HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

오픈소스로 개발된 매직(Magic) 랜섬웨어 유포 주의
등록일 :
2017.10.19

□ 개요

최근 히든티어(Hidden Tear) 오픈소스 프로젝트를 기반으로 제작된 "매직(Magic)" 랜섬웨어가 유포되고 있다. 히든티어는 랜섬웨어 오픈소스 프로젝트로서, 2015 8월에 교육을 목적으로 시작되었지만 공격자들은 이를 악용하여 랜섬웨어를 제작하고 있다. 

 

□ 내용

히든티어 오픈소스 프로젝트는 누구나 접근이 가능하며, 이를 이용하여 변종 랜섬웨어를 손쉽게 제작할 수 있다. 매직 랜섬웨어는 이러한 히든티어 오픈소스를 기반으로 제작된 변종 랜섬웨어이다. 공격자는 공개된 히든티어의 소스코드보다 더 많은 확장자를 암호화 시키도록 제작하였다.

 

[그림 1] 히든티어와 매직 랜섬웨어의 암호화 대상 확장자 비교​

 

매직 랜섬웨어는 AES-256bit 암호화 방식을 통해 감염자의 파일을 암호화 시키며, 암호화 된 파일의 확장자는 ".locked"로 변경된다. 파일 암호화가 끝난 후, 사용자의 배경화면을 바꾸고 감염사실을 알리기 위한 랜섬노트(READ_IT.txt)를 생성한다. 해당 랜섬노트에는 지급방법을 설명하는 유튜브 동영상의 주소가 포함되어있다.

공격자는 약 13만원(100유로)상당의 비트코인을 요구하며, 감염 2일이 지난 이후에는 파일의 복구가 불가능하다고 경고한다.

 

 

[그림 2] 암호화가 끝난 뒤, 변경되는 배경화면​

 

[그림 3] 바탕화면에 생성되는 랜섬노트​

 

히든티어 프로젝트의 랜섬웨어는 악성코드에 포함된 공격자의 주소로 암호화키 등의 감염정보를 보내는 기능이 존재한다. 공개된 소스코드는 감염정보를 "http://www.example.com"으로 전송하는데, 매직 랜섬웨어는 해당 부분을 수정하지 않고 그대로 사용하였다.

따라서, 공격자는 복호화 키를 가지고 있지 않기 때문에 비트코인을 지급해도 파일에 대한 복구가 불가능하다. 

 

 

[그림 4] 히든티어 프로젝트의 감염정보 전달 관련 소스코드

 

세계적으로 랜섬웨어에 대한 연구가 진행되면서, 교육을 목적으로 한 랜섬웨어 오픈소스 프로젝트가 생겨나고 있다. 이를 악용할 경우, 개발경험이 적은 공격자들도 손쉽게 변종 랜섬웨어 제작이 가능하기 때문에 주의해야 할 필요가 있다.

 

 

바이로봇 업데이트 내역

대표진단명​ Trojan.Win32.S.Magic.220160

 

※ 랜섬웨어 감염 예방방법 :http://www.hauri.co.kr/Ransomware/prevention.html 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top