본문 바로가기
악성코드 정보

Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의)

by AhnLab ASEC 분석팀 2019.08.27

ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을 누를 때까지 무한 반복하여 실행된다.

 

랜섬웨어가 파일을 암호화할 때 중요 폴더에 접근하거나, VSC(Volume Shadow Copy삭제 등의 행위를 하기 위해서는 관리자 권한이 필요하다. 기존 BlueCrab 랜섬웨어는 이를 위해 CVE-2018-8453 취약점을 사용하여 권한상승 행위를 하였지만 이번 유포에서는 취약점 권한상승 코드가 제거되었다.

 

해당 랜섬웨어는 Fallout EK를 통해 Drive-By-Download 기법으로 다운로드되어 실행된 것으로 확인되며, Flash Player 취약점인 CVE-2018-15982이 사용되었다때문에 사용자는 필수적으로 해당 프로그램에 대한 최신 업데이트를 진행할 것을 권장한다현재 Ahnlab V3 제품에서는 해당 EK가 사용하는 랜딩페이지 및 취약점 코드를 차단하고 있다.

 

랜섬웨어가 실행되면 윈도우 버전과 자신의 권한을 검사하여 진행 여부를 판단한다.

 

[그림1] 윈도우 버전 및 권한 확인

 

관리자권한이 필요한 경우에는 관리자 권한으로 자기 자신을 재실행하며 [그림2] 와 같이 UAC 알림 창이 뜨게 된다.

취약점 권한상승 루틴이 제거됨에 따라 바로 해당 부분이 실행되게 되었다.

 

[그림2] UAC 알림 창

 

사용자가 '아니요' 버튼을 누를 경우, 해당 UAC 알림 창 무한히 반복 실행된다

 

[그림3] 무한 반복 실행코드

 

UAC 알림 창이 뜨기 시작하면 사용자가 제어를 가져오기 쉽지 않다또한 최상위 윈도우 핸들을 점유하기 때문에 UAC 알림 창이 떠 있는 동안에는 해당 윈도우를 사용하지 못한다.

 

따라서 절대 를 누르지 않고 [Ctrl + Alt + Delete] 키를 눌러 작업관리자를 호출 후 해당 프로세스를 종료하거나 본체의 전원 버튼을 눌러 재부팅을 한 뒤 V3 정밀 검사를 수행하는 것을 권장한다.

 

랜섬웨어는 UAC 알림 버튼 선택을 통해 관리자 권한을 얻은 후 실행중인 특정 서비스 및 프로세스를 종료하는 행위를 수행한다. 이는 보안프로그램 무력화 및 실행 중인 문서 파일,중요 DB 파일까지 암호화하기 위함으로 추정된다.

 

 

  • 프로세스 종료

현재 실행 중인 프로세스를 탐색하여 종료한다종료가 되는 프로세스명은 [표1] 과 같다. 프로세스명에 해당 문자열이 존재하면 종료한다.

ocssd, thebat, encsvc, outlook, steam, mspub, thunderbird, wordpa, winword, visio, ocomm, isqlplussvc, msaccess, mydesktopqos, xfssvccon, dbsnmp, excel, ocautoupds, powerpnt, tbirdconfig, dbeng50, mydesktopservice, onenote, synctime, firefox, infopath, oracle, sql, agntsvc, sqbcoreservice,

[표1] 종료 대상 프로세스 문자열

 

 

  • 서비스 비활성화

서비스를 탐색하여 비활성화를 시도한다대상 서비스 목록은 [2] 와 같다.

vss
sql
mepocs
sophos
backup
memtas
svc$
veeam

[표2] 비활성화 대상 서비스 문자열

 

  • VSC 삭제

파워쉘 스크립트를 실행하여 볼륨 셰도 카피본을 삭제한다.

 

powershell.exe -e RwBlAHQALQBXAG0AaQBPAGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAFMAaABhAGQAbwB3AGMAbwBwAHkAIAB8ACAARgBvAHIARQBhAGMAaAAtAE8AYgBqAGUAYwB0ACAAewAkAF8ALgBEAGUAbABlAHQAZQAoACkAOwB9AA==

 

Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}

 

[표3] VSC 삭제 명령어

 

 

이후 파일 암호화 작업을 수행하고 [그림4] 와 같이 바탕화면을 변경한다.

 

[그림4] 변경된 바탕화면

 

한편 Ahnlab V3 제품에서는 BlueCrab 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다. 또한 악성코드의 유포지 주소를 ASD네트워크를 통해 차단하고 있다.

 

진단명

  • Trojan/Win32.BlueCrab
  • Trojan/Win32.MalPE
  • Packed/Win32.SuspiciousPacker 외 다수

행위탐지 진단명

  • Malware/MDP.Exploit.M2185 

보안 업데이트

 

댓글0