( 1 ) Ransomware 개요
중국 공급망 공격으로 지난 4일 동안(2018년 12월 01일 ~ 2018년 12월 04일) 이미 10만대 이상의 컴퓨터를 감염시킨 Ransomware 가 급속하게 확산되고 있음.
거의 모든 Ransomware 는 Bitcoin 에서 몸값을 요구하지만 이 새로운 Ransomware 는 중국에서 가장 인기있는 앱의 지불 기능 WeChat Pay 를 통해 몸값 110 위안(약 16 달러)을 지불할 것을 요구하고 있음.
그리고 작년에 전 세계적으로 혼란을 야기한 WannaCry 나 NotPetya 와는 달리 중국 사용자만 타켓으로 함.
또한, Alipay, NetEase 163 이메일 서비스, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall , AliWangWang 및 QQ 웹사이트에 대한 사용자 계정 암호를 도용할 수 있는 추가 기능이 포함됨.
( 2 ) Ransomware 상세 정보
< 감염된 응용 프로그램 리스트 >
< 제외된 파일 확장명 >
공격자가 많은 응용 프로그램 개발자가 사용하는 EasyLanguage 프로그래밍 소프트웨어를 통해 악성 코드를 추가시킴.
악의적으로 수정된 응용 프래그램은 소프트웨어 공급망 사이트에 업로드되어 다수 사용자에 감염시킴.
감염된 응용 프로그램 목록은 위와 같으며 gif, exe, tmp 등 확장자를 가진 파일을 제외하고 모든 파일을 암호화시킴.
< 신뢰할 수 있는 디지털 서명 도용 >
< 암호화하지 않는 디렉토리 리스트 >
< 협박 메시지창 >
바이러스 백신 프로그램을 방어하기 위해서 공격자는 Tencent Technology 의 신뢰할 수 있는 디지털 서명으로 악성 코드를 서명하였으며 Tencent Games, Legends, tmp, rtl, Program 과 같은 특정 디렉토리의 데이터는 암호화하지 않음.
감염되어 암호화되면 Ransamware 는 암호 해독 키를 받고 싶으면 3일 이내로 공격자의 WeChat 계정에 110 위안을 지불하도록 메시지창을 팝업시킴.
표시된 시간 내에 지불되지 않으면 C&C 서버(douban[.]com)에서 암호 해독 키를 자동으로 삭제함.
또한, Ransomware 은 암호화 기능 외에도 인기있는 중국 웹사이트 및 소설 미디어 계정에 대한 사용자 로그인 자격 증명을 자동으로 도용하여 원격 서버로 보냄.
더 나아가 아래와 같이 시스템 정보 및 중국 웹사이트 정보 등을 수집함.
수집하는 정보 리스트
1. 터미널 ID
2. 시스템 버전 정보, 현재 시스템 로그인 사용자 이름, 시스템 로그인 시간
3. CPU 모델
4. 화면 해상도
5. IP 및 캐리어 정보
6. 소프트웨어 설치 정보
7. 보안 소프트웨어 프로세스 정보
8. 온라인 쇼핑 계정 로그인 정보, 전자 메일 로그인 정보, QQ 번호 로그인 정보, 네트워크 디스크 로그인 정도 등
< 데이터 암호화 >
해당 Ransomware 는 제대로 프로그래밍되지 않아 작성한 공격자 정보가 노출되어 있으며 DES 암호화 방식이 아닌 XOR 암호 방식으로 암호화되고 다음 위치에 암호 해독 키의 사본을 피해자 시스템에 저장함.
%user%\AppData\Roaming\unname_1989\dataFile\appCfg.cfg
< 잘못된 거짓 정보 출력 >
잘못된 거짓 정보를 출력하도록 설정되어 해당 Ransomware 오랫동안 숨어 있도록 생각하게 만듬.
< 해독 도구 >
중국 Velvet 보안팀은 무료로 제공되는 Ransomware 암호 해독 도구를 배포 중임.
배포 사이트 링크 : https://www.huorong.cn/info/1543706624172.html
C&C 서버 : douban[.]com
바이러스 제작자 정보 :
hxxps://github[.]com/qq1790749886/javanet
hxxps://myapplication[.]top/adcheatReserved/gx.html
참고 사이트 :
https://thehackernews.com/2018/12/china-ransomware-wechat.html
https://www.huorong.cn/info/1543934825174.html
https://www.huorong.cn/info/1543706624172.html
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
댓글 없음:
댓글 쓰기