|
랜섬웨어를 부르는 다운로더 AhnLab l 2016-09-28
랜섬웨어는 사용자가 실행 파일(PE 파일)을 직접 실행하는 경우에만 감염되는 것은 아니다. 여러 종류의 다운로더에 의해 파일을 다운로드하고 실행하다가 감염되는 경우도 많다. 이 글에서는 지금까지 확인된 랜섬웨어 다운로더의 종류에 대해 살펴본다.
일반적으로 다운로더 파일의 종류는 [그림 1]과 같다.
[그림 1] 랜섬웨어 다운로더의 종류
먼저, 최근 발견된 록키(Locky) 랜섬웨어에 이용된 DOC 파일 다운로더에 대해 알아보자. 해당 DOC 파일의 내부 매크로를 확인해보면 다음과 같다.
[그림 2] DOC 파일 내부 매크로
다음으로는 HTA 파일 형태의 다운로더를 확인해보자. 일반 사용자들에게 생소한 HTA 파일은 HTML 애플리케이션(Application) 파일로, 브라우저에 연결되어 실행되는 HTML 파일과는 달리 기본 창으로 실행된다. 최근 유포된 HTA 파일을 실행하면 .zepto 확장자로 변경되는 록키 랜섬웨어에 감염된다.
[그림 3] HTA 파일 실행 시 나타나는 기본 창
해당 HTA 파일 내부를 살펴보면 다음과 같다.
[그림 4] HTA 파일 내부
JS 다운로더 파일의 경우도 내부를 살펴보면 [그림 5]와 같이 난독화되어 있다.
[그림 5] JS 파일 내부
JSE 파일은 자바스크립트(JavaScript) 암호화 파일이다. 최근 유포된 케르베르(CERBER) 랜섬웨어가 JSE 파일 실행을 통해 감염되는 대표적인 사례다. JSE 파일 내부는 다음과 같다.
[그림 6] JSE 파일 내부
위와 같은 파일들은 보통 메일에 첨부되어 유포된다. 따라서 이러한 파일들이 첨부된 스팸 메일은 가급적 열어보지 않는 것이 중요하다. 신뢰할 수 있는 발신자가 보낸 메일일지라도 매크로가 삽입된 DOC 및 HTA, JS, JSE, WSF 파일이 첨부되어 있다면, 해당 파일을 실행하지 않는 것이 바람직하다.
V3 제품에서는 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군의 진단명> W97M/Downloader (2016.09.03.00) JS/Downloader (2016.09.02.00) JS/Obfus.S123 (2016.09.03.02) |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 영화 ‘인디펜던스 데이’, 사이버 위협의 트렌드를 그리다 (0) | 2016.10.12 |
|---|---|
| 생체인증 시대...보안카드-OTP 필요할까? (0) | 2016.10.07 |
| SNS 시대, ‘지우는 것’이 더 중요합니다 (0) | 2016.10.04 |
| 스마트폰 3강 '10월 전쟁' 누가 이길까 (0) | 2016.09.30 |
| 가짜 ‘윈도우 업데이트’로 위장한 랜섬웨어 등장? (0) | 2016.09.29 |