청호PENTEST - Professional Penetration Testing Company

Select Language

이번 공격에 사용된 에레버스 랜섬웨어 파일 분석 내용

웹호스팅 업체 ‘인터넷나야나’ 서버를 공격해 큰 피해를 발생시킨 ‘에레버스 랜섬웨어’에 대한 안랩 ASEC의 분석 내용이 블로그에 공개됐다. 다음은 악성코드 분석가 및 보안전문가로 구성된 글로벌 대응조직인 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)이 블로그에 공개한 분석내용 전문이다. (편집자 주)

2017 년 6월 10일 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염되어 서버 내 주요 파일이 암호화되었다고 알려졌다. 이로 인해 현재까지 해당 업체에서 호스팅하는 일부 사이트의 정상적인 접속이 불가능하다.

이번 공격에 현재까지 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었으며, 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 악성 파일 내부에 EREBUS 문자열과 암호화 관련 문자열을 다수 포함하고 있다. 악성코드 감염 직후에는 다음과 같은 증상이 확인된다.

▲ 출처 안랩 ASEC 블로그. 이하 동일
▲ 출처 안랩 ASEC 블로그. 이하 이미지 동일
-암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt"

-랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT_FILE.html"

e-3.jpg

암호화 대상 파일은 리눅스 운영체제 내에 존재하는 주요 확장자 파일로 .tar, .gz 등의 압축 파일, .jpg, .docx, .xlsx 등 문서 및 그림 파일이 포함된다. 다음은 암호화 대상이 되는 전체 확장자 모음이다.
e-4.jpg

단, 다음 경로 내에 존재하는 파일은 암호화되지 않는다.
e-5.jpg

파 일 실행 직후 주요 데이터 파일이 암호화되고 랜섬 노트 파일이 생성된다. 암호화된 파일명은 [영문과숫자조합].ecrypt 으로 변경된다. 동일한 키로 암호화된 파일은 암호화된 원본 파일 데이터 앞에 동일한 암호화 키 정보, 사용자 고유 번호 등을 포함한 바이너리가 있다.
e-6.jpg

에레버스 랜섬웨어는 실행 직후 네트워크 접속 여부와 상관없이 모두 암호화 행위를 수행한다. 파일 내에 존재하는 악성 C&C 주소는 .onion 도메인인 Tor 네트워크를 이용하고 있으며 확인된 주소는 다음과 같다.

-C&C : 216.126.224.128

-Tor 네트워크:

7fv4vg4n26cxleel.onion.to
7fv4vg4n26cxleel.onion.nu
7fv4vg4n26cxleel.hiddenservice.net
7fv4vg4n26cxleel.gbe0.top
qzjordhlw5mqhcn7.onion.to
qzjordhlw5mqhcn7.onion.nu
qzjordhlw5mqhcn7.hiddenservice.net
qzjordhlw5mqhcn7.gbe0.top
7fv4vg4n26cxleel.onion
qzjordhlw5mqhcn7.onion

e-7.jpg

현재 안랩 V3 제품군에서 다음과 같이 진단한다.
번호 제목 닉네임 조회 등록일
6506 CIA, 몇 년 전부터 와이파이 라우터 해킹해 왔다...해킹 대상 기기 공개
[레벨:30]관리자
55 2017-06-20
6505 새로운 해킹 단체 FIN10 등장! 캐나다 기업 공격 중
[레벨:30]관리자
53 2017-06-20
6504 페이스북 방문자 추적 서비스 주의…계정 탈취 당할 수 있어
[레벨:30]관리자
63 2017-06-19
6503 엠투소프트 ActiveX 사용자, 악성코드 감염 주의
[레벨:30]관리자
50 2017-06-19
6502 ‘랜섬웨어 공포’ 노린 메일 유포! “감염 안 되려면 비트코인 내놔”
[레벨:30]관리자
46 2017-06-19
6501 어도비 제품군 최신 보안취약점…악성코드 감염 위험 커 주의
[레벨:30]관리자
51 2017-06-16
6500 사이버 공격자들, Samba 취약점 악용해 시스템 공격…주의
[레벨:30]관리자
47 2017-06-16
6499 전력그리드 공격용으로 제작된 크래쉬 오버라이드 악성코드
[레벨:30]관리자
53 2017-06-16
6498 랜섬웨어 공격자들, 이미 지난해부터 한국 호스팅 업체 공격해 돈 맛 봤다
[레벨:30]관리자
55 2017-06-16
6497 미국이 디도스 봇넷의 배후로 북한을 공식 지목했다
[레벨:30]관리자
55 2017-06-16
6496 CVE-2017-8551 外
[레벨:30]관리자
49 2017-06-16
6495 인터넷나야나 랜섬웨어, 또 다른 웹호스팅 업체 공격 ‘전적’
[레벨:30]관리자
51 2017-06-16
6494 인터넷나야나, 파산 각오하고 해커와 협상한다고?
[레벨:30]관리자
58 2017-06-15
6493 유로폴 공조로 지불카드 사기단 31명 검거 성공
[레벨:30]관리자
60 2017-06-15
6492 어도비 플래시 업데이트 파일 위장 ‘직소’ 랜섬웨어 유포중
[레벨:30]관리자
56 2017-06-15
Selected 웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
[레벨:30]관리자
77 2017-06-14
6490 오직 전력망만 노리는 멀웨어, 전 세계 정전 위험
[레벨:30]관리자
72 2017-06-14
6489 CVE-2017-1247 外
[레벨:30]관리자
65 2017-06-14
6488 일본 14세 소년, 랜섬웨어 만들었다가 체포
[레벨:30]관리자
61 2017-06-13
6487 러시아 해커, 카타르통신 해킹해 가짜 뉴스 업데이트…혼란 조장
[레벨:30]관리자
62 2017-06-13
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X