본문 바로가기

악성코드 정보

GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) 안랩 ASEC은 최근 Gandcrab v5.2에서 새로운 방식의 동적 분석 우회 기법이 사용되는 것을 확인하였다. Gandcrab에서 사용되는 동적 분석 우회 기법은 이전 블로그에서도 다룬 바 있다. - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 [ https://asec.ahnlab.com/1202 ] 이전 글에서 다룬 시간 지연 방식은 SetTimer() API 함수 즉 타이머를 이용한 방식이었다. 동적 분석 환경에서는 샘플에서 이러한 API가 사용될 때 충분히 의심스러운 행위로 파악할 수 있으며, 또한 이렇게 지정한 시간에 대한 우회도 가능하다. 하지만 최근 유포되는 Gandcrab v5.2에서는 다수의 쓰레기 루틴을 반복하는 방식을 통해 시간을 지연시킨다. 위의 루틴은 API ..
[주의] 국내에 확산되고 있는 SMB취약점(MS17-010) 공격시도 2017년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계를 ‘랜섬웨어 공포’로 몰아넣었던 ‘워너크립터’(일명 워너크라이) 사태가 발생한지 대략 2년이라는 시간이 지났다. 당시 전 세계 150여개국에서 최소 30만대 이상의 컴퓨터 시스템을 감염한 것으로 알려졌으며, 국내에서는 21곳의 기관 및 기업이 피해를 입은 것으로 보고되었다. 피해 시스템들은 모두 SMB(포트번호: 445) 서비스를 사용하고 있었으며, 2017년 3월에 발표된 SMB 취약점(MS17-010) 보안 업데이트를 적용하지 않았다. 2년이라는 시간이 흐르는 동안 ‘워너크립터’라는 랜섬웨어는 사람들의 머릿속에서 잊혀지고 있지만, 당시 사용된 SMB 취약점을 통한 공격은 ‘코인마이너’라는 암호화폐 채굴형 악성코드에서 활발하게 사용되..
[주의] 한국 경찰을 사칭해 GandCrab을 유포하는 문서파일 (Pastebin 삭제) 안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다. 이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.- 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210 [그림 1] 워드 문서 다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일 한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에..
워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) 안랩 ASEC은 2019년 3월 19일 Gandcrab 랜섬웨어 유포방식의 변화를 확인하였다. 워드문서(ex) 소환장.doc, 알리미.doc) 실행 시 내부 매크로 코드에 의해 Windows Script Component(.sct) 형태의 파일이 Pastebin 사이트를 통해 다운로드되며, 이를 통해 실행파일 형태의 GandCrab 랜섬웨어가 생성 및 실행되는 방식이다. 현재까지 확인된 유포방식은 1)워드 문서파일이 실행 파일을 다운로드하거나, 2)이력서로 가장하여 Gandcrab 실행("입사지원서.doc (공백) .exe")을 유도하거나, 3)구글 검색시 노출되는 웹 페이지를 통해 자바스크립트 형태("*.js")로 유포되고 있었다. 1) https://asec.ahnlab.com/1178 (제목: 이력..
코인 지갑 프로그램(알리바바)과 함께 설치되는 악성코드 최근 ASEC은 알리바바 코인 (ABBC Coin) 지갑 프로그램과 함께 설치되는 정보 유출 악성코드를 발견하였다. ABBCCoin 프로그램을 실행하면 AppData\Roaming 폴더에 아래와 같은 지갑 프로그램과 함께 sys.exe라는 다운로더 기능을 갖는 악성코드를 드랍 및 실행한다. ABBCCoin 지갑 프로그램 다운로더 악성코드는 먼저 Anti Sandbox 기법을 사용하는데, 분석 환경에서 해당 파일 단독으로 실행 시에는 악성 행위를 수행하지 않도록 AppData\Roaming 폴더에서 “123456789”가 적힌 abbc.log 파일을 읽고 내용을 확인한다. 즉 sys.exe 파일 단독으로 실행 시에는 바로 종료되며 드로퍼를 통해 실행시키는 경우에만 악성 행위가 수행된다. 사용된 Anti S..
기업 사용자를 타겟하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) 최근 특정 기관을 사칭한 피싱 메일이 활발하게 유포되고 있다. 피싱 메일에 첨부된 엑셀 문서파일(증명서.xls, 의뢰.xls 등)은 악성 매크로를 포함하고 있다. 해당 악성 매크로가 실행되면 Ammyy로 명명된 원격제어 기능의 악성코드가 설치된다. 최근 안랩 ASEC은 해당 백도어 악성코드를 모니터링 중, 해당 악성코드가 기업을 타겟으로 한다는 코드 상의 변화를 포착하였다. 또한, 이전 글에서 소개했듯이 Ammyy 백도어 프로그램과 CLOP 랜섬웨어가 동일한 인증서로 유포되는 것을 통해 기업 사용자를 타겟(AD서버에 대한 탈취)으로 유포되는데 Ammyy 백도어가 활용되는 것으로 추정된다. ASEC 블로그 사례- 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 [ https://asec.ahn..
국내 압축프로그램을 위장한 원격제어 악성코드 국내에서 많은 사용자가 쓰고 있는 유명 압축프로그램을 위장한 원격제어 악성코드(RAT, Remote Access Tool) 가 확인되었다. 악성 파일은 해당 압축프로그램 v10.86 파일의 버전 정보와 아이콘 정보, 디지털 서명 인증서를 그대로 가져다 사용하였다. 물론 악성 파일은 실제 서명된 파일이 아니기 때문에 인증서가 유효하지 않다. 하지만 유효 여부와 상관없이 인증서 정보를 포함함으로써 안티바이러스 제품의 탐지 조건을 일부 회피할 수 있기 때문에 사용자의 주의와 관심이 필요하다. 악성 파일은 불특정 다수를 대상으로 일명 좀비 PC로 만들기 위한 원격제어 목적의 RAT 파일로서, 다음과 같은 특징과 기능이 있다. (이와 같은 부류의 악성코드에 대한 보다 상세한 내용은 다음 블로그 글을 참고한다. h..
해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) Clop 랜섬웨어에 대한 국내 피해사례가 증가하는 상황에서 아직까지 정확한 유포방식이 확인되지 않고 있었다. 다만, 랜섬웨어 피해 시스템들을 확인 결과 취약한 윈도우 계정정보 탈취를 통해 시스템이 장악된 상태에서 랜섬웨어가 구동된 것을 알 수 있었다. 안랩 ASEC은 이번에 Clop 랜섬웨어를 추적하는 과정에서 Ammyy 라는 이름의 원격제어 해킹툴과 동일한 인증서로 유포된 정황을 포착하였다. ASEC블로그 사례 - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 [ https://asec.ahnlab.com/1197 ] - 국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 [ https://asec.ahnlab.com/1198 ] - ‘CLOP’ 랜섬웨어 ‘CIOP’로 이름 변경 (제작자의..
닷넷(.NET) 외형으로 유포되는 GandCrab 랜섬웨어 v5.2 안랩 ASEC은 2019년 3월 6일 갠드크랩 v5.2가 닷넷(.NET) 외형으로 유포되고 있음을 확인하였다. 최근 국내에 활발하게 유포 중인 갠드크랩은 주로 UPX로 실행 압축된 형태이지만, 이번에 확인된 파일의 경우 갠드크랩이 닷넷으로 제작 및 유효하지 않은 가짜 인증서까지 포함하고 있다는 것은 특이한 경우이다. [그림 1] 닷넷 외형 갠드크랩의 유효하지 않은 인증서 정보 이점은 갠드크랩 제작자가 백신 탐지를 우회하기 위해 UPX 실행 압축 형태, 닷넷 외형 등 다양한 파일 외형으로 유포하고 있음을 의미한다. 닷넷 외형의 갠드크랩은 아래 [그림 2]와 같이 Sleep 함수 호출을 통한 실행 지연 코드를 포함하고 있다. 이는 갠드크랩의 실행 시간을 지연시켜 샌드박스 탐지를 회피하기 위한 목적으로 보인다..
'CLOP'랜섬웨어 'CIOP'로 이름 변경 (제작자의 농간?) 안랩 ASEC에서는 2019년 3월 3일 CLOP랜섬웨어의 감염 확장자가 Clop (CLOP) 에서 CIop (CIOP) 로 변경된 것을 확인하였다.2월 15일 CLOP 랜섬웨어 : 국내 사용자를 대상으로 한 CLOP랜섬웨어 유포(https://asec.ahnlab.com/1198) 이전과 동일하게 암호화 제외 목록을 갖고 있지만 빨간 박스 부분이 CLOP에서 CIOP로 변경됨을 알 수 있다. 이러한 변화는 암호화 후 변경된 확장자를 기반으로 탐지하는 백신을 우회하기 위한 행위로 추정된다. [그림 1] 2월 15일자 암호화 제외 파일 (CLOP) [그림 2] 3월 3일 암호화 제외 파일 (CIOP) Clop 랜섬웨어는 서비스로 등록되어 동작하며 실행 된 경로에 HotGIrls 이름을 가진 파일을 만든다...