보안자료

악성코드 분석보고서

매월 발행되는 악성코드 분석보고서를 통해 최신 보안 위협과 그에 대한 대응 방안을 확인할 수 있습니다.

악성코드분석보고서

[악성코드 분석리포트] Trojan.Ransom.Clop

2019-03-22

Trojan.Ransom.Clop



 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다.


[그림 1] 인증서 화면


따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다.



악성코드 상세 분석


1. 중복 실행 방지 

중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가 생성되지 않으면 프로세스를 종료합니다.


[그림 2] 중복 실행 확인


2. 파일 암호화

크롭 랜섬웨어는 사용자 언어 검색을 통하여 특정 국가를 암호화에서 제외하며 감염PC에 연결된 저장 장치를 대상으로 암호화를 시도합니다. 암호화 제외 대상 사용자는 러시아어, 우크라이나어, 벨라루스어, 타지크어, 아르메니아, 아제리어-키릴자모, 우즈베크어-키릴자모, 키르기스어, 투르크멘 언어를 사용합니다.


[그림 3] 사용자 언어 검색 코드


암호화를 시작하기 전, 배치파일을 통하여 감염 PC에서 불륨섀도우 삭제 및 실행 중인 서비스들을 종료시킵니다. 이 목록에는 백신, 데이터베이스 관련 서비스들이 있습니다. 이는 백신으로부터 탐지를 우회하고 현재 사용 중인 파일 또한 포함하여 암호화시키기 위한 의도로 보입니다.


[그림 4] 배치 파일 내용


이후, 감염 PC 루트 디렉터리부터 파일들을 암호화합니다. 그뿐만 아니라 공유자원을 검색하여 연결된 네트워크 드라이브가 있다면 암호화를 진행합니다.


암호화 대상 파일 검색 시, 파일명을 확인하여 특정 문자열을 포함할 경우 암호화 대상에서 제외합니다. 이는 불필요한 파일 암호화를 제외하고 정상적인 시스템을 유지시키기 위함으로 보입니다.


[그림 5] 암호화 제외 목록과 확장자


암호화가 완료된 파일은 ‘.clop’확장자를 가집니다. 내부 구조는 암호화된 데이터, 시그니처(‘Clop^_-‘), 암호화된 키로 구성됩니다.


[그림 6] 암호화 완료 화면


암호화가 완료된 디렉터리에 랜섬 노트를 드롭합니다. 해당 내용에는 복구 요청을 위한 이메일 주소가 있으며 복호화를 위한 금액은 파일 복원 요청 시간에 비례한다는 내용이 담겨있습니다.


[그림 7] 랜섬노트 화면



결론


이 랜섬웨어의 감염 경로가 명확히 알려지지 않았으나 공격자는 윈도우 서버를 타깃으로 침투를 한 후 기업 내부망과 연결된 백업 서버의 자료를 손상시키는 랜섬웨어를 유포시키는 것으로 알려져 있습니다. 특히 기업의 중앙전산 자원 관리 서버(AD서버)서버를 주요 타겟으로 공격을 감행합니다. 


이번 랜섬웨어는 논리 드라이브와 네트워크로 연결된 모든 데이터까지 암호화 대상에 포함합니다. 또한 C&C 연결을 하지 않아도 암호화되기 때문에 보안을 위해 폐쇄망을 사용하는 기업들도 랜섬웨어 공격에 더 큰 주의를 기울여야 합니다. 


랜섬웨어를 예방하기 위해서는 기본 보안 수칙을 준수하고, 윈도우, 애플리케이션을 최신으로 업데이트해야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야 합니다.


웨스트코스트랩/한국산업기술시험원 /OPSWAT/국정원/ICSA/바이러스 블러틴
사이트맵 메뉴 닫기