스테가노그래피 기법을 이용한 메이저 바카라사이트 굿모닝 등장
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 메이저 바카라사이트 굿모닝 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀하게 숨기는 기술을 의미합니다.
이번에 발견된 메이저 바카라사이트 굿모닝는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다.
해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다.
[그림 1] 이미지 파일로 위장한 메이저 바카라사이트 굿모닝 기법의 악성파일
- image.***.co/mxRqXF/arrival.jpg
- sm.*******.im/X8IOl.jpg
- 185.10.***.***/images/arrival.jpg
[그림 2] WSF 스크립트 파일에 숨겨져 있는 다운로드 및 실행 기능
다운로드된 JPG 이미지 파일은 정상적인 JPG 헤더 포맷을 가지고 있지만, 오프셋 0x1506B 위치부터 은밀하게 ZIP 압축 포맷이 숨겨져 있습니다.
또한, 공격자는 압축 코드가 노출되지 않도록 하기 위해 정상 ZIP 포맷의 4바이트 코드를 0xCA 코드로 조작해 두었습니다. 조작된 위치는 총 두군대로 0x1506B 오프셋(0x50, 0x4B, 0x03, 0x04) 부분과 0xFDECD 오프셋(0x50, 0x4B, 0x05, 0x06) 입니다.
[그림 3] 스테가노그래피 기법으로 JPG 파일에 숨겨져 있는 메이저 바카라사이트 굿모닝 압축 포맷
메이저 바카라사이트 굿모닝 기법으로 숨겨져 있는 압축 포맷을 변경하고, 나머지 이미지 헤더 부분을 제거하면 실제 내부에는 다음과 같은 ZIP 형식의 압축 포맷이 포함되어 있는 것을 확인할 수 있습니다.
압축 메이저 바카라사이트 굿모닝 내부에는 'readme.html', 'readme.png', 'sync.exe' 메이저 바카라사이트 굿모닝이 존재합니다.
[그림 4] JPG 메이저 바카라사이트 굿모닝에 숨겨져 있던 압축메이저 바카라사이트 굿모닝 분리 후 화면
'readme.html', 'readme.png' 파일은 메이저 바카라사이트 굿모닝 감염시 사용되는 랜섬노트 파일들이며, 'sync.exe' 파일이 메이저 바카라사이트 굿모닝 기능을 수행하는 악성파일입니다.
만약 이메일로 전파된 악성 스크립트가 실행되면 스테가노그래피 기법에 의해 숨겨진 메이저 바카라사이트 굿모닝가 실행되고, 컴퓨터에 존재하는 주요 파일들이 암호화됩니다.
암호화된 메이저 바카라사이트 굿모닝들은 기존 확장자 뒤에 '.kk' 라는 문자가 추가되어집니다.
[그림 5] 메이저 바카라사이트 굿모닝 감염으로 인해 암호화된 화면
그리고 다음과 같은 메이저 바카라사이트 굿모닝노트 화면을 띄워 감염된 사실을 이용자가 인지하도록 유도합니다.
[그림 6] 메이저 바카라사이트 굿모닝 감염 후 보여지는 랜섬노트 화면
또한 바탕화면에 'README' 폴더를 생성하고 내부에 메이저 바카라사이트 굿모닝노트와 함께 비트코인 금액('AMMOUNT.txt')과 개인키 파일('KEY') 등을 생성합니다.
[그림 7] 메이저 바카라사이트 굿모닝 감염 후 생성되는 파일 및 화면
공격자는 메이저 바카라사이트 굿모닝노트 내용을 통해 약 0.1 비트코인을 특정 지갑 주소(15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK)로 전송하고, 3개의 이메일 주소로 연락하도록 유도합니다.
- getmyfiles@keemail.me
- getmyfiles@scryptmail.com
- getmyfiles@mail2tor.com
해당 메이저 바카라사이트 굿모닝는 시스템 파일 등의 손상을 최소화하고, 자신이 생성한 랜섬노트의 암호화를 막기 위해 다음과 같은 경로들은 암호화 대상에서 제외하고 있습니다.
- windows\
- program files (x86)\
- program files\
- programdata\
- winnt\
- \system volume information\
- \desktop\readme\
- \$recycle.bin\
[그림 8] 메이저 바카라사이트 굿모닝 감염 제외 대상 폴더
또한, HWP 문서메이저 바카라사이트 굿모닝을 포함해 대다수의 메이저 바카라사이트 굿모닝들을 암호화 확장자 목록으로 지정하고 있습니다.
accdb, accde, accdr, adp, ach, arw, asp, aspx, backup, backupdb, bak, bat, bay, bdb, bgt, blend, bmp, bpw, cdf, cdr, cdr3, cdr4, cdr5, cdr6, cdrw, cdx, cer, cfg, class, cls, config, contact, cpp, craw, crt, crw, css, csv, d3dbsp, dbx, dcr, dcs, dds, der, dif, dit, doc, docm, docx, dot, dotm, dotx, drf, drw, dwg, dxb, dxf, edb, eml, eps, fdb, flf, fpx, frm, gif, gpg, gry, hbk, hpp, html, hwp, jpe, jpeg, jpg, kdbx, kdc, key, jar, java, laccdb, latex, ldf, lit, lua, mapimail, max, mbx, mdb, mfw, mlb, mml, mmw, midi, moneywell, mocha, mpp, nef, nml, nrw, oab, odb, odc, odf, odg, odi, odm, odp, ods, odt, otg, oth, otp, ots, p12, pas, pab, pbm, pcd, pct, pcx, pdf, pef, pem, pfx, pgm, php, pict, pntg, potm, potx, ppam, ppm, pps, ppsm, ppsx, ppt, pptm, pptx, ppz, prf, psd, ptx, pub, qbw, qbx, qpw, raf, rtf, safe, sav, save, sda, sdc, sdd, sdf, sdp, skp, sql, sqlite, sqlite3, sqlitedb, stc, std, sti, stm, stw, sxc, sxg, sxi, sxm, sxw, tex, txt, tif, tiff, vcf, wallet, wb1, wb2, wb3, wcm, wdb, wpd, wps, xlr, xls, xlsb, xlsm, xlsx, xlam, xlc, xlk, xlm, xlt, reg, rspt, profile, djv, djvu, ms11, ott, pls, png, pst, xltm, xltx, xlw, xml, r00, 7zip, vhd, aes, ait, apk, arc, asc, asm, asset, awg, back, bkp, brd, bsa, bz2, csh, das, dat, dbf, db_journal, ddd, ddoc, des, design, erbsql, erf, ffd, fff, fhd, fla, flac, iif, iiq, indd, iwi, jnt, kwm, lbf, litesql, lzh, lzma, lzo, lzx, m2ts, m4a, mdf, mid, mny, mpa, mpe, mpeg, mpg, mpga, mrw, msg, mvb, myd, myi, ndf, nsh, nvram, nxl, nyf, obj, ogg, ogv, p7b, p7m, p7r, p7s, package, pages, pat, pdb, pdd, pfr, pnm, pot, psafe3, pspimage, pwm, qba, qbb, qbm, qbr, qby, qcow, qcow2, ram, rar, ras, rat, raw, rdb, rgb, rjs, rtx, rvt, rwl, rwz, scd, sch, scm, sd2, ser, shar, shw, sid, sit, sitx, skm, smf, snd, spl, srw, ssm, sst, stx, svg, svi, swf, tar, tbz, tbz2, tgz, tlz, txz, uop, uot, upk, ustar, vbox, vbs, vcd, vdi, vhdx, vmdk, vmsd, vmx, vmxf, vob, vor, wab, wad, wav, wax, wbmp, webm, webp, wks, wma, wp5, wri, wsc, wvx, xpm, xps, xsd, zip, zoo
[그림 9] 메이저 바카라사이트 굿모닝 암호화 대상 확장자 리스트
메이저 바카라사이트 굿모닝는 아래와 같은 RSA-4096 PUBLIC KEY를 이용해 암호화에 사용합니다.
[그림 10] 메이저 바카라사이트 굿모닝 RSA-4096 PUBLIC KEY 화면
이처럼 메이저 바카라사이트 굿모닝 제작자들이 스테가노그래피 기법을 결합시키는 등 갈수록 지능화, 고도화되고 있는 추세입니다. 따라서 이메일에 의심스러운 파일이 첨부되어 있는 경우 절대 열어보지 않는 보안 습관이 그 어느 때보다 중요한 시기입니다.
더불어 이스트시큐리티 시큐리티대응센터(ESRC)는 한국인터넷진흥원(KISA)과 긴밀히 협력해 해당 메이저 바카라사이트 굿모닝 유포지가 조기에 차단될 수 있도록 공동 대응을 진행 중입니다.
현재 알약 제품에서는 해당 악성메이저 바카라사이트 굿모닝을 'Trojan.Ransom.SyncCrypt' 탐지명으로 진단 및 치료하고 있습니다.