top of page

현재까지 파악된 랜섬웨어에 대하여 03 (CLOP, Fusob, SLocker)

최종 수정일: 2023년 2월 8일



이 문서는 국내 정보보안 관련 기관인 KISA(한국인터넷 진흥원)에서 제공하는 보고서 문서를 참고하였습니다. (KISA 홈페이지 > 지식플랫폼 > 동향분석 > 랜섬웨어 동향)


이 문서는 2021년 3분기까지 공개된 KISA의 분기별 랜섬웨어 동향 보고서를 제외하고 이후 공개된 랜섬웨어 암호기능 분석 보고서를 대상으로 확인하였습니다.


문서에 표기된 특정 랜섬웨어에 대한 자세한 정보는 KISA 홈페이지를 통해 분석 보고서를 다운로드하여 열람할 수 있습니다.

 


1. CLOP

CLOP 랜섬웨어는 2019년 2월부터 국내 기업용 중앙관리 서버(AD, Active Directory)를 타겟으로 피해를 주기 시작했습니다. CLOP 랜섬웨어에 포함된 디지털 서명은 공인된 인증기관(CA, Certificate Authority)으로부터 유효한 인증서를 발급받은 것으로 사용하고 있습니다. 해당 디지털 서명은 영국의 영세한 업체의 인증서입니다.


CLOP 랜섬웨어는 AD 서버를 감염시킨 뒤, 서버와 연결된 네트워크 드라이브를 탐지하여 접근 가능한 모든 네트워크 드라이브를 암호화합니다.


CLOP 랜섬웨어는 감염 대상 시스템의 언어를 확인하고 러시아어 환경인 경우 랜섬웨어 실행파일을 삭제하고 종료합니다.


또한 시스템 복구를 무력화하기 위해 볼륨 섀도 복사본 파일을 삭제하고 문서나 데이터베이스 등을 다루는 특정 프로세스를 종료합니다. 이후 랜섬노트를 생성하고 특정 폴더, 파일, 확장자를 제외하고 모든 파일을 암호화합니다.


CLOP 랜섬웨어는 RSA Public Key BLOB 중 상위 117bytes를 사용하여 RC4 암호 키를 사용하며 모든 파일마다 다른 암호 키를 사용합니다. 또한 암호화 대상 파일이 300 KB 미만인 경우 파일 전체를 그리고 300 KB 이상인 경우 상위 300KB만 암호화를 수행합니다.


암호화에 사용된 RC4 암호 키는 랜섬웨어 내에 하드코딩되어 있는 RSA 공개 키(PEM 형식)로 암호화(RSA-1024) 하여 암호화된 파일 뒤에 추가됩니다.


이 CLOP 랜섬웨어를 복호화하기 위해서는 랜섬웨어에 하드코딩되어 있는 RSA 공개 키와 대응되는 개인 키를 알고 있는 경우에만 암호화된 RC4 암호 키를 복호화할 수 있으며 이를 통해 파일을 복호화 할 수 있습니다.


2. Fusob

Fusob 랜섬웨어는 미국 등 다양한 국가에서 피해가 발생했으며 파일 복호화를 위해 100 ~ 200 달러 정도의 금액을 요구한 안드로이드 모바일 랜섬웨어입니다.


이 모바일 랜섬웨어는 비디오 플레이어로 위장하여 사용자가 의심 없이 다운로드하도록 유도합니다.


이 모바일 랜섬웨어를 설치되면 사용하는 언어가 러시아어나 특정 동유럽 국가의 언어인 경우 Fusob 랜섬웨어는 동작하지 않습니다. 그리고 설치가 완료되면 'PornPlayer'라는 이름의 아이콘이 생성됩니다. 다만 이 모바일 랜섬웨어는 Android API 레벨 18로 낮추어야 설치가 가능합니다.


비디오 플레이어로 위장한 앱을 실행하면 Fusob 랜섬웨어는 관리자 권한을 요청하고 사용자가 허용을 누르면 업데이트 메시지를 보여줍니다. 그 사이에 사용자 몰래 외부 서버와 통신을 시도합니다.


Fusob 랜섬웨어은 특정 데이터를 대상으로 암호화합니다. 모바일 환경에서 동작하는 만큼 모바일에 한해 특수한 데이터를 대상으로 합니다.(Shared Preferences, android.id, DeviceId, Subscriberid, 등)


Fusob 랜섬웨어는 AES 암호 알고리즘으로 정의하며 암호화 키로 암호화를 수행합니다. 또한 대칭키의 특성을 이용하면 복호화 키 생성이 가능하다. 그리고 모든 데이터에 동일한 AES 암호화 키를 사용하기 때문에 하나의 복호화 키를 확보하면 모든 데이터를 복호화 할 수 있습니다.


3. SLocker

SLocker 랜섬웨어는 2016년 중반 모바일 환경에서 감염이 확산되었습니다. 이 랜섬웨어에 감염되면 복구하기 위해 약 1,000만 달러로 추정되는 금액을 요구하는 것으로 알려졌습니다.


SLocker 랜섬웨어는 모바일 환경의 특정 데이터인 SharedPreferences 값, 디바이스 id, 휴대폰 번호 등 총 23종의 데이터를 대상으로 암호화를 수행합니다.


또한 이 랜섬웨어를 설치하면 'Adult Video'라는 아이콘이 생성되며 Android API 레벨 18에서 설치가 가능한 것을 확인하였습니다.


생성된 'Adult Video' 아이콘을 클릭하여 실행하면 관리자 권한을 요구하며 사용자가 관리자 권한을 승인하면 휴대폰을 끄지 말고 대기하라는 메시지와 함께 사용자 모르게 외부 서버로 통시을 시도합니다.


SLocker 랜섬웨어는 AES 암호 알고리즘을 사용하며 하드코딩된 고정된 문자열을 Base64 디코딩한 값을 이용하여 암호화 키를 생성합니다. 또한 모든 데이터를 동일한 AES 암호화 키를 사용하기 때문에 대칭키 특성을 이용하여 복호화 키를 생성이 가능하며 하나의 복호화 키로 모든 데이터를 복호화 할 수 있습니다.

Comments


Commenting has been turned off.
bottom of page