'Ransome ware'에 해당되는 글 1건

  1. 2010.12.08 [Malware Analysis] MBR을 감염시키는 Ransome Ware 분석

최근 카스퍼스키에 의해 GpCode 악성코드의 변종으로 MBR을 감염시키는 랜섬웨어 변종이 발견되었습니다.
[카스퍼스키 분석 정보 링크]
랜섬웨어의 의미는 다음과 같습니다.

※ Ransome ware

랜섬웨어(Ransome ware)란 인질의 몸값을 뜻하는 랜섬(ransom)과 소프트웨어(SW)를 의미하는 웨어의 합성어로 사용자 PC의 파일을 암호화 한 뒤 암호를 풀기 위해 일정 금액을 요구하거나, PC 부팅을 못하게 변경한 뒤 정상적인 부팅을 위해 일정 금액을 요구하는 등의 악성코드를 말합니다

해당 악성코드를 실행시 PC를 강제로 리부팅하며 부팅이 되면서 MBR이 감염되어 아래와 같이 PC가 현재 잠겨있으니 잠금 해제를 위해서는 특정 사이트에 접속할 것을 요구하고 있습니다. 명시된 사이트 접속시 특정 금액을 지불하면 패스워드를 알려주겠다는 내용을 확인할 수 있습니다.

해당 샘플을 Ollydbg로 확인시 [그림 2]와 같이 WriteFile 함수를 이용하여 "Device\Harddisk0\DR0"에 특정 값을 기록하는 것을 확인할 수 있습니다. [그림 3]과 같이 특정 영역에 Write하는 작업을 확인할 수 있습니다.
[그림 2]

[그림 3]

감염전 MBR[그림 4]과 감염 후 MBR[그림 5]를 비교하면 MBR 영역이 변조된 것을 확인할 수 있습니다.

[그림 4]

[그림 5]

감염된 상태에서 [그림 6]과 같이 감염 후 부팅시 나타나는 메시지도 확인 가능합니다.
[그림 6]

부팅 시 나타나는 문구만 봐서는 사용자 ID에 따라 다른 패스워드를 생성할 듯 하지만 실제로는 같은 패스워드를 사용하는 듯 합니다. 패스워드는 Avira의 블로그 정보를 확인하시기 바랍니다.
[Avira 블로그 링크]

이번에 발견된 Ransome ware의 경우 MBR을 감염시키고 복구의 대가로 특정 금액을 요구하고 있으며, 스펨메일이나 다른 악성코드에 의해 다운로드 되는 형태로 전파되는 듯 보입니다. 감염 방지를 위해 사용자는 항상 의심되는 메일이나 파일에 대해서 주의해야 겠습니다.

PS. 좀 더 자세한 분석을 위해서는 역시 알아야 될 것이 많내요. MBR의 구조 등에 대해서도 알아야 되고.. 앞으로도 가야할 길이 머내요.
                                                                                                    +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+


저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K