안랩 ASEC은 지난 5월 13일 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 새로운 랜섬웨어가 국내로 유포되고 있음을 확인하였다. 아직 알려지지 않은 이 랜섬웨어는 암호화 후 확장자를 .kname으로 변경하는 특징을 갖고 있으며, AhnLab 폴더를 암호화 제외 대상으로 하는 등 국내 사용자 환경을 타겟하여 유포하는 것으로 추정된다. 또한, ASD를 통해 확인된 결과 랜섬웨어 파일은 윈도우 정상 시스템 파일인 “regsvr32.exe” 를 통해 다운로드 되는 것으로 확인되었다.
다운로드 주소: hxxp://86.106.102.162/k/kname.png
암호화 대상 확장자가 별도로 존재하지 않고, 아래의 암호화 제외 대상만 존재하는 특징을 갖는다.
[kname@protonmail.com] MozillaFirefox session DVD Maker Microsoft Games bootmgr BOOTSECTNTUSER.DAT ntuser.ini Searches Sample Music Sample Pictures Sample Videos i386 intel Intel document.doc hancom.hwp image.jpg Text.txt Word.doc Sheet.xls Photo.jpg Memo.txt Hangeul.hwp desktop.ini boot.ini .lnk .url .dll .exe .ios .SYS .sys .cmd .kname ntuser.dat BOOTNXT AUTOEXEC.BAT autoexec.bat bootfont.bin NTDETECT.COM ntldr how_to_decrypt.txt endendend Windows WINDOWS Boot Microsoft Microsoft Help Windows App Certification Kit Windows Defender ESET ESTsoft COMODO Windows NT Windows Kits Windows Mail Windows Media Player Windows Multimedia Platform Windows Phone Kits Windows Phone Silverlight Kits Windows Photo Viewer Windows Portable Devices Windows Sidebar WindowsPowerShell NVIDIA Corporation MicrosoftNET Internet Explorer Kaspersky Lab\McAfee Avira spytech software sysconfig Avast DrWeb Symantec Symantec_Client_Security system volume information AVG Microsoft Shared Common Files Outlook Express Movie Maker Chrome Mozilla Firefox Opera YandexBrowser ntldr Wsus ProgramData Recovery pagefile netmeeting Microsoft Security Client svchost Recycle \!! \$$ \%% AhnLab
감염된 폴더마다 “how_to_decrypt.txt” 이름의 랜섬노트가 생성되며, 감염된 파일은 원본 파일명 앞에 이메일 계정(“[kname@protonmail.com]”)이 붙으며 “.kname” 확장자로 변경된다.
ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과 아래의 실행 흐름도와 파일 다운로드 주소를 확인할 수 있다.
접속시도 URL
– http[:]//86.106.102.162/v.jpg?m=
– https[:]//curl.haxx.se/docs/http-cookies.html
– http[:]//86.106.102.162/k/svchostk.bmp
– http[:]//www.openssl.org/support/faq.html
cmdline 명령
– tAskkill /F /IM sqlwriter.exe
– tAskkill /F /IM mysqld.exe
– tAskkill /F /IM httpd.exe
– tAskkill /F /IM w3wp.exe
– tAskkill /F /IM sqlservr.exe
-tAskkill /F /IM mysqld.exe&tAskkill /F /IM httpd.exe&tAskkill /F /IM sqlservr.exe&tAskkill /F /IM sqlwriter.exe&tAskkill /F /IM w3wp.exe &tAskkill /F /IM sqlagent.exe&tAskkill /F /IM oracle.exe&tAskkill /F /IM emagent.exe&tAskkill /F /Imysqld-nt.exe
– vssadmin delete shadows /all /quiet&vssadmin delete shadows /all /quiet
WMI 쿼리문
– SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = “sqlservr.exe“)
– SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = “w3wp.exe“)
– SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = “sqlwriter.exe“)
– SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = “mysqld.exe“)
– SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = “httpd.exe“)
안랩 V3 제품군에서는 아래의 화면과 같이 행위진단을 수행한다.
[파일진단]
Trojan/Win32.Agent (2019.05.14.08)
Trojan/Win32.Ransom (2019.05.14.07)
[행위진단]
Malware/MDP.Manipulate.M1659
Malware/MDP.Manipulate.M2117
Categories:악성코드 정보