2015년 4월 21일 금일 새벽부터 국내 커뮤니티 사이트인 클리앙에서 악성코드 유포가 있었다.
클리앙측 이야기로는 새벽 01:38분부터 오전 11:12까지 유포가 진행 되었다고 한다.
설치 된 악성코드는 사용자의 문서, 그림, 동영상들을 강제로 암호화 시켜 암호화 해제를 빌미로 돈을 뜯어대는
랜섬웨어(Ransomware)의 일종으로 Crypt0L0cker(크립토락커) 라는 악성코드로 확인되었다.
크립토락커 랜섬웨어는 이전에도 존재하였지만, 이번이 이슈가 되는 이유는 한글화 작업을 통해
국내 드라이브 바이 다운로드(Drive-By-Download) 경로를 이용하고 있다는 것이다.
이를 통해 기존의 국내에서 많이 사용되고 있는 SweetOrange Exploit Kit 이나 CK Exploit Kit 도
랜섬웨어를 다운로드 시킬 가능성이 매우 높아졌다.
유포 경로는 클리앙 사이트에 올려진 외부 배너링크를 통해 악성 URL이 넘어 온 것으로 보인다.
클리앙 사이트는 아래 그림과 같이 "메인상단, 우상단, 게시판상단" 총 3개의 외부 배너를 가지고 있었다.
이 중 어떤 곳에서 악성 URL을 연결시켰는지는 알 수 없지만, 외부 광고 배너를 통해 악성URL 이 유포 된 것은 맞는 듯 하다.
(※ 현재는 모든 외부 배너를 삭제 한 상태이다)
(그림 출처 : 클리앙 광고 안내 페이지 http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=8709)
현재까지 확인 된 내용으로는 아래와 같은 링크와 같은 URL들이 확인 되었다.
(아직 확실한 사실이 아니니 너무 신뢰하진 말자!!)
- 클리앙 외부 배너 광고 서버 URL (아직 미확인)
ㄴ hxxp://medbps.filmwedding.ro/lrvqdg2.html
- hxxp://medbps.filmwedding.ro/lrvqdg2.html
ㄴ 해당 웹 파일에서 frame 태그를 이용하여 악성 URL로 넘기는 것으로 보인다.
<frameset rows="100%">
<frame src="hxxp://row.bottomwebsites.xyz/bewilders_urchin_platters_valid/17372163791826990">...</frame>
클리앙 크립토락커에 관련되어 개인 보안 블로그 및 보안업체 블로그에도 글이 하나씩 올라오고 있다.
금일 클리앙 외부광고 배너를 통해 설치 된 크립토락커 악성코드의 행위는 아래와 같다.
- 파일 생성
C:\Windows\esihuzaw.exe (Alyac : Trojan.Ransom.cryptolocker)
- 레지스트리 생성
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ipumjvuc" = "C:\WINDOWS\esihuzaw.exe"
- 파일 암호화
아래의 확장자를 제외한 모든 파일들을 암호화 알고리즘(RSA-2048)을 이용하여 "원본파일명.encrypted" 로 변경한다.
(ex : 겨울.jpg.encrypted)
*.chm, *.ini, *.tmp, *.log, *.url, *.lnk, *.cmd, *.bat, *.scr, *.msi, *.sys, *.dll, *.exe
감염 된 PC에서는 아래와 같은 화면등을 볼 수 있다.
이후 암호화 해제를 위해 해독 프로그램을 구입하라는 창도 볼 수 있다.
'IT/보안 소식' 카테고리의 다른 글
뽐뿌(PPOMPPU), 해킹으로 인한 고객정보 190만건 개인정보 유출 사건 (2015-09-11) (2) | 2015.09.17 |
---|---|
한RSS(HanRSS), 서비스 종료 소식 & RSS목록(OPML) 백업 (2) | 2015.05.15 |
Crypt0L0cker(크립토락커), 랜섬웨어 한글화를 통해 "드라이브 바이 다운로드(Drive-By-Download)" 경로 이용 (13) | 2015.04.21 |
베어트리파크(BearTreePark), 홈페이지 리뉴얼로 인한 고객정보 2만 8천건 개인정보 유출 사건(2015-04-14) (0) | 2015.04.16 |
구글 크롬(Google Chrome), 42.0.2311.90 업데이트!! (0) | 2015.04.15 |
"성인 동영상"으로 유인하여 페이스북(Facebook)개인정보를 가로채는 피싱(Phishing)사이트 주의 (4) | 2015.04.10 |
댓글을 달아 주세요
역시 백업을 철저히 하는게 중요하겠군요...;;;
2015.04.22 22:49 신고그렇죠^^; 근데 같은 하드웨어상에 있는것도 모두 감염될 수 있으니 왠만하면 클라우드를 사용하는게 좋을 듯 합니다.
2015.04.23 09:27 신고비밀댓글입니다
2015.04.29 13:52당연하지요^^ 언제든 펌하셔도 좋습니다.
2015.04.29 14:57 신고인터넷 자료는 모두에게 열려있으니까요~^^
감사합니다.^^
2015.04.29 15:18 신고비밀댓글입니다
2015.05.08 13:24많이 본 아이들은 쉽게 파악이 되지만,
2015.05.09 21:27 신고신규로 나오는 아이들은 쉽게 파악하기 어렵습니다.
수동 디버깅으로 취약점을 찾기보다는 특징을 구글에 검색해서
찾는게 좀 더 효율적일 겁니다^^
저같은 경우는 경험에 많이 의존하는 편입니다 ㅠㅠ
비밀댓글입니다
2015.05.11 09:23그렇죠^^ 알려지지 않은 취약점이라면 CVE넘버를 알기는 어렵죠
2015.05.11 09:27 신고하지만 말씀하신것처럼 대부분 외국에서 먼저 나오죠 ㅎㅎ
비밀댓글입니다
2015.05.27 18:35MS, Adobe 같은 경우 기업 파트너사를 통해 취약점 정보를 공유하고 있습니다^^ 업데이트가 나오기 전에 말이죠~ 그래서 정확한 CVE넘버를 확인 할 수 있습니다.
2015.05.28 09:27 신고비밀댓글입니다
2015.05.28 11:41^^ 넵!! 수고하세요.
2015.05.28 12:44 신고