스크린샷

한 번 더 리부팅을 하면, 랜섬웨어로 인해 조작된 MBR가 랜섬 노트를 표시한다. 버전 별 이메일 주소 및 일부 문구를 제외하고 변경된 사항은 없다.

▲그림4. HDDCryptor 랜섬 노트

이전 버전과 마찬가지로, 랜섬웨어 바이너리 실행 중 전달되는 인수는 복호화를 위한 암호다.

원격 파일 시스템에서 실행되는 암호화는 mount.exe 파일에 의해 수행된다. 암호화 된 각 드라이브 이름과 암호가 인수로서 mount.exe에 전달되고 공유 파일의 암호화 활동이 실행된다.

트렌드마이크로는 HDDCryptor 버전별 분석을 통해 몇 가지 차이점을 확인했다. 첫째, 현재 버전의 mount.exe의 프로그램 데이터베이스(PBD) 내 crp_95_08_30_v3 문자열을 확인할 수 있다.

c:userspublic.unkonwdesktopcrp_95_08_30_v3crpreleasemount.pdb

HDDCryptor의 이전 버전에서는 CRP_95_02_05_v3 문자열이 확인되었다. 이를 통해 랜섬웨어 개발자가 코드를 업데이트 및 개선하고 있음을 알 수 있다.

C:Userspublic.UnkonwDesktopCRP_95CRP_95_02_05_v3CRPReleaseMount.pdb

샘플 분석 결과 HDDCryptor는 하드디스크 암호화를 위해 오픈소스 데이터 암호화 소프트웨어인 DiskCryptor를 사용하지만, DiskCryptor 본체를 재컴파일 하지 않는 다는 것이 입증되었다. 대신 HDDCryptor의 첫 버전 이후 dcapi.dll 파일을 패치해 랜섬노트를 추가했다. 이전 버전에서는 다운로드 된 파일은 메인 드로퍼의 PE리소스이었다. v2 이후, HDDCryptor 액터는 .rsrc(리소스) 섹션의 바이너리를 해제하기 위해 간단한 암호 해제 체계를 사용한다.

▲그림5. 샘플에서 발견된 리소스 복호화 알고리즘 (해시값: 97ea571579f417e8b1c7bf9cbac21994) 리소스 로딩 이후 주소 0x9922D0에서 복호화가 시작된다

v2와 v3 모두 Visual Studio 2013 (v1은 VS 2012로 컴파일)으로 컴파일되며 위 스크린 샷과 같이 기본 안티 샌드박스와 안티 디버깅, 문자열 인코딩 및 간단한 리소스 암호화와 같은 몇 가지 기능이 개선되었다. 이것은 HDDCryptor 공격자가 AV 및 기타 탐지 기술을 회피하기 위해 랜섬웨어 코드를 신속하게 개선시키고 있음을 보여준다. 공격자는 시스템에 대한 사전 액세스 권한이 있으며 HDDCryptor를 수동으로 실행하는 것으로 보인다. 인터넷에 직접 노출되는 RDP를 통해 이루어지는 것으로 추정된다.

◇HDDCryptor는 어떻게 변화할 것인가
트렌드마이크로는 이번 SFMTA 공격에서 탈취된 30GB 상당의 데이터가 Deep Web에서 공개 및 판매될 것으로 예측했다. 랜섬웨어에 의한 정보 탈취 및 해당 정보의 언더그라운드 판매는 랜섬웨어의 진화 과정 중 하나로 예측해왔다.

일반적으로 파일을 소유주에게 반환하는 조건으로 랜섬을 요구한다. 암호화 된 대규모의 데이터를 확인해 판매할만한 유효한 정보를 찾는 것은 어렵다. 하지만 랜섬웨어는 파일을 암호화 함과 동시에 사본을 만들어 공격자에게 전달한다. 피해자가 2BTC의 랜섬을 지불하면, 이것은 해당 데이터를 중요하게 여기고 있다는 것으로 인식되어 공격자는 수집된 정보가 어떤 것인지 직접 확인한다. 일반적인 사항이라면 돈을 받은 후 파일을 복호화한 뒤 사본을 제거한다. 하지만 만약 SFMTA와 같은 중요 기관이라고 판단되면, 랜섬 금액을 올린 뒤 정보를 공개하겠다고 협박한다. 이러한 방식은 내년에 더 자주 발생할 것으로 예측되고 있다.

트레드마이크로 측은 “사업 중단, 금전적 손실, 이미지 실추 등으로 이어지는 최근 랜섬웨어 피해 사례는 적극적인 보안 대책 수립의 중요성을 강조한다. 게이트웨이, 엔드포인트, 네트워크, 그리고 서버를 보호하는 다계층 보안 시스템을 권장한다. 백업은 크립토 랜섬웨어에 대응하기 위한 최선의 방어다. 3-2-1 규칙에 따라 백업을 한다면, 랜섬웨어 피해를 당한 경우에도 데이터의 안전을 보장할 수 있다”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록