랜섬웨어는 데이터를 암호화하여 금전을 요구하는 악성프로그램이다. 전 세계적으로 랜섬웨어에 대한 피해가 증가하고 있으며 기업, 공공기관, 병원을 대상으로 하는 타깃형 공격이 늘어나고 있다. 또한 랜섬웨어가 서비스화 되어 유포되기 때문에 하나의 랜섬웨어가 발견되면 이후에 해당 랜섬웨어와 유사한 변종이 많이 발견된다. 이에 따라 랜섬웨어에 대한 정확한 분석이 해당 랜섬웨어뿐만 아니라 변종 랜섬웨어 복호화 방안 모색에 기반이 될 수 있다. 본 논문에서는 2017년 6월에 발견된 Erebus 랜섬웨어에 대해 암호학적 요소와 암호화 과정을 분석하였으며, 해당 결과를 기반으로 암호학적 취약점 및 메모리 분석 연구를 진행하였다.
랜섬웨어는 데이터를 암호화하여 금전을 요구하는 악성프로그램이다. 전 세계적으로 랜섬웨어에 대한 피해가 증가하고 있으며 기업, 공공기관, 병원을 대상으로 하는 타깃형 공격이 늘어나고 있다. 또한 랜섬웨어가 서비스화 되어 유포되기 때문에 하나의 랜섬웨어가 발견되면 이후에 해당 랜섬웨어와 유사한 변종이 많이 발견된다. 이에 따라 랜섬웨어에 대한 정확한 분석이 해당 랜섬웨어뿐만 아니라 변종 랜섬웨어 복호화 방안 모색에 기반이 될 수 있다. 본 논문에서는 2017년 6월에 발견된 Erebus 랜섬웨어에 대해 암호학적 요소와 암호화 과정을 분석하였으며, 해당 결과를 기반으로 암호학적 취약점 및 메모리 분석 연구를 진행하였다.
Ransomware is a malicious program that requires money by encrypting data. The damage to ransomware is increasing worldwide, and targeted attacks for corporations, public institutions and hospitals are increasing. As a ransomware is serviced and distributed, its various usually emerge. Therefore, the...
Ransomware is a malicious program that requires money by encrypting data. The damage to ransomware is increasing worldwide, and targeted attacks for corporations, public institutions and hospitals are increasing. As a ransomware is serviced and distributed, its various usually emerge. Therefore, the accurate analysis of ransomware can be a decryption solution not only for that ransomware but also for its variants. In this paper, we analyze a cryptographic elements and encryption process for Erebus found in June, 2017, and investigate its cryptographic vulnerability and memory analysis.
Ransomware is a malicious program that requires money by encrypting data. The damage to ransomware is increasing worldwide, and targeted attacks for corporations, public institutions and hospitals are increasing. As a ransomware is serviced and distributed, its various usually emerge. Therefore, the accurate analysis of ransomware can be a decryption solution not only for that ransomware but also for its variants. In this paper, we analyze a cryptographic elements and encryption process for Erebus found in June, 2017, and investigate its cryptographic vulnerability and memory analysis.
또한, Erebus는 암호화 과정 등 암호학적 요소에 대해 상세한 분석이 이루어지지 않았기 때문에 리버스엔지니어링을 통해 암호화 과정을 밝혀냈으며,해당 결과를 기반으로 암호학적 취약점과 메모리 분석을 진행하였다. Erebus 이전에 유포되었던 WannaCry의 복구 가능 요인과 비교하여 파일 복호화를 위한 요소를 알아보고 메모리 분석을 통해 해당 값 획득 및 RSA 개인키 재현 가능 여부에 대해 연구하였다.
본 논문에서는 2017년 6월에 발견된 Erebus에 대해 암호학적 요소와 암호화 과정을 밝혀내며, 해당 결과를 기반으로 암호학적 취약점에 대해 분석하였다. 기존에는 주로 구조적인 취약점을 찾아내 대응 방법을 모색하였으나, 본 논문에서는 근본적인 암호키 생성을 중점적으로 복호화 방안에 대해 연구하였다.
제안 방법
본 논문에서는 2017년 6월에 발견된 Erebus에 대해 암호학적 요소와 암호화 과정을 밝혀내며, 해당 결과를 기반으로 암호학적 취약점에 대해 분석하였다. 기존에는 주로 구조적인 취약점을 찾아내 대응 방법을 모색하였으나, 본 논문에서는 근본적인 암호키 생성을 중점적으로 복호화 방안에 대해 연구하였다. 또한, Erebus는 암호화 과정 등 암호학적 요소에 대해 상세한 분석이 이루어지지 않았기 때문에 리버스엔지니어링을 통해 암호화 과정을 밝혀냈으며,해당 결과를 기반으로 암호학적 취약점과 메모리 분석을 진행하였다.
기존에는 주로 구조적인 취약점을 찾아내 대응 방법을 모색하였으나, 본 논문에서는 근본적인 암호키 생성을 중점적으로 복호화 방안에 대해 연구하였다. 또한, Erebus는 암호화 과정 등 암호학적 요소에 대해 상세한 분석이 이루어지지 않았기 때문에 리버스엔지니어링을 통해 암호화 과정을 밝혀냈으며,해당 결과를 기반으로 암호학적 취약점과 메모리 분석을 진행하였다. Erebus 이전에 유포되었던 WannaCry의 복구 가능 요인과 비교하여 파일 복호화를 위한 요소를 알아보고 메모리 분석을 통해 해당 값 획득 및 RSA 개인키 재현 가능 여부에 대해 연구하였다.
데이터처리
10이 설치되어 있는 가상머신에서 진행하였다. 먼저 정적 분석을 통해 랜섬웨어에서 사용한 라이브러리 및 구조 파악을 한 후, 동적 분석 도구를 이용하여 랜섬웨어에서 사용되는 키 생성 및 암호화 함수의 실제 입력 값을 확인하며 암호화 과정을 분석하였다.
성능/효과
RSA 개인키를 재현하기 위해서는 개인키 생성 시 사용된 소수, 소수생성 시 사용된 난수, 난수 생성 시 사용된 seed 값 중 적어도 한 가지를 알아야한다. 그러나 메모리 분석 결과, 세 가지 모두 메모리 해제 후 0으로 초기화 되는 것을 확인하였다. 또한 소수 생성 시 사용된 난수는 /dev/random 난수 발생기를 이용하며, 해당 엔트로피를 재현하는 것은 암호학적으로 키에 대한 전수조사량과 유사한 복잡도를 가진다.
그러나 메모리 분석 결과, 세 가지 모두 메모리 해제 후 0으로 초기화 되는 것을 확인하였다. 또한 소수 생성 시 사용된 난수는 /dev/random 난수 발생기를 이용하며, 해당 엔트로피를 재현하는 것은 암호학적으로 키에 대한 전수조사량과 유사한 복잡도를 가진다.
각 파일마다 서로 다른 암호화키를 사용하기 때문에 ARC4 키와 AES 키는 파일별로 생성된다. 따라서 모든 파일을 복호화하기 위한 가장 효율적인 방법은 RSA 개인키를 복구하는 것이다. RSA 개인키를 재현하기 위해서는 개인키 생성 시 사용된 소수, 소수생성 시 사용된 난수, 난수 생성 시 사용된 seed 값 중 적어도 한 가지를 알아야한다.
질의응답
핵심어
질문
논문에서 추출한 답변
랜섬웨어란 무엇인가?
랜섬웨어는 데이터를 암호화하여 금전을 요구하는 악성프로그램이다. 전 세계적으로 랜섬웨어에 대한 피해가 증가하고 있으며 기업, 공공기관, 병원을 대상으로 하는 타깃형 공격이 늘어나고 있다.
근본적인 랜섬웨어 복호화 방안 연구가 필요한 이유는 무엇인가?
병원, 기업과 같은 기관들은 랜섬웨어에 감염되면 빠른 시간 내에 시스템을 복구해야 하므로 복호화 키를 받는 쪽을 택하게 되는 경우가 많다. 그러나 돈을 지불하고 복호화 키를 얻고자 하는 사용자들이 증가하게 되면 공격자 입장에서는 계속해서 공격을 시도하게 될 것이다. 따라서 이러한 악순환을 반복하지 않기 위해 근본적인 랜섬웨어 복호화 방안에 대한 연구가 필요하다.
랜섬웨어의 종류에는 어떤 것이 있는가?
랜섬웨어는 ransom(몸 값)과 software(소프트웨어)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 한 뒤, 이를 인질로 삼아 금전을 요구하는 악성 프로그램이다. 락커 랜섬웨어(Locker Ransomware)가 시스템을 잠그는 방식이며, 크립토 랜섬웨어(Crypto Ransomware)는 데이터를 암호화하는 형태이다. 크게 두 가지 종류가 존재하며 현재는 크립토 랜섬웨어가 대부분의 비율을 차지하고 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.