랜섬웨어
바로가기파일(*.lnk)을 이용한 랜섬웨어 안내
1,440 2017-03-03
□ 개요
2016년부터 2017년 현재까지 랜섬웨어 관련 바로가기(*.lnk) 악성코드가 꾸준히 발견되고 있습니다.
윈도우의 바로가기 파일은 특정 파일의 대상 위치를 가지고 있는 파일로, 실행을 위해 매개변수 사용이 가능합니다.
이 매개 변수에 특정 문자열을 추가해 의도한 동작을 수행하도록 할 수 있는데, 최근 이를 랜섬웨어의 악용하여
이메일 등에 첨부 된 형태로 유포되며, 오피스 매크로 파일 내부에 존재하는 매크로를 이용하여 매크로가 실행되면서
실행 되기도 합니다.
이에 따라 랜섬웨어의 이용되는 바로가기에 동작 방식을 안내드리고자 합니다.
* 바로가기(*.lnk): Shell Link Binary File Format으로 다른 데이터를 접근하는데 필요한 정보를 포함하는 데이터
□ 바로가기 (*.lnk) 구조
▶ 출처: AhnLab
바로가기 파일(*.lnk)을 이용한 랜섬웨어는 주로 String Data를 이용하며 최근 Extra data를 이용한 랜섬웨어도
발견되었습니다.
Spora 랜섬웨어와 VenusLocker가 대표적으로 바로가기 파일을 이용한 랜섬웨어입니다.
□ LNK 악성코드 3가지
[2016년 이후 랜섬웨어 관련 바로가기 악성코드]
- 스크립트(*.js, *.vbs, *.vbe 등)를 이용한 악성코드
- Powershell을 이용한 바로가기(*.lnk)
- VenusLocker에서 이용하는 바로가기(*.lnk)
1. 스크립트를 이용한 악성코드 (*.js, *.vbs, *.vbe 등)
[*.vbe를 실행시키는 바로가기]
▶ 출처: AhnLab
2016년 이전에는 바로가기(*.lnk) 악성코드는 .js, .vbs, .vbe 등 스크립트 파일을 실행시키고, 추가 악성행위를
하였으나 작년부터는 바로가기(*.lnk) 악성코드는 Powershell를 이용해 악성파일을 다운로드 하는 형태로 변화하였습니다.
2. Powershell을 이용한 바로가기
[Powershell 악성코드 평문 데이터]
▶ 출처: AhnLab
[LNK 악성코드 평문 데이터]
▶ 출처: AhnLab
2016년 최초 발견된 Powershell을 이용한 랜섬웨어 다운로드 형태는 다운로드주소와 저장되는 폴더/파일명을
평문으로 볼 수 있는 형태입니다.
[Powershell 악성코드 ^ 문자]
▶ 출처: AhnLab
[LNK 악성코드 ^ 문자]
▶ 출처: AhnLab
2016년 11월 발견된 변형은 문자열 사이에 '^' 문자가 추가되었으며, 이는 Powershell을 실행하는데 문제는 없지만
백신 진단을 우회하기 위해 나온 변형 형태입니다.
[Powershell 악성코드 (함수, 변수 이용)]
▶ 출처: AhnLab
[LNK 악성코드 (함수, 변수 이용)]
▶ 출처: AhnLab
현재 유포되고 있는 형태는 2017년 1월에 발견되었으며, 단순한 Download 명령을 사용하는 것이 아닌 함수와
변수 등을 이용하여 악성 파일을 다운로드 받는 형태로 발전하였습니다.
3. VenusLocker에서 이용하는 바로가기
- 국내에 유포된 VenusLocker 랜섬웨어도 바로가기를 이용하여 랜섬웨어를 실행시킵니다.
- 다음 그림과 같이 자격증.jpg 이미지파일을 실행하는 것으로 보여 일반 사용자들은 정상 파일로 오인하게 됩니다.
[VenusLocker 바로가기]
▶ 출처: AhnLab
LNK 구조를 이용한 VenusLoceker_korean.exe를 실행하는 악성 바로가기형태 파일입니다.
[Extra data Block에 존재하는 악성 실행 파일]
▶ 출처: AhnLab
Extra data는 링크 대상에 대한 추가적인 정보를 나타내는 구조체 집합입니다.
이 구조체는 기본 Shell Link Binary File Format에 추가 된 Extra data Section에 존재합니다.
□ 대응 방안
관리자의 업무 증가 없이 자동화 규칙 운영이 가능한 화이트리스트 기반 차단 솔루션 도입으로
exe, DLL(Scripts), Active X 등 신종/변종 비인가 프로세스 사전 예방
□ 관련 자료
댓글 : 0
