4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다.

 

 1. 랜섬웨어 기능

엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 "explorer.exe" 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다.  

- tidisow.ru

[그림-1] 악성 기능별 인젝션 대상 프로세스

해당 랜섬웨어의 상세 기능은 하기의 글을 참고

- http://asec.ahnlab.com/1030

 

 2. DDoS 기능

기존 알려진 랜섬웨어 기능외에 해당 샘플은 DDoS 공격기능의 실행파일을 구동하는 특징을 갖는다. 구체적 DDoS 공격방식은 Nitol 이라는 이름으로 알려진 악성코드와 동일하며, 아래의 C&C 주소와의 통신을 통해 공격자의 명령에 따라 파일 다운로드 및 DDoS 기능을 수행한다.

- b.googlex.me (Port: 22, 23, ...)

 

아래의 [그림-2]는 공격자 명령에 의해 DDoS 공격이 발생하는 부분을 나타내며, DDoS 기능관련 Thread가 반복적으로 생성되는 구조이다.

[그림-2] DDoS 관련 쓰레드 생성루틴

 

아래의 [그림-3]은 DDoS 공격 시 사용하는 다양한 HTTP 메시지 내용을 나타낸다.

[그림-3] DDoS 공격 시 사용되는 HTTP 메시지

 

랜섬웨어 동작방식과 유사하게 악성행위를 하는 실행파일이 별도의 파일형태로 생성되는 구조가 아닌, 정상 프로세스 실행 및 인젝션(Injection)을 통해 동작하여 파일기반의 진단을 우회하도록 한다.

인젝션 대상이 되는 프로세스는 감염 시스템의 아래의 레지스트리 정보를 통해 얻은 웹 브라우저이며, 테스트 시스템에서는 "chrome.exe"가 기본 웹 브라우저로 설정되어있어 [그림-1]의 (1)번째 단계에서 보여진 것  처럼 "chrome.exe"가 실행됨을 알 수 있다.

- HKCR\http\shell\open\command

[그림-4] 인젝션 대상 웹 브라우저 정보

 

해당 악성코드가 생성하는 뮤텍스 정보는 다음과 같다.

- "qazwsxedc" (고정)

 

최초 C&C 주소와 통신 시, 공격자에게 전송되는 정보는 아래의 API 호출을 통해 얻는다. (최종 전송 시, XOR 를 통해 암호화되어 전송)

- KERNEL32.GetComputerNameA
- KERNEL32.GetLocaleInfoW
- ADVAPI32.RegOpenKeyExA ("HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion")
- ADVAPI32.RegQueryValueExA ("ProductName", "ProcessorNameString")
- KERNEL32.GlobalMemoryStatusEx
- KERNEL32.GetSystemInfo

 

Anti-VM 기능으로 아래의 [그림-5]에서 처럼 C&C 접속 전 30분간의 Sleep()을 수행하며, GetTickCount API를 이용하여 정상적으로 30분간 Sleep()을 수행하였는지 여부를 체크하는 코드가 존재한다.

 

[그림-5] 30분 Sleep() 정상 수행여부 체크

 

해당 악성코드에 대한 V3 진단명은 다음과 같다.

- Win-Trojan/Cryptolocker.Gen

 

 

Creative Commons License
Creative Commons License
Posted by yhayoung