|
Win32/Ransomware.Jaff 침해사고분석팀 2017.06.02 |
|
1.개요최근에 이메일에 포함된 PDF를 이용한 랜섬웨어 감염 사례가 보고 되었다. 감염 방식은 워드 매크로가 포함된 PDF를 사용자가 실행 시, 랜섬웨어가 피해자의 시스템을 감염 시키는 방식이다. 일반적인 랜섬웨어와 마찬가지로 Jaff 랜섬웨어 역시 파일을 암호화 하고 복호화 하기 위해 지불을 요구한다.
2.분석 진행다음은 Jaff 랜섬웨어 샘플 리스트이며, 해당 샘플들에 대해 동적분석을 진행 했다.
o PDF 파일 샘플 정보
실제 위의 PDF 샘플들은 메일을 통해 전송이 되며, 메일을 다운로드 받은 사용자는 PDF 파일을 열게 된다. PDF 파일에는 워드 매크로가 포함되어 있으며, 워드 매크로는 Jaff 바이너리를 다운로드 받기 위한 초기 URL을 생성하는 역할을 한다. 생성된 URL로 피해자 PC는 접속하여 바이너리 형태의 Jaff 파일을 다운로드 하여 실행하게 된다.
2-1. 동적 분석
PDF 샘플을 실행하게 되면 PDF 파일 내에 존재하는 매크로 파일을 실행시키기 위해 알람창이 뜨게 된다. 파일 열기를 클릭 시, 아래 [그림3]과 같이 워드 파일이 실행되고 그 안에 들어 있는 매크로가 실행된다.
워드 매크로 안에는 Jaff 랜섬웨어를 다운로드 받기 위한 URL을 생성하는 내용이 들어 있다. 실제 해당 매크로를 실행시키게 되면 특정 URL(minnessotaswordfishh.com/af/fgJds2U)로 접속하여 인코딩된 Jaff 랜섬웨어 바이너리 값을 다운로드 하게 되는 것을 확인 할 수 있다. 또한 감염된 호스트가 확인 된 후, 서버로부터 "Created" 라는 응답 값을 받게 된다.([그림5] Post-infection 트래픽)
인코딩된 Jaff 랜섬웨어 바이너리는 사용자의 AppDataLocalTemp 디렉토리에 lodckap8 로 저장된다. 해당 바이너리 파일은 디코딩 된 후, 동일한 디렉토리에 levinsky8.exe 로 저장된다. 해당 파일명은 매번 바뀌게 된다.
생성된 Jaff 랜섬웨어는 사용자 시스템의 파일들을 암호화 하기 시작하고, 암호화된 파일들에 대해 확장자명을 변경하게 된다. 아래 [그림7]은 Jaff 랜섬웨어에 감염된 형태의 파일들이다. Jaff 랜섬웨어가 처음 발견되었을 시에는 확장자명을 '.jaff' 로 변경 했으나, 현재는 '.wlu' 로 변경한다. 그리고 README_TO_DECRYPT.html, README_TO_DECRYPT.bmp라는 HTML 기반과 텍스트 기반 및 그림 기반의 파일이 설치되며, 해당 파일들에는 복호화 하기 위한 정보들이 들어 있다.
README_TO_DECRYPT.html 파일에 표기되어 있는 URL로 접속하게 되면, 다음과 같이 파일에 대한 복호화 비용을 지불 할 것을 요구한다.
3.대응방안3-1. 최신의 백신으로 치료한다.
3-2. 시스템의 존재하는 파일의 백업을 항상 유지한다.
3-3. 당사 IPS에서는 아래와 같은 패턴으로 대응이 가능하다. [3513] Win32/Ransomware.Jaff Snort Rule은 시큐어 캐스트에 게시. 4. 참고https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446/ http://www.rovermoot.co.kr/?p=38291 |
[그림3] 워드 매크로 실행
