Elbie 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해 Internet Explorer Add-on 설치 프로그램인 ieinstal.exe로 위장한 Elbie 랜섬웨어가 유포되고 있음을 확인하였다.

[그림 1] 파일 속성

초기 실행 파일은 인코딩 된 내부의 데이터를 실질적인 랜섬웨어 행위를 수행하는 [그림 2]의 실행 파일로 디코딩 한다.

[그림 2] 디코딩 된 실행파일

이 후 재귀 실행한 프로세스에 디코딩 한 실행파일을 인젝션하고, 사용자의 PC가 VM환경인지 확인한다.

[그림 3] VM환경 확인

인젝션 되어 실행된 랜섬웨어는 %AppData% 경로에 복사본을 드롭하고, 시작 프로그램으로 등록한다. 또한, 시스템 복구를 막는 행위를 수행하기 위해 UAC창을 띄워 관리자 권한을 통한 시도를 유도한다.

[그림 4] UAC
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run:ieinstal=C:\Users\kk\AppData\Local\ieinstal.exe

관리자 권한을 얻은 프로세스는 2개의 cmd.exe를 실행시켜 첫 번째 프로세스는 시스템 복구를 막기 위해 볼륨쉐도우를 삭제하고, 윈도우 환경의 복구 비활성화 명령을 실행한다.

  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet

두 번째 cmd.exe 프로세스는 아래와 같이 방화벽 설정을 변경한다.

  • netsh advfirewall set currentprofile state off
  • netsh firewall set opmode mode=disable
[그림 5] RAPIT 프로세스 트리

이 후, 아래의 파일명으로 감염된 파일의 파일명을 변경하고, 감염 경로에는 랜섬노트인 info.txt와 info.hta가 생성된다.

[그림 6] info.hta
[그림 7] info.txt
[그림 8] 감염된 파일

정상 프로그램으로 위장하여 유포되는 만큼 기업 뿐만 아니라 개인 PC이용자도 타겟으로 할 확률이 높아보인다. 각 기업은 물론이며, 개인 이용자도 출처가 불분명한 프로그램의 실행을 자제하고, 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

  • Ransomware/Win.EncryptExe.C5285322 (2022.10.24.01)
  • Ransomware/Win.Generic.R363595 (2022.10.24.01)

[행위 진단]

  • Ransom/MDP.Command.M2255
  • Ransom/MDP.Decoy.M1171

[IOC 정보]

  • 4f1025c0661cc0fa578a52466fa65b71
  • 62885d0f106569fac3985f72f0ca10cb

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments