ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다.

초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다.

이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다.

인젝션 되어 실행된 랜섬웨어는 %AppData% 경로에 복사본을 드롭하고, 시작 프로그램으로 등록한다. 또한, 시스템 복구를 막는 행위를 수행하기 위해 UAC창을 띄워 관리자 권한을 통한 시도를 유도한다.

- HKCU\Software\Microsoft\Windows\CurrentVersion\Run:ieinstal=C:\Users\kk\AppData\Local\ieinstal.exe
관리자 권한을 얻은 프로세스는 2개의 cmd.exe를 실행시켜 첫 번째 프로세스는 시스템 복구를 막기 위해 볼륨쉐도우를 삭제하고, 윈도우 환경의 복구 비활성화 명령을 실행한다.
- vssadmin delete shadows /all /quiet
- wmic shadowcopy delete
- bcdedit /set {default} bootstatuspolicy ignoreallfailures
- bcdedit /set {default} recoveryenabled no
- wbadmin delete catalog -quiet
두 번째 cmd.exe 프로세스는 아래와 같이 방화벽 설정을 변경한다.
- netsh advfirewall set currentprofile state off
- netsh firewall set opmode mode=disable

이 후, 아래의 파일명으로 감염된 파일의 파일명을 변경하고, 감염 경로에는 랜섬노트인 info.txt와 info.hta가 생성된다.



정상 프로그램으로 위장하여 유포되는 만큼 기업 뿐만 아니라 개인 PC이용자도 타겟으로 할 확률이 높아보인다. 각 기업은 물론이며, 개인 이용자도 출처가 불분명한 프로그램의 실행을 자제하고, 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단]
- Ransomware/Win.EncryptExe.C5285322 (2022.10.24.01)
- Ransomware/Win.Generic.R363595 (2022.10.24.01)
[행위 진단]
- Ransom/MDP.Command.M2255
- Ransom/MDP.Decoy.M1171
[IOC 정보]
- 4f1025c0661cc0fa578a52466fa65b71
- 62885d0f106569fac3985f72f0ca10cb
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보