본문 바로가기
악성코드 정보

RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)

by AhnLab ASEC 분석팀 2020. 6. 24.

6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 랜섬웨어가 국내에도 유포 중인 것이 확인되었다.

 

아래의 그림은 RigEK 에 대한 V3 제품의 행위탐지 로그 수를 나타낸다. 1153은 행위탐지 룰 번호를 나타내며, 6월 8일부터 건 수가 급격하게 증가한 것을 알 수 있다.

 

RigEK 행위탐지 발생 건 수

RigEK 이용하여 다양한 악성코드가 유포 중인 가운데 Avaddon 랜섬웨어가 확인되어 국내 사용자의 주의가 요구된다. 동작과정을 보면, 취약한 웹 페이지 접속 시 "iexplore.exe -> cmd.exe -> wscript.exe -> 랜섬웨어.exe" 형태로 실행되는 구조이다.

 

랜섬웨어 실행 시 키보드 레이아웃을 확인하여 0x419 0x485 0x444 0x422 (Russian / Sakha / Tatar / Ukrainian)은 암호화에서 제외한다. 또한, 아래 레지스트리 값을 변경하여 악성 파일이 관리자 권한으로 실행될 수 있도록 한다. 

 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin

 

파일 감염 전 PC의 ip 정보, rcid, 암호화 키값, 특정 드라이브의 이름과 크기, local, 언어 설정, PC name 등을 전송한다.

랜섬웨어가 지속적으로 실행될 수 있도록 %APPDATA%\Roaming\microsoft 폴더에 자가복제 후 아래 레지스트리 값을 등록한다. 

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\update
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\update

 

백업 파일 삭제를 위해 수행하는 명령어는 다음과 같으며, 이 외에도 $Recycle Bin 폴더에 존재하는 파일을 삭제한다.

  • wmic.exe SHADOWCOPY /nointeractive
  • bcdedit.exe /set {default} recoveryenabled No
  • bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
  • vssadmin.exe Delete Shadows /All /Quiet
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wbadmin DELETE SYSTEMSTATEBACKUP -deleteOldest

 

감염 제외 폴더는 다음과 같다.

  • Windows , Program Files, Users\All Users, AppData, Microsoft, ProgramData

 

암호화 제외 파일 및 확장자는 다음과 같다.

  • exe, dll. sys, ini, dat, bin, lnk, avdn, -readme.html, bckgrd.bmp

 

해당 랜섬웨어에 감염 시 사용자에게 보여지는 랜섬노트는 아래의 그림과 같이 "717850-readme.html" 형태로 생성되며, 숫자정보는 가변적이다.

 

랜섬노트 (717850-readme.html)

 

암호화 시, 아래의 그림과 같이 기존 확장자에 .avdn 문자열이 추가되는 구조이며, 변경되는 바탕화면은 다음과 같다.

 

암호화 후 변경되는 확장자 (*.avdn)

 

암호화 후 변경되는 배경화면

 

현재까지 확인된 해당 랜섬웨어 파일명은 아래와 같이 다양한 이름이 확인되었다.

  • qwkka.exe
  • piptu.exe
  • xi9y8.exe
  • xysys.exe
  • onbxo.exe

ASEC 분석팀에서는 자동 분석 시스템인 RAPIT을 활용해 Avaddon 랜섬웨어의 프로세스 트리 구조와 실행된 명령어를 다음과 같이 확인할 수 있다.

 

Process Tree 구조

 

 

현재 V3에서는 본문의 악성코드를 다음과 같이 진단 중이다.

 

[파일 진단]

  • Trojan/Win32.MalPe.R341479

[행위 진단]

  • Malware/MDP.DriveByDownload.M1153
  • Malware/MDP.Ransom.M2813

[메모리 진단]

  • Win-Trojan/MalPeP.mexp

 

댓글0