Posted By ,

GlobeImposter 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 취약한 MS-SQL 서버를 대상으로 하는 GlobeImposter 랜섬웨어가 유포되고 있음을 확인하였다.

자사 TIP 서비스의 분기 별 통계 자료 중 올해 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 해당 GlobeImposter가 언급되어 있는데, 2분기에서는 MS-SQL 대상 랜섬웨어 중 GlobeImposter가 52.6%의 비중을 차지했다. 곧 공개될 3분기 통계에서도 GlobeImposter 랜섬웨어는 여전히 집계되는 것으로 확인된다.

해당 랜섬웨어는 인코딩 된 내부의 데이터를 [그림 1]의 로직을 통해 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 DLL 파일로 디코딩한다.

[그림 1] 디코딩 로직
[그림 2] 디코딩 된 DLL 파일

이 후, 생성된 DLL 파일의 Method를 Delegate 함수를 활용하여 호출한다.

[그림 3] 디코딩 된 DLL 파일 호출

해당 DLL 파일은 aspnet_compiler.exe 프로세스를 생성한 뒤, 프로세스 할로잉을 통해 랜섬웨어를 실행한다. 아래와 같이 파일의 복구를 막기 위해 볼륨쉐도우를 삭제하고, 취약한 데이터베이스 서버를 대상으로 유포되는 랜섬웨어인 만큼 데이터베이스 서비스를 종료한다.

  • C:\Windows\system32\cmd.exe /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled
[그림 4] RAPIT 프로세스 트리

이 후, 감염의 범위를 확장하기위해 [그림 5]와 같이 드라이브를 체크하고, 아래와 같은 특정 폴더와 파일명, 확장자를 제외하고 감염시킨다.

폴더파일
windows
bootmgr
boot
PerfLogs		pagefile.sys
ids.txt
NTUSER.DAT
.dll
.lnk
.ini
.sys
[표 1] 암호화 제외 목록
[그림 5] 드라이브 체크

각 파일은 [기존파일명].Globeimposter-Alpha666qqz의 확장자로 암호화되고, 암호화 후에는 HOW TO BACK YOUR FILES.txt 의 랜섬노트를 생성한다.

[그림 6] 랜섬 노트

데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있으며, 이외에도 취약점이 패치되지 않은 시스템들에 대한 취약점 공격이 있을 수 있다.

MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다.

안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.

[파일진단]
– Ransomware/Win.GlobeImposter.R523882 (2022.10.01.00)

[행위진단]
– Injecion/MDP.Event.M4455

[IOC]
MD5
– f21f99e976394bfcbd8b86be2bedce6e

Download
– hxxp://103.93.130[.]45:8080/Yoqjtgzrr.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,

4.3 3 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments