[분석보고서] SMB 취약점으로 전파되는 워너크립터(WannaCryptor) 랜섬웨어

워너크립터(WannaCryptor)는 워너크라이(Wanna Cry), W크립트(Wcrypt) 등으로도 불리는 랜섬웨어(Ransomware)로 2017년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 감염 보고되고 있다.  

* 현황

WannaCryptor는 2017년 2월 최초 발견 되었다. 악성코드 제작자는 ShadowBrokers가 NSA로부터 해킹 해 2017년 4월 공개한 SMB(Server Message Block) 취약점(MS17-010)  EternalBlue를 이용한 변형을 2017년 5월 제작했다. 관련 SMB 취약점은 마이크로소프트사가 2017년 3월 보안 업데이트를 공개했지만 보안 업데이트가 적용되지 않은 시스템은 위험에 노출되며 패치 되지 않은 시스템이 다수 존재한다. 2017년 5월 12일(현지 시간 기준) 이후 스페인, 영국을 시작으로 전 세계에 존재하는 시스템을 감염시키고 있다. 

* 감염 경로

많은 랜섬웨어가 메일 첨부 파일이나 홈페이지 방문 할 때 감염되는데 반해 WannaCryptor 랜섬웨어는 MS17-010 (Microsoft Windows SMBv2 원격코드실행 취약점)을 통해 감염 되며 윈도우 2017년 3월 보안 업데이트가 적용되지 않은 시스템에서은별도의 동작 없이도 감염 될 수 있다.

WannaCryptor 랜섬웨어 유포와 관련된 Microsoft Windows SMB 취약점은 종류는 다음과 같다.

Windows SMB 원격 코드 실행 취약성(CVE-2017-0143) Windows SMB 원격 코드 실행 취약성(CVE-2017-0144) Windows SMB 원격 코드 실행 취약성(CVE-2017-0145) Windows SMB 원격 코드 실행 취약성(CVE-2017-0146) Windows SMB 정보 유출 취약성 (CVE-2017-0147) Windows SMB 원격 코드 실행 취약성(CVE-2017-0148)

SMB 취약점 영향을 받는 시스템은 다음과 같다.

Windows 10 (취약점을 갖고 있으나, WannaCryptor의 공격대상은 아님) Windows 8.1 Windows RT 8.1 Windows 7 Windows Server 2016 Windows Server 2012 R2 Windows server 2008 R2 SP1 SP2

자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하여 SMB 프로토콜 패킷을 반복하여 전송한다.

 

 

이후 수신되는 데이터를 검증하여 취약점이 발생하는 SMB 패킷 헤더에 실행코드를 추가한 데이터를 추가 전송한다. 타겟 시스템의 운영체제가 취약점 패치되지 않은 환경일 경우 악의적인 쉘코드가 동작한다.

이후 타겟으로 다음의 IPC$ 공유폴더 경로가 사용된다.

\\192.168.56.20\IPC$ 

 

취약점 발생 이후 실행되는 쉘코드는 다음 내용을 포함한다.

* 증상

WannaCryptor에 감염되면 다음 확장자를 가진 파일을 암호화 시킨 후 확장자에 .WNCRY (변형에 따라 .WNCRYT 등으로 다를 수 있음)를 추가한다. 

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp 

.otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqllitedb .sql .accdb .mdb .db .dbf .odb .frm 

.myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp 

.php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv 

.3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso 

.backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 

.hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam 

.ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm

.docb docx .doc  

파일을 암호화 시킨 후 바탕화면을 변경한다.

 

300 달러 상당의 비트코인(Bitcoin)을 요구 창이 뜨며 28 개 언어로 작성되어 있다.

 

* 분석

 

악성코드가 실행되면 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com에 접속을 시도해 성공하면 악성코드는 종료된다. 악성코드 발견 당시 해당 도메인은 존재하지 않아 한 분석가가 도메인을 구매해 랜섬웨어의 전파를 차단했다.

 

인터넷이 안되는 등의 이유로 해당 사이트 접속이 안되면 악성코드와 관련된 파일을 생성하고 파일 암호가 진행된다. 

주) 변형에 따라 생성되는 폴더나 파일이름이 다소 바뀔 수 있다.

msg 폴더에는 언어별 메시지 파일을 생성한다.

TaskData 폴더에 온라인 상에서 익명을 보장해 주는 토르(Tor) 관련 파일을 생성한다. Tor를 사용해 추적을 어렵게 한다.

 

* 안랩 대응

안랩 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.WannaCryptor.C1951322
Trojan/Win32.WannaCryptor.C1951351
Trojan/Win32.WannaCryptor.R200571
Trojan/Win32.WannaCryptor.R200572
Trojan/Win32.WannaCryptor.R200579
Trojan/Win32.WannaCryptor.R200580 등

변형이 계속 등장하고 있어 미진단 변형이 존재할 수 있으므로 최신 윈도우 보안 업데이트 적용이 필요하다.

* 참고

- SMB 취약점을 이용한 랜섬웨어 공격 주의 권고 (http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703)

- SMB 취약점 관련 Windows XP, Server 2003 등 긴급 보안 업데이트 권고 (http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704)

- SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령 (

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723)

- 윈도우 버전별 보안업데이트 다운로드 (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)

***** 추가 분석 내용이 제공 될 예정이다.

-------
출처 : http://asec.ahnlab.com/1067

[출처] SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어 (바이러스 제로 시즌 2) |작성자 철이