본문 바로가기

악성코드 정보

파일리스 형태의 매그니베르 랜섬웨어 사전방어 (V3 행위탐지) 작년(2018년) 안랩 분석팀에서 제작한 매그니베르(Magniber) 복구툴 배포 이후, 매그니베르는 파일리스(Fileless) 형태로 복구가 불가능하게 변경되었다. Fileless 형태로 유포 중인 매그니베르는 행위탐지를 우회하고, 성공적인 파일 암호화를 위하여 (감염 시스템의)권한이 있는 불특정 프로세스에 무차별 인젝션을 수행하게 진화하였다. 이러한 기법을 통해 랜섬웨어 행위의 주체가 감염 시스템의 실행 중인 정상 프로세스가 되고, 해당 프로세스를 종료해도 다른 프로세스에 의해 랜섬웨어 행위가 재 실행되는 구조로 감염 후에는 차단을 어렵게 한다. 참고(1): 인젝션 대상 변경 정보 (https://asec.ahnlab.com/1137) Anti-Virus 제품이 단순히 랜섬웨어 행위(파일 암호화)를 ..
[주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) 2019년 5월 30일 오전 국세청을 사칭한 국내 기업 타겟 악성코드가 대량 유포되어 사용자의 주의가 필요하다. 국세청 세금계산서로 위장하여 스팸 메일이 발송되었고, 첨부 된 .html 파일은 악성 엑셀 파일(xls)을 다운로드 하는 기능이 있다. 기존에는 메일에 xls파일을 첨부하여 유포하였다면, 이번엔 스크립트(html)를 첨부해 이를 통해 xls 을 다운로드 하는 방식으로 변경되었다. 첨부된 html 파일을 열게 되면 [그림 2]에 있는 url을 통해 악성 xls 파일을 다운로드 받으면 기존에 분석 된 내용과 동일한 백도어 AmmyyRat 파일을 다운받게 된다. 매크로를 포함한 상세 분석은 이 전 글을 참고하기 바란다. 2019/05/29 - [악성코드 정보] - [주의] 국내 기업을 대상으로 대량..
[주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 Clop 랜섬웨어 유포 최근 국내에서 가장 이슈가 되는 타겟형 공격은 기업을 대상으로 유포되고 있는 Ammyy 원격제어 백도어와 이를 통해 설치되는 Clop 랜섬웨어이다. 백도어 파일은 온라인에 공개되어 있는 Ammyy 원격제어 프로그램의 소스를 이용하여 제작되었고, 이를 공격 대상 PC에 심어 놓은 후 원격으로 시스템에 접근한다. 공격자가 장악한 시스템에서 최종 실행하고자 하는 악성 파일은 Clop 랜섬웨어이다. 특징적으로 이 공격은 유포과정에서 공격 대상 PC가 도메인 컨트롤러를 이용하고 있는 AD(Active Directory) 서비스 구조에 있는 사용자인지 여부를 확인한다. 맞을 경우에만 이후 전파 과정을 진행하는데, 이는 일반적으로 사용자를 도메인으로 구성해서 시스템을 운영하는 기업을 공격 대상으로 한다는 것을 의미한..
'AhnLab' 폴더를 암호화에서 제외하는 Maze 랜섬웨어 안랩 ASEC은 지난 5월 24일 국내 사용자들을 대상으로 유포 중인 Maze Ransomware를 발견하였다. 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 확인된 결과 해당 랜섬웨어는 PowerShell을 이용하여 다운로드되고 Fallout EK 에 의해 유포되는 것으로 확인되었다. 암호화가 되면 확장자는 여러가지의 랜덤한 문자열로 변경되고 DECRYPT-FILES.html 파일을 생성한다. 암호화가 끝나면 바탕화면을 변경하여 RSA-2048 과 ChaCha 알고리즘을 암호화에 사용했다는 것을 알린다. 또한, 암호화 과정에서 폴더명이 “AhnLab” 일 경우 해당 폴더의 내부 파일들은 암호화에서 제외되는 것을 확인하였다. 암호화에서 제외되는..
V3Lite 사용여부에 따라 차별화된 실행방식 사용하는 BlueCrab(갠드크랩 후속) 최근 새롭게 등장한 블루크랩 랜섬웨어는 기존 갠드크랩 랜섬웨어와 같이 다양한 방식으로 유포되고 있다. 유포 방법에는 악성 문서를 포함한 피싱 이메일, 유틸리티 피싱 다운로드 페이지 등이 해당된다. 안랩 ASEC은 유틸리티를 위장한 자바스크립트의 유포 코드를 모니터링하고 있다. [그림 1]과 같은 유틸리티 피싱 다운로드 페이지에서 다운로드된 자바스크립트 파일(.js)은 실행 시 블루크랩 랜섬웨어가 실행된다. 현시점에 자바스크립트의 실행 흐름은 [그림 2]와 같으며, Powershell.exe에 블루크랩 랜섬웨어가 인젝션 되어 암호화 행위가 수행된다. 여기서 주목할 점은 V3Lite 사용자를 대상으로 차별화된 실행방식이 사용된다는 점이다. 자사 제품은 블루크랩 랜섬웨어가 사용하는 특정 UAC(사용자 계정 컨..
국내 사용자 대상 신종 랜섬웨어 확인 (.kname 확장자) 안랩 ASEC은 지난 5월 13일 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 새로운 랜섬웨어가 국내로 유포되고 있음을 확인하였다. 아직 알려지지 않은 이 랜섬웨어는 암호화 후 확장자를 .kname으로 변경하는 특징을 갖고 있으며, AhnLab 폴더를 암호화 제외 대상으로 하는 등 국내 사용자 환경을 타겟하여 유포하는 것으로 추정된다. 또한, ASD를 통해 확인된 결과 랜섬웨어 파일은 윈도우 정상 시스템 파일인 "regsvr32.exe" 를 통해 다운로드 되는 것으로 확인되었다. 다운로드 주소: http://86.106.102.162/k/kname.png 암호화 대상 확장자가 별도로 존재하지 않고, 아래의 암호화 제외 대상만 존재하는 특징을 ..
스팸메일을 악용한 Crypter 계열 악성코드의 유포 및 동작 방식 문서 파일이나 압축 파일을 첨부하여 악성코드를 유포하는 악성 스팸메일 공격 방식은 과거부터 현재까지 꾸준하게 공격자들이 사용하는 악성코드 유포 방법의 하나다. 안랩 ASEC 분석팀은 다수의 고객으로부터 접수된 스팸메일을 분석한 결과 이메일에 첨부된 악성 문서 파일에서 다운로드된 파일들이 주로 Crypter 계열의 정보 유출형 악성코드(HawkEye, Nanocore, FormBook, Lokibot, Remcos)임을 확인하였다. Crypter 계열 악성코드는 암호 알고리즘을 사용하여 AV 시그니쳐 탐지를 어렵게 파일 내부에 악성코드를 암호화 상태로 저장한 악성코드를 말한다. 스팸메일에 첨부된 악성 문서 파일은 아래 [그림 2]처럼 사용자의 액션이 필요한 경우와 아닌 경우로 나눌 수 있다. [그림 2]와..
자바스크립트(*.js)로 유포되던 GandCrab 랜섬웨어... 새로운 랜섬웨어로 변경 안랩 ASEC 분석팀은 GandCrab 변형을 확인하기 위해 피싱 다운로드 페이지를 지속적으로 모니터링 하고있다. 이 과정에서 2019년 4월 29일 해당 피싱 사이트에서 유포되는 자바스크립트(*.js) 가 갠드크랩에서 새로운 랜섬웨어로 변경됨을 포착하였다. 해당 신규 랜섬웨어는 기존에 소개된 GandCrab v5.2과 같이 동일한 피싱 사이트([그림 1])에서 유포되고 있으며, 해당 서버를 통해 다운로드 받은 파일(.js) 내부에는 신규 랜섬웨어를 가지고 있다. 다운로드 받은 파일을 실행 시 V3가 설치되어 있다면 20분 간의 시간지연(Sleep() API) 후에 감염행위가 진행되는데, 이러한 유포 방식 및 시간지연 코드 그리고 아래에서 소개될 스크립트 파일까지 기존 GandCrab 랜섬웨어와 유사함을..
변형된 Salsa20 알고리즘을 사용하는 GandCrab 랜섬웨어 안랩 ASEC 분석팀에서는 쉼 없이 지속 유포 중인 GandCrab의 유포 방식과 변화되는 기능들에 대해서 지속 분석 및 대응하여 정보를 공유하고있다. 이 글에서는 지난 v4.x의 GandCrab kill-switch에 사용되었던 커스텀 된 Salsa20 알고리즘이 현재 유포 중인 v5.2 버전에서도 동일하게 파일 암호화에 쓰이고 있음을 알리고자 한다. - 커스텀 Salsa20 알고리즘이 사용됨을 최초 언급하였던 GandCrab v4.x 글 : https://asec.ahnlab.com/1145 - 가장 최근 버전의 암호화 방식에 대해 설명한 GandCrab v5.2 글 : https://asec.ahnlab.com/1220 v4.x의 kill-switch가 가능한 루틴이 제거되었기 때문에 지금은 kil..
MBR 감염기능의 코인마이너 국내 유포 중 (DarkCloud Bootkit) 안랩 ASEC은 지난 2월 국내외 보안 제품을 무력화 시키고 감염 시스템의 MBR(Master Boot Record)를 변조하는 코인마이너의 유포를 확인하였다. 해외에서 "DarkCloud Bootkit" 으로 이슈된 이 유형의 악성코드는 기존의 암호화폐 채굴형 악성코드와 달리 MBR을 감염시키는 기능을 갖고 있으며 "ZwCreateSection" API에 대한 패치를 통해 일반 사용자가 감염된 MBR코드를 확인할 수 없도록 하는 특징을 갖는다. 안랩 ASEC은 MBR 감염시도 시 행위탐지를 통해 방어를 수행하고 있으며, 확인결과 2019년 3월 20일 전,후로 MBR 감염에 대한 행위탐지 수가 급증한 것을 확인하였다. 물론 MBR 감염시도가 모두 "DarkCloud Bootkit" 악성코드에 의한 것으..