1월 초, SNAKE 또는 EKANS라는 새로운 표적 랜섬웨어가 발견되었습니다. 이 악성코드는 Go 언어로 작성되었으며, 고도로 난독화되어 ICS 환경을 노립니다. Snake 랜섬웨어는 기업 네트워크만을 노리는 집중적이고 표적화된 캠페인을 통해 유포되는 것으로 보입니다. 암호화에는 AES와 RSA를 사용합니다. 감염 시 관련 파일은 암호화된 데이터로 덮어씌워집니다. 수정된 각 파일에는 "Ekans파일 끝에 ""가 있습니다.
Malware 하드코딩된 내부 시스템 이름과 공용 IP 주소에 대한 검사가 포함됩니다. 이 경우에는 Honda 회사와 관련이 있습니다. Honda에 속한 내부 도메인에 대한 DNS 쿼리가 확인되지 않으면 즉시 종료됩니다.
기술적 분석 :
해당 파일은 MS Windows용 PE32 실행 파일이며, 가져오기가 적은 ".symtab" 섹션이 있어 해당 파일이 Go 언어로 작성 및 컴파일되었음을 나타냅니다.
바이너리가 Go 언어로 컴파일되었음을 확인하는 다양한 문자열이 발견되었습니다. 아래는 Go 빌드 ID입니다.
맬웨어는 "MDS.HONDA.COM"의 DNS 확인을 요청하기 시작합니다. Honda는 최근 랜섬웨어 사이버 공격 기술 시스템에 대한 것입니다. 따라서 이 샘플이 혼다 웹사이트를 해킹하는 데 사용된 것으로 보입니다.
악성코드는 "MDS.HONDA.COM” 연관된 IP 주소에 미국 IP 주소에 대한 참조도 포함되어 있습니다. 170.108.71.15, 이는 '로 해결됩니다.unspec170108.amerhonda.com' 호스트 이름. DNS 확인에 실패하면 맬웨어는 실행을 중단합니다.
맬웨어는 도메인 이름이 확인되었음을 확인한 후 netsh.exe(네트워킹 도구)에 명령을 전송하여 방화벽 설정을 변경합니다. 전송된 명령은 다음과 같습니다.
"Netsh advfirewall set allprofiles firewallpolicy blockinbound,blockoutbound".
이 명령은 Windows 방화벽 기능을 사용하여 들어오고 나가는 규칙에 맞지 않는 모든 프로필에 대한 모든 들어오고 나가는 연결을 차단합니다.
맬웨어는 맬웨어 실행 중 사용되는 모든 문자열을 해독하기 위해 아래 알고리즘을 사용하지만, 각 암호화된 데이터는 서로 다른 XOR 키를 사용합니다.
아래의 복호화 루프는 RSA 공개 키를 복호화하는데, 이 키는 파일을 암호화하는 데 사용되는 각 AES 키를 암호화하는 데 사용됩니다.
해당 알고리즘에 대한 디컴파일된 코드는 아래와 같습니다.
악성코드는 "EKANS"라는 뮤텍스가 있는지 확인합니다. 뮤텍스가 있으면 랜섬웨어는 실행을 중단하고 시스템을 감염시키지 않습니다. 뮤텍스가 없으면 뮤텍스가 생성되어 감염이 진행됩니다.
여기에는 맬웨어의 암호화된 문자열 형태로 존재하는 하드코딩된 프로세스 및 서비스 목록이 포함되어 있습니다. 피해자 시스템에서 실행 중인 서비스가 있으면 랜섬웨어는 해당 서비스를 중지합니다. 또한, 시스템에서 실행 중인 프로세스가 있으면 TerminateProcess() 함수를 사용하여 해당 프로세스를 종료합니다. 일부 프로세스 이름은 다음과 같습니다.
맬웨어는 시스템에서 발견된 모든 볼륨 섀도 복사본 백업을 제거합니다. 맬웨어는 파일의 일부 확장자를 암호화에서 제외합니다. 이러한 확장자 중 일부는 다음과 같습니다.
.sys .mui .tmp .lnk .config .tlb .olb .blf .ico .manifest .bat .cmd .ps1 등
아래에 언급된 일부 확장자는 암호화 중에는 사용되지 않지만 맬웨어에 의해 해독됩니다.
스네이크의 암호화 과정은 AES-256과 RSA-2048을 포함한 대칭 및 비대칭 암호화가 혼합된 방식입니다. 파일 암호화 및 복호화에는 대칭 키가 필요합니다. 이 대칭 키는 공격자의 공개 키로 암호화됩니다. 복호화는 공격자의 개인 키로만 가능합니다. 따라서 보안 업체는 복호화를 어렵게 하거나 불가능하게 만듭니다.
악성코드는 0x20 바이트의 랜덤 키와 0x10 바이트의 랜덤 IV를 사용하여 AES CTR 모드를 사용하여 파일을 암호화합니다. RSA 공개 키는 파일에 하드코딩되어 있습니다. 암호화 후 악성코드는 파일 끝에 "EKANS" 표시를 추가합니다. EKANS는 SNAKE의 반대 개념입니다.
모든 파일을 암호화한 후, 악성코드는 암호화된 각 파일의 이름을 변경합니다. 파일 확장자에 무작위 5자리 문자열을 추가합니다. 확장자는 랜섬웨어이므로 확장자만으로는 랜섬웨어를 식별하기 어렵습니다. 아래 이미지는 스네이크 랜섬웨어가 파일 이름을 변경하는 과정을 보여줍니다.
맺음말
랜섬웨어는 개인 사용자와 기업 모두에게 끊임없는 위협이 되었습니다. 일단 파일을 암호화하면 해독하기가 매우 어렵습니다. 랜섬웨어가 데이터에 가할 수 있는 피해의 심각성을 고려할 때, 아래에 언급된 권장 보안 조치를 반드시 준수해야 합니다.
- 실시간 위협을 차단할 수 있는 다층적 바이러스 백신을 사용하세요.
- 바이러스 백신 프로그램을 최신 상태로 유지하세요.
- 매일 중요한 패치가 출시되므로 운영 체제를 정기적으로 업데이트하세요.
- 소프트웨어를 최신 상태로 유지하세요.
- 원격 시스템을 인터넷에 직접 연결하지 마세요.
- 알 수 없는 출처에서 받은 이메일의 링크를 클릭하거나 첨부 파일을 다운로드하지 마세요.
- 정기적으로 데이터 백업을 하고 안전한 곳에 보관하세요.
- 게이트웨이 시스템을 감사하고 구성 오류를 확인합니다.
시크라이트 모든 제품은 IDS/IPS, DNA 스캔, 이메일 스캔, BDS, 웹 보호 및 특허받은 랜섬웨어 탐지 등 다층적인 탐지 기술을 탑재하고 있습니다. 이러한 다층적인 보안 접근 방식은 이러한 유형의 랜섬웨어 및 기타 알려진/알려지지 않은 위협으로부터 고객을 효율적으로 보호하는 데 도움이 됩니다.
침해 지표
d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
