Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의)

ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을 누를 때까지 무한 반복하여 실행된다.

랜섬웨어가 파일을 암호화할 때 중요 폴더에 접근하거나, VSC(Volume Shadow Copy) 삭제 등의 행위를 하기 위해서는 관리자 권한이 필요하다. 기존 BlueCrab 랜섬웨어는 이를 위해 CVE-2018-8453 취약점을 사용하여 권한상승 행위를 하였지만 이번 유포에서는 취약점 권한상승 코드가 제거되었다.

해당 랜섬웨어는 Fallout EK를 통해 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되며, Flash Player 취약점인 CVE-2018-15982이 사용되었다. 때문에 사용자는 필수적으로 해당 프로그램에 대한 최신 업데이트를 진행할 것을 권장한다. 현재 Ahnlab V3 제품에서는 해당 EK가 사용하는 랜딩페이지 및 취약점 코드를 차단하고 있다.

랜섬웨어가 실행되면 윈도우 버전과 자신의 권한을 검사하여 진행 여부를 판단한다.

관리자권한이 필요한 경우에는 관리자 권한으로 자기 자신을 재실행하며 [그림2] 와 같이 UAC 알림 창이 뜨게 된다.

취약점 권한상승 루틴이 제거됨에 따라 바로 해당 부분이 실행되게 되었다.

사용자가 ‘아니요’ 버튼을 누를 경우, 해당 UAC 알림 창은 무한히 반복 실행된다.

UAC 알림 창이 뜨기 시작하면 사용자가 제어를 가져오기 쉽지 않다. 또한 최상위 윈도우 핸들을 점유하기 때문에 UAC 알림 창이 떠 있는 동안에는 해당 윈도우를 사용하지 못한다.

따라서 절대 “예”를 누르지 않고 [Ctrl + Alt + Delete] 키를 눌러 작업관리자를 호출 후 해당 프로세스를 종료하거나 본체의 전원 버튼을 눌러 재부팅을 한 뒤 V3 정밀 검사를 수행하는 것을 권장한다.

랜섬웨어는 UAC 알림 창의 “예” 버튼 선택을 통해 관리자 권한을 얻은 후 실행중인 특정 서비스 및 프로세스를 종료하는 행위를 수행한다. 이는 보안프로그램 무력화 및 실행 중인 문서 파일,중요 DB 파일까지 암호화하기 위함으로 추정된다.

프로세스 종료

현재 실행 중인 프로세스를 탐색하여 종료한다. 종료가 되는 프로세스명은 [표1] 과 같다. 프로세스명에 해당 문자열이 존재하면 종료한다.

ocssd, thebat, encsvc, outlook, steam, mspub, thunderbird, wordpa, winword, visio, ocomm, isqlplussvc, msaccess, mydesktopqos, xfssvccon, dbsnmp, excel, ocautoupds, powerpnt, tbirdconfig, dbeng50, mydesktopservice, onenote, synctime, firefox, infopath, oracle, sql, agntsvc, sqbcoreservice,

[표1] 종료 대상 프로세스 문자열

서비스 비활성화

서비스를 탐색하여 비활성화를 시도한다. 대상 서비스 목록은 [표2] 와 같다.

vss
sql
mepocs
sophos
backup
memtas
svc$
veeam

[표2] 비활성화 대상 서비스 문자열

VSC 삭제

파워쉘 스크립트를 실행하여 볼륨 셰도 카피본을 삭제한다.

powershell.exe -e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==

→Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

[표3] VSC 삭제 명령어

이후 파일 암호화 작업을 수행하고 [그림4] 와 같이 바탕화면을 변경한다.