securityfirst_jo

최신 랜섬웨어(몸값요구형 악성코드)인 CryptoLocker는 특정 파일을 암호화한 후 300달러(또는 300유로)의 복호화 툴을 사용자에게 보여주면서 요금 지불을 강요하는 것으로 알려져 있습니다. 이번 블로그에서는 이 악성코드가 어떻게 PC에 침입하는지, 그리고 또다른 악성코드-온라인뱅킹 사기툴 ZBOT과 어떻게 연관되어 있는지 알아보도록 합니다.

그림1. 복호화 툴 구입을 유도하는 화면

트렌드마이크로는 지난 블로그에서 CryptoLocker가 PC 접근을 차단할 뿐만 아니라 파일을 잠그거나 암호화해 300달러의 복호화 툴을 구입하도록 유도하는 사례를 보고했습니다. 그리고 이번달에 들어 어떤 스팸메일 활동이 보고되었으며 이는 CryptoLocker 감염에 관여하고 있는 것으로 확인되었습니다. 이 스팸메일에는 TROJ_UPATRE군에 속하는 악성파일이 첨부되어 있었습니다. 이 악성코드군은 파일 사이즈가 작고 다운로드 기능을 갖추고 있다는 특징이 있습니다.

트렌드마이크로 클라우드 보안센터(SPN)의 피드백을 통해 랜셈웨어 CryptoLocker와 TROJ_UPATRE군이 연관되어 있다는 정보를 확인했습니다. 그리고 TROJ_UPATRE.VNA로 탐지되는 악성파일이 첨부된 이메일을 확인했습니다.

그림2. 악성파일이 첨부된 스팸메일

이 첨부파일은 실행되면 또다른 파일을 다운로드해 cjkienn.exe로 저장합니다(TSPY_ZBOT.VNA로 탐지). 그리고 TSPY_ZBOT.VNA는 TROJ_CRILOCK.NS로 탐지되는 CryptoLocker를 다운로드합니다.

그림3. CryptoLocker의 감염경로

몇가지 이유에서 이 위협은 매우 골칫거리입니다. 우선 ZBOT의 변종을 들 수 있습니다. 이 악성코드는 온라인뱅킹 인증 관련 정보를 수집하는 것으로 알려져 있습니다. 사이버범죄자는 수집한 정보를 이용해 은행에서 불법거래를 할 수 있습니다. 그리고 CryptoLocker는 PC에 저장된 개인적인 파일이나 중요한 파일에 접근할 수 없게 합니다.

■CryptoLocker의 암호화

CryptoLocker의 몸값요구 메시지에서는 RSA-2048 암호화를 이용한다고 말하고 있으나 분석 결과 이 악성코드는 AES+RSA 암호화를 이용하고 있는 것으로 밝혀졌습니다.

RSA 암호는 비대칭키 암호, 즉 2개의 키를 사용하는 방식입니다. 1개는 정보를 암호화하기 위해, 다른 1개는 복호하기 위해 사용됩니다. 키에는 외부의 제3자도 입수할 수 있는 공개키와 사용자가 관리하는 비밀키가 있습니다. 한편 AES 암호는 대칭키 암호를 사용하는 방식으로, 즉 동일한 키가 암호화 및 복호화에 사용됩니다.

이 악성코드는 AES 키를 이용해 파일을 암호화합니다. 복호를 위한 AES 키는 이 악성코드에 의해 암호화된 파일 내에 기록되어 있습니다. 그러나 이 키는 악성코드 내에 삽입된 RSA 공개키로 암호화되어 있습니다. 즉 암호화된 파일을 복호하기 위해 비밀키가 필요하게 되는데 그것을 입수할 수는 없습니다.

어떤 파일이 암호화되어 있는지는 PC의 자동실행 레지스트리를 확인해보면 알 수 있습니다.

그림4. PC 레지스트리 정보에서 확인할 수 있는 암호화된 파일 리스트

■CryptoLocker에 대한 트렌드마이크로의 대책

알 수 없는 발신자가 보낸 이메일의 첨부파일을 열 때는 주의를 기울여야 합니다. 트렌드마이크로 클라우드 보안센터(SPN)의 이메일 레퓨테이션 기술은 이번 위협과 관련된 이메일을 차단합니다. 웹 레퓨테이션 기술은 접속 도메인명을 생성하는 구조인 DGA(Domain Generation Algorithm)에 의해 생성된 관련 url을 탐지합니다. 파일 레퓨테이션 기술은 앞서 말한 악성코드를 탐지하고 제거합니다. 트렌드마이크로 제품의 행위기반 탐지기능은 CryptoLocker 감염으로부터 PC를 모니터링하고 악성코드의 실행을 방지합니다.

그림5. 당사제품이 관련 악성코드를 탐지