Globeimposter 랜섬웨어는 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되고 있다. 해당 랜섬웨어는 다운로드 기능이 있는 워드(매크로)나 자바 스크립트가 메일에 첨부된 MalSPAM 형태로 많이 유포되고 있다.

Globeimposter 랜섬웨어는 실행 시 C:\Documents and Settings\All Users\ 경로에 자가 복제하며 복제된 파일은 HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 경로에 등록한다. %temp%경로에 bat파일을 생성 및 실행 한다. bat파일은 vssadmin.exe 를 이용하여 볼륨 쉐도우를 삭제하여 윈도우 운영체제에서 제공하는 파일 백업 및 복원 기능을 사용할 수 없게 한다. 그 후 Windows의 제공 기능인 원격 제어 데스크톱(RDP)의 레지스트리 설정 값을 삭제한다.

[그림 1] 볼륨 쉐도우 삭제


Globeimposter 랜섬웨어는 프로세스 목록을 검사하여 프로세스 이름 중 sql, outlook, ssms, postgre, 1c, excel, word 가 포함된 프로세스를 종료시킨다.


[그림 2] 프로세스 종료 루틴

 

Globeimposter 랜섬웨어는 암호화시 모든 드라이브를 GetDriveTypeA 로 검색하여 리턴값이 2(이동식 매체), 3(고정 매체), 4(네트워크 드라이브)인 경우에 암호화 행위를 수행 한다. 암호화 대상은 [1]의 암호화 제외 경로에 존재하는 파일을 제외하고 모든 파일을 암호화 시킨다. 내부의 로직 상 [1]의 암호화 제외 경로와 [2]의 암호화 제외 확장자를 가지고 있다. 구현의 실수인지 의도한 것인지 알 수는 없지만 [2]의 암호화 제외 확장자는 비교에는 사용되지만 암호화 시 그 대상이 적용되지 않는다. 실제 감염 이후 [그림 3]처럼 재부팅이 안되는 현상을 볼 수 있다.

[1] 암호화 제외 폴더

 


[2] 암호화 제외 확장자


[그림 3] 재부팅 불가

 

암호화된 파일은 [그림 4]와 같은 형태로 암호화된다. 파일을 읽어와 최초 0x2000 크기를 암호화 한 후 같은 크기만큼 뛰어넘고 다시 0x2000 만큼 암호화시키는 형태로 파일을 암호화 한다. 암호화가 끝난 후 대상 파일의 정보를 암호화 하여 0xB0 크기로 파일에 추가하고, 랜섬웨어가 생성한 Personal ID 값을 파일의 마지막에 추가한다.


[그림 4] 암호화 형태

 

암호화된 파일은 MoveFileEx APIREPLACE_EXISTING 플래그 값을 사용하여 확장자를 .GOTHAM으로 변경시키며 파일을 암호화 시킨 후 아래와 같은 랜섬노트를 암호화 경로마다 생성 한다. Globeimposter 랜섬웨어의 변형은 지속적으로 발견되고 있으며, 랜섬노트와 감염파일의 확장자는 변형마다 다르게 발견되고 있다.


[그림 5] 랜섬 노트

 

랜섬웨어의 암호화 행위 이후 최초 실행 위치에 bat파일을 생성하여 자가삭제를 시도한다. 자가 복제된 \Documents and Settings\All Users\ 위치의 파일은 삭제되지 않는다.


[그림 6] 자가 삭제

 

현재 V3에서 Globeimposter 랜섬웨어는 다음 진단명으로 진단하고 있다.

-Trojan/Win32.Globeimposter


신고
Posted by kimkk