본문 바로가기
악성코드 정보

동일 외형의 서로 다른 악성코드 배포 중: 서비스형 악성코드 확산?

by AhnLab ASEC 분석팀 2019. 12. 11.

ASEC 분석팀은 Nemty, Ryuk, BlueCrab(=Sodinokibi) 랜섬웨어와 Raccoon, Predator 정보유출형 악성코드들이 동일한 외형의 정상 프로그램을 위장하여 유포중인 것을 확인하였다. 소스코드가 공개된 정상 프로그램 타겟으로 다양한 악성코드를 삽입하여 유포한 것으로 랜섬웨어(RaaS: Ransomware as a Service) 뿐 아니라 다양한 악성코드가 서비스 형태로 유포되는 것으로 추정된다.

Nemty, Ryuk, BlueCrab, Raccoon, Predator 이름의 악성코드들은 기존에도 특정 패커로 포장되어 지속적으로 유포되어 왔지만 이번에 발견된 외형(패커: Packer)은 현재까지 사용된 것과는 구조와 형식이 특이하다.

[그림1] 기존 유포 샘플 (Trojan/Win32.MalPe.Rxxxxxx)

현재 확인된 외형은 [그림2]와 같이 파일의 버전정보는 모두 동일하며, 실행 시점에 내부에 인코딩된 부분을 디코딩하여 실행되는 악성코드 종류만 다른 특징을 갖는다. 아이콘은 MFC 기본 아이콘을 사용하고 있으며, 파일 속성 정보 및 내부 리소스 데이터가 온라인에 공개된 오픈소스 프로젝트 빌드 파일과 일치하는 것으로 보아, 공격자는 악성코드를 정상 파일로 위장하기 위해 해당 프로젝트로 악성코드를 추가한 후, 새롭게 빌드한 것으로 판단된다.

[그림2] 속성 정보

동일외형의 샘플정보 (MD5)

  • 78e8f10e8fb878f04c27e94b9c6df9dd (Nemty 랜섬웨어: Trojan/Win32.Ransom.C3616216)
  • ff26f086503696b3a197d59aef50fc4d  (Ryuk 랜섬웨어: Trojan/Win32.Ransom.C3616216)
  • 2b74b940ccaf8927e858caeee08d1455 (Predator 인포스틸러: Trojan/Win32.MalPacked.C3615364)
  • ccdc392cbd7ecf4af65c9d8f4699acde (Raccoon 인포스틸러: Trojan/Win32.MalPacked.C3615364)
  • 3265c4303562706607b87ef0fdff6380 (BlueCrab 랜섬웨어: Trojan/Win32.MalPacked.C3615364)

본 패커로 패킹된 악성코드는 파일 끝부분에 Base64 인코딩된 데이터가 존재하며, 해당 데이터를 디코딩 후 다시 한번 특정 알고리즘을 통해 복호화하여 악성코드 바이너리를 생성 후 실행한다. 때문에 헥스 에디터로 해당 파일을 확인하면 파일 뒷부분에 다량의 ASCII 문자열이 존재하는 것을 확인할 수 있다.

[그림3] Base64 인코딩 데이터

실행 시 복잡한 연산을 통해 악성 행위의 발현을 지연시킨다. 이로 인해 CPU 점유율이 일시적으로 상승하게 된다. 이 같은 실행 지연 기법은 백신 및 자동 분석 시스템을 우회하기 위한 목적으로 주로 사용된다.

[그림4] CPU 점유율 상승

이후 자기 자신의 파일 전체를 읽어 파일 끝부분에서 Base64 인코딩된 데이터를 찾아 메모리에 복사한 후 디코딩한다.

[그림5] Base64 디코딩 데이터

디코딩 된 데이터는 키와 암호화된 데이터이다. 키를 활용하여 데이터를 복호화 할 경우 최종적으로 아래와 같은 악성코드 바이너리가 생성되고, 이를 가상메모리에 매핑하여 실행한다.

[그림6] 최종 복호화된 악성코드 바이너리
[그림7] 악성코드 로드 시 메모리 구조

이번 유포 샘플들은 기존과는 다른 새로운 유형의 패커를 사용하고 있고 파일 외형 상의 버전 정보, 아이콘 등이 동일하게 유포되었다. 앞으로 해당 패커를 사용한 악성코드 유포가 증가할 수 있으므로 사용자의 주의가 필요하다. ASEC 분석팀은 해당 유형의 악성코드에 대한 모니터링을 강화하여 추이를 지켜보고 있다.

 

아래는 이번 유포에서 확인된 악성코드들에 대한 간략한 설명이다.

[Ryuk 랜섬웨어]

파일명에 .RYK 확장명을 추가하며, 다음과 같은 랜섬 노트를 생성한다. 또한 기존에 알려진 대로 안랩("Ahnlab") 이름의 디렉토리를 검사하여 해당 폴더는 암호화 대상에서 제외한다.

류크 랜섬웨어의 랜섬노트

 

[Nemty 랜섬웨어]

파일명에 NEMTY_[랜덤 7] 이름의 확장명을 추가하며, 아래와 같은 랜섬노트를 생성한다. 기존 유포 버전과 같은 2.2 Revenge 버전으로 확인된다.

NEMTY 랜섬웨어 랜섬노트

 

NEMTY 랜섬웨어 v2.2 국내발견!!

2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염..

asec.ahnlab.com

 

[BlueCrab 랜섬웨어]

파일명에 랜덤 8자 확장명을 추가하며 다음 그림과 같이 바탕화면을 변경하고 랜섬노트를 생성한다.
실행 시 관리자 권한을 요구하는 메시지(UAC)를 무한 반복하는 것이 특징이다.

BlueCrab 랜섬웨어 랜섬노트

 

Exploit-Kit을 통해 유포되는 BlueCrab 랜섬웨어 (반복 UAC 주의)

ASEC 분석팀은 최근 취약점 코드가 제거된 BlueCrab 랜섬웨어(=Sodinokibi)가 EK(Exploit-Kit)를 통해 유포 중인 것을 확인했다. 해당 랜섬웨어는 UAC(User Account Control) 알림 창을 출력하고 사용자가 확인을..

asec.ahnlab.com

 

[Raccoon Stealer]

정보 탈취 유형의 악성코드로, 행위에 필요한 라이브러리 파일을 다운로드 시도하며, 현재 C2 통신은 되지 않지만 아래와 같이 감염 PC 정보를 인코딩하여 서버로 전송한다.

전송 URL hxxp://35.246.108.168/gate/log.php
파라미터(decoded) bot_id=[GUID]_[사용자명]&config_id=d9791cac23a23dfda...&data=Null

 또한 rc/[사용자명] Mutex를 생성하며 구글 드라이브에 업로드된 파일에 쿼리를 요청하고 파일명을 파싱하여 내부에서 사용한다. sqllite3.dll 등 행위에 필요한 라이브러리를 다운받을 수 있으며, 행위가 끝나면 프로세스를 종료 후 자기 자신을 삭제한다.

 

[Predator the Thief]

사용자 PC에 존재하는 암호화폐 지갑 정보, FTP 설정 정보, 메신저 계정 정보, Email 계정/서버 정보 등의 중요 정보를 탈취하여 공격자의 서버로 전송하는 정보 유출형 악성코드이다.

아래와 같은 형식의 HTTP 요청을 전송하는 것이 특징이다

hxxp://[C2주소]/api/check.get
hxxp://[C2주소]/api/gate.get? p1=0&p2=0&p3=0&p4=0&p5=0&p6=0&p7=0&p8=0&p9=2&p10=WcFU6qcMYv3AMv...

 

현재 V3 제품에서는 본 포스팅에서 언급된 악성코드 아래와 같이 진단 중이다.

[파일진단]

  • Trojan/Win32.Ransom.C3616216
  • Trojan/Win32.MalPacked.C3615364

[파일 내부의 악성코드 진단]

  • Malware/Win32.RL_Generic.R294423
  • Trojan/Win32.RL_Cryptor.R293548
  • Trojan/Win32.Raccoon.C3365665
  • Malware/Win32.RL_Generic.R296067

 

댓글0