꿈을꾸는 파랑새

먼저 해당 글은 해당 랜섬웨어 인 Maze 랜섬웨어 1.2(Maze Ransomware 1.2)에 대해 적는 글일것을 알리고 시작을 하겠습니다. 오늘은 한반도 북부에서  김일성, 김정일, 김정은 3대에 걸쳐 세습과 독재를 하고 있으며 북한의 현 최고 권력자이면서 독재자인 김정은을 찬양하는 문구가 포함된 Maze Ransomware(Maze 랜섬웨어)이 버전이 업데이트가 된 1.2 버전이 나왔습니다. 일단 김정은 가장 최근은 2018년 4월27일 문재인 대통령과 만난 판문점 선언 그리고 최근에서는 5월, 7월, 8월 미사일 도발을 하고 있으며 아무튼 한국에 대해서 여러 차례 걸쳐서 반복적으로 미사일(발사체)을 발사해서 무력도발을 하고 있습니다.예전에 트럼프 대통령,문재인 대통령이 등장한 랜섬웨어들 처럼 아마도 사회공학적 기법을 사용을 해서 즉 전세계에 이슈 또는 특정 국가 이슈 키워드를 이용해서 사용자 컴퓨터를 감염 시키는 랜섬웨어 인 것 같습니다.
최근 2019년 5월 처음 등장하여 5월 24일경 취약점(Exploit)을 통해 한국도 감염자가 발생하였던 Maze 랜섬웨어(Maze Ransomware)가 8월 3일에 다시 새로운 변종으로 한국어가 포함돼 유포되고 있습니다. 한국어 랜섬 노트를 포함하고 있으며 랜섬웨어 악성 파일에 북한 김정은을 지칭하는 문구가 포함돼 있습니다. 일단 악용하는 취약점은 2017년 6월에 공개된 CVE-2017-8464 바로 가기(.lnk) 원격 코드 실행 취약점을 악용하는 랜섬웨어 입니다.

[소프트웨어 팁/보안] - 트럼프 대통령이 등장하는 랜섬웨어-TrumpLocker

[소프트웨어 팁/보안] - 문재인 대통령이 나오는 랜섬웨어-HiddenBeer Ransomware(히든비어 랜섬웨어)
C:\Users\%UserName%\AppData\LocalLow\(랜덤).tmp
기존 Maze 랜섬웨어와 마찬가지로 사용자가 브라우저를 사용하여 웹 사이트에 접속하는 과정에서 보안 업데이트가 제대로 설치되어 있지 않은 환경에서 취약점(Exploit)을 통해 자동 감염되는 방식으로 유포되고 있으며 Maze 랜섬웨어는 기존 버전과 달라진 부분은 없습니다. 기존과 거의 같은 C&C 서버 IP 주소 사용을 하고 있으며 감염된 컴퓨터 수집된 정보를 전송할 수가 있으며 파일 암호화 대상 파일은 (4~7자리 랜덤 확장자) 형태로 변경되며, 폴더마다 DECRYPT-FILES.html 결제 안내 파일을 생성합니다.

바이러스 토탈 결과

Maze 랜섬웨어 1.2(Maze Ransomware 1.2) 랜섬 노트Maze 랜섬웨어 1.2(Maze Ransomware 1.2) 랜섬 노트

92.63.11?151
92.63.15?56
92.63.15?6
92.63.15?8
92.63.17?245
92.63.194?20
92.63.194?3
92.63.29?137
92.63.32?2
92.63.32?52
92.63.32?55
92.63.32?57
92.63.37?100
92.63.8?47


그리고 파일 암호화 될 때 autorun.inf, boot.ini, Bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntuser.dat, ntuser.dat.log, thumbs.db 파일에 대해서는 예외 처리 하며 \All Users, \cache2\entries\,\Games\, \Low\Content.IE5\, \Program Files, \ProgramData\, \Tor Browser\, \User Data\Default\Cache\, \Windows, AhnLab 폴더 내의 파일도 암호화 대상에서 제외되도록 악성코드가 제작돼 있습니다. 그리고 파일 암호화 시에는 C:\ProgramData\0x29A.db 파일 생성을 하고 내부에 포함된 특정 문자열을 참조하여 암호화 대상 파일 내에 코드를 추가하는 방식을 사용하고 있습니다. 그리고 컴퓨터 사용자가 복구할 수 없도록 다음 명령어를 실행을 합니다.C:\wg\..\Windows\rko\fagla\lsv\..\..\..\system32\n\jg\yjkh\..\..\..\wbem\xaaie\pdx\v\..\..\..\wmic.exe"shadowcopy delete 명령어 실행을 통해 무력화 처리를 진행하며 그리고 텍스트 음성 변환(TTS) 기능을 통해 암호화된 사실을 음성으로 출력하여 재생하는 기능이 포함되어 있습니다.

변경된 부분은 DECRYPT-FILES.html 열었을 때 Encrypted by Maze ransomware v1.2" 영어 문구 하단에 "!한국어 버전은 아래로 스크롤하십시오!"라는 한국어 메시지가 포함되어져 있습니다.랜섬노트에 포함이 되어된 한국어는 다음과 같습니다.

Maze 랜섬웨어 1.2(Maze Ransomware 1.2) 한글 랜섬 노트Maze 랜섬웨어 1.2(Maze Ransomware 1.2) 한글 랜섬 노트

랜섬노트 내용

*****************************************************************
주의! 문서, 사진, 데이터베이스 및 기타 중요한 파일이 암호화되었습니다!
*****************************************************************
무슨 일 이니?
시스템에 고유 한 개인 키가있는 강력한 신뢰할 수있는 알고리즘 RSA-2048 및 ChaCha20을 사용하여 파일이 암호화되었습니다.
이 암호 시스템에 대한 자세한 내용은 다음을 참조하십시오. https://ko.wikipedia.org/wiki/RSA_%EC%95%94%ED%98%B8
파일을 복구 (암호 해독)하는 유일한 방법은 고유 개인 키로 암호 해독기를 구입하는 것입니다
주의! 우리는 당신의 파일을 복구 할 수 있습니다! 누군가가이 일을 할 수 있다고 말하면 친절하게 그에게 증거 해달라고 부탁하십시오!
우리는 귀하의 파일 중 하나를 해독하여 나머지 데이터를 해독 할 수있는 작업 증명 자료로 무료로 해독 할 수 있습니다.
개인 키를 사거나 테스트 암호 해독을 위해 이메일을 통해 저희에게 연락하십시오 : 메인 전자 메일 :
1) E-mail: mazedecryptor@p-security.li
2) E-mail: advancedransom@cock.li
두 개의 이메일 주소를 모두 적어주십시오
다른 국가의 법 집행 기관이 항상 몸값 회사에서 사용되는 전자 메일을 압류하려고하자마자 전자 메일 주소를 사용할 수 없을 수도 있으므로 서두르는 것을 잊지 마십시오.
지불 할 의향이 있지만 우리를 잘 모르겠다면 전자 메일 주소를 저장합니다. 나열된 주소가 압수되면 우리는 새 주소에서 귀하를 씁니다.
아래에 큰 base64 얼룩이 보일 것입니다. 이메일을 보내고이 얼룩을 우리에게 복사해야합니다. 클릭하면 클립 보드에 복사됩니다.
복사하는 데 문제가 있으면 현재 읽고있는 파일을 첨부 파일로 보내주십시오.

많이 어색한 한국어로 표기된 안내 문구가 포함되어 있으며 해당 랜섬웨어는 한국을 표적으로 하고 있습니다.
특히 Maze 랜섬웨어 악성 파일에는 Kim Jong Un is my God (김정은은 나의 신이다.) 텍스트가 포함되어 있는데 북한을 추종하는 것처럼 표시된 부분이 있으며 한국의 정세에 관심이 있는 랜섬웨어 입니다. 어썰픈 한국어로 돼 있는 것을 보면 랜섬웨어 제작자는 외국인으로 추정됩니다.


파일 암호화가 진행되는 과정에서 공유 폴더가 존재할 때 해당 폴더 내에 다음과 같은 2개의 파일 폴더를 생성합니다.
CLASSIFIED, SECRET 폴더 명이 있으며 해당 폴더를 클릭할 때 폴더 내로 접근은 할 수 없는 것이 특징입니다.
폴더 명은 다음과 같습니다.
(공유 폴더)\CLASSIFIED.{0AFACED1-E828-11D1-9187-B532F1E9575D}\target.lnk
(공유 폴더)\SECRET.{0AFACED1-E828-11D1-9187-B532F1E9575D}\target.lnk

폴더 속성을 보면 러시아 보안 업체인 Kaspersky(카스퍼스키) 폴더명 뒤에 추가적인 GUID 값이 포함되어있습니다. target.lnk 에서는 209.97.139.14x IP에서 ahnlab.ico 또는 checkmal.ico 파일 아이콘 확장명을 가진 파일을 다운로드을 합니다.그리고 해당 취약점은 CVE-2017-8464 취약점입니다. 즉 2년 전에 발견된 취약점이며 윈도우 업데이트를 진행을 했으면 문제가 되지 않습니다.
즉 윈도우 업데이트를 하지 않으면 감염이 됩니다. 그리고 레지스터리 다음 값을 변경합니다.


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
HKEY_LOCAL_MACHINE\Software\Microsoft\WBEM\CIMOM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Main\FeatureControl
그리고 기본적으로 현재에서는 대부분 백신프로그램에서도 해당 감염을 탐지합니다. 그래서 기본적으로 백신프로그램,윈도우 업데이트,랜섬웨어예방프로그램, 최신 프로그램 업데이트를 유지하는 것이 안전하게 컴퓨터를 사용하는 방법입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band