Bart 랜섬웨어
ZIP 파일 형태를 가진 새로운 Bart 랜섬웨어에 대해서 알아보자
1. 소개
Bart 암호화 랜섬웨어라고 소개된 또 다른 랜섬웨어 도구가 계속 성장하는 암호화랜섬웨어 마켓에 추가되었다. Bart 암호화 램섬웨어는 초기 개발 시 배포를 위한 몇 가지 독특한 메커니즘을 활용하고 있다. 또한, 이 랜섬웨어는 Locky 암호화랜섬웨어에 랜섬 지불 인터페이스를 사용하는 것 같은 모습을 떠올리거나 느껴지게 하는 몇 가지 인터페이스 요소를 공유한다. 여러 가지 면에서 Bart 암호화 랜섬웨어는 상당한 비트 코인을요구할 뿐만 아니라 다양한 확장자를 암호화(이러한 파일 확장자의 전체 목록은 이 문서 끝에 포함되어있다.)하는 메인스트림 암호화 랜섬웨어이다.
2. 특징
Bart 암호화 랜섬웨어에 가장 주목할만한 사실 2가지는 C&C 인프라가 부족하다는 것과 피해자가 파일에 접근하는 것을 거부하는 것이다. 많은 암호화 랜섬웨어의 종류가 암호화 전에 C&C 호스트와 연결된다고 보고되고 있지만, Bart는 이러한 보고를 하지 않고 어떤 자원에 연결하기 위한 아무런 기능이 없다. 대신에 피해자가 랜섬을 지불하는데 이용 가능 하도록하는 복호화 응용프로그램을 사용하여 복호화 키를 만드는 것에 위협요인을 표시하기 위한 특정한 피해자 식별자가 있어야 하는 것 같다.
또한, 대부분에 암호화랜섬웨어는 전통적으로 매우 복잡한 비대칭, 공개-개인키 쌍이나 별개에 대칭 암호화키 생성에 의존하고 있다. 이 키는 일반적으로 나중에 암호화시 사용하기 위해 위협 요인의 인프라로 전달된다. 그러나 Bart는 단순히 ZIP 압축파일에 그 대상파일을 배치하고 이러한 압축파일에 암호보호를 적용한다. Bart에 감염된 파일과 특이한 “recovery” 텍스트파일을 포함하는 아카이브 목록은 그림 1-1처럼 목록화 되어 있고 반면에 이러한 파일에 접근하기 위한 비밀번호 창은 그림 1-2처럼 보인다.
그림 1-1 Bart에 의해 만들어진 ZIP 압축 파일 목록
그림 1-2 Bart로 만들어진 zip 압축파일 비밀번호 창이 “recover.txt”와 “recover.bmp” 같은 랜섬 노트들은 Bart에 의해 암호화된 파일이 있는 모든 디렉터리에 생긴다. 이러한 랜섬 노트 파일들은 피해자가 노트에 있는 링크로 Tor-hosted 지불 사이트를 방문할 때 파라미터로 넘겨줄 고유한 식별자를 포함한다. 그림 1-3은 피해자가 이런 링크를 통해 지불 위치를 방문하는 것을 표현한 인터페이스를 보여준다. Locky 암호화 랜섬웨어의 피해자에게 보이는 그림 1-4에 있는 랜섬 지불 인터페이스를 비교해보면, 매우 유사하다. 사실, 가장 큰 차이점은 Locky에서는 0.5 BTC를 요구하지만 대조적으로 Bart에서는 상당히 큰 3BTC를 요구한다는 것이다.(약 2000달라차이)
그림 1-3 Bart 지불 사이트
그림 1-4 Locky 지불 사이트이러한 특이하고 간단하고 효과적인 속성이 오직 Bart 암호화 랜섬웨어에 주목할만한 특성이
아니다. 인텔리전스 위협 ID 6291 에서 분석햐 피싱 이메일에 의해 배포되누 Bart 의
위협요인이 Top-tier 전달 메커니즘을 접근할 수 있다고 지적했다. 이 피싱 이메일은
RockLoader 샘플을 다운로드하고 실행하기 위해 설계된 JavaScript 응용프로그램을
전달한다. 몇 달 전, PhishMe 에서는 악성코드의 여러 가지 유형을 제공하는데 사용되는
새로운 악성코드인 RockLoader 악성코드 다운로더에 대해 글을 썼다. 그 당시, 그것은 pony 와 kegotip 정보 도용뿐 아니라 Dridex Trojan, Locky 암호화 랜섬웨어의 전달을 담당했다.
Dridex 는 지난 2 년동안 가장 성공적인 금융 범죄와 봇넷 Trojan 중 하나이다. 2016 년 2 월
이후로 Locky 는 악성 코드를 제공하고 이메일의 양에 엄청난 증가에 대한 책임이 있는
최고의 암호화 랜섬웨어이자 2016 년 3 월에 분석된 랜섬웨어 샘플에 4 분의 3 을 차지하고
있는 랜섬웨어이다. 그러나, Locky 랜섬웨어의 부활이 있을 것이라는 이야기는 6 월 15 일과
16 일에 Locky 가 한 번 더 급증했지만 21 일까지는 되지 않았다.
이 랜섬웨어에 부활은 정교하지는 않지만, Locky 페이로더를 전달하는 것을 탐지하기 어렵게 하는 단순한 안티-분석 기술 중 하나가 들어가 있다. 이것은 2016 년 6 월 24 일에 RockLoader 에 의해 전달된 Bart 랜섬웨어가 다운로드 되었을 때 실행 내용을 숨기기 위해 간단한 XOR 을
활용한 것과 관련이 있다. 일단 XOR-암호화 BLOB 샘플의 다운로드가 완료되면, RockLoader 응용프로그램은 디코딩을 수행하고, 윈도우 응용프로그램으로 새로운 훼손되지 않은 실행 파일을 실행한다.
RockLoader 페이로드 사이트에 대한 수사에서 이 악성코드에 의해 전달된 첫 번째 Bart 페이로드뿐 아니라 궁극적으로 7 가지 페이로드를 피해자에게 전달하기 위해 RockLoader 가 만들었다는 것이 드러냈다. 이러한 파일은 그림 1-5 와 같다.
그림 1-5 RockLoader 페이로드 디렉터리에 다른 바이너리 리스트그러나 이러한 파일은 윈도우 실행파일을 구성하기 위한 필수적인 내용이 포함하지 않아서
현실적으로 실행되지 못한다. 이러한 파일에 로우 내용을 보면 첫 시그니처가 MZ 바이트가
아니라서 사용할 수 없는 데이터의 BLOB 를 나타내는 것유 알 수 있다.
그림 1-6 MZ 위치해야 하는 파일 헤더 바이트의 불일치알고리즘을 리버싱하는 것은 실제로 어떻게 인코딩되는지 바이너리를 봄으로써 이러한
파일을 해독하는데 사용된다. 익성은 결정하는데 시간이 걸릴 수 있다. 그러나 공격자가 각
페이로드를 자주 변경하고 있기 때문에, 더 좋은 방법은 XOR 인코딩 테스트를 하는 것이다.
일반적으로 NOP 뭉치가 있는 파일에 끝에 보고, 우리는 16 바이트 “aWL~jH9zJl$5Yfz7” 값이
반복된다는 것을 알 수 있다.
그림 1-7 반복되는 바이너리 값원하는 NOP에 이 값을 전달하기 위해, 각 값을 그것 자체로 XOR 하는 것은 필수적이다. 값이 16바이트마다 반복되기 때문에, XOR 키가 될 일부 보증인이 있다. 그러나 이 기술은 파일 크기를 반복되는 디코딩을 위해 사용하는 위치를 내보낼 때 이상해 질 수도 있다. 이것을 피하려고, 우리는 뒤로(또는 변경해서) 값을 읽고 키를 교환하고, XOR 키를 역으로 해서 데이터를 디코딩해야만 할 것이다. 이 과정에서, 좀 더 .exe같이 보이는 무언가로 볼 수 있었다.
그림 1-8 디코드된 실행 파일PhishMe 연구가들은 실제로 이러한 실행파일을 디코딩하는데 사용되는 Python 스크립트를 만들었다.
또 다른 암호화 랜섬웨어의 개발 및 배포는 범죄 도구로 랜섬웨어의 지속적인 성공의 증거로 서 있다. 더욱이, 이 랜섬웨어를 전달하기 위한 수단으로 피싱 이메일에 위협요인 신뢰는 공격자에게 유효하게 전달한다 . 그러나 권한 사용자의 기술과 판단을 활용하여, 조직은 피싱 이메일을 통해 전달되는 악성코드 위협에 대한 방어를 강화한다. 효과적으로 사고 대응 플랫폼과 탄탄하고, 시기적절한 위협 인텔리전스가 결합하였을 때, 심지어 새롭고 대부분 분명한 악성코드 위협은 극복될 것이다.
Bart 랜섬웨어 샘플 분석은 이 랜섬웨어가 아래 확장자를 암호화한다는 것을 보여준다.
표 1-1 Bart랜섬웨어가 암호화하는 확장자“.n64” ROM 파일의 암호화는 Locky가 유일하게 암호화하는 랜섬웨어라 매우 흥미롭고 주목할 가치가 있다.
3. Reference
RockLoader Delivers New Bart Encryption Ransomware
- http://phishme.com/rockloader-downloading-new-ransomware-bart
