Mallox 랜섬웨어 국내 유포 중

ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 Mallox 랜섬웨어가 유포중인 것을 확인하였다. 이전에도 소개된 바와 같이 취약한 MS-SQL 서버를 대상으로 유포되는 Mallox 랜섬웨어는 자사 통계 기준으로 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있다.

[그림 1] 2022년 4분기 랜섬웨어 통계

DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 [그림 3]과 같이 특정 주소로 접속하여 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다. 본 블로그에서 소개하는 악성코드 역시 현재는 추가 악성코드를 다운로드하는 주소에 접속이 불가능하지만, ASEC 분석팀이 지난 2월에 확보한 Mallox 랜섬웨어와 접속하는 주소 도메인이 같은 것으로 보아 해당 도메인은 Mallox 랜섬웨어 주요 유포지로 추정된다.

  • hxxp://80.66.75[.]36/a-Vxnwcwh.dat (2월)
  • hxxp://80.66.75[.]36/a-Ubxdzddvl.png (3월)
[그림 2] DirectPlay 프로그램으로 위장한 악성코드
[그림 3] 추가 악성코드 다운로드

다운로드된 추가 악성코드는 Base64 인코딩된 데이터 파일이며, 해당 파일을 디코딩하여 거꾸로 뒤집으면 닷넷으로 빌드한 DLL 파일임을 확인할 수 있다.

[그림 4] 다운로드 된 데이터 파일 일부
[그림 5] 디코딩 된 DLL 파일 일부

로드된 DLL은 파워쉘을 통한 지연 행위를 수행하고, 프로세스를 재귀 실행하여 인젝션 한다.

“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -ENC cwB0AGEAcgB0AC0AcwBsAGUAZQBwACAALQBzAGUAYwBvAG4AZABzACAANgAwAA==
→ “C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” start-sleep -seconds 60
[표 1] 지연 행위

랜섬웨어는 PC의 언어 설정에 따라 특정 언어 환경은 감염 행위에서 제외하는 특징이 있다.

[그림 6] PC의 언어 환경 검사 로직
Lang IDCountry
0x419Russia
0x43FKazakhstan
0x423Belarus
0x422Ukraine
0x444Russia
[표 2] UserDefaultLangID

LangID 검사가 끝난 이후에는 레지스트리 삭제, 복구 비활성화, SQL 관련 서비스 및 프로세스 종료 명령을 수행한다.

[그림 7] 레지스트리 삭제
[그림 8] 복구 비활성화 & SQL 프로세스 종료
[그림 9] SQL 서비스 삭제
“C:\Windows\System32\cmd.exe” /C sc delete “MSSQLFDLauncher”&&sc delete “MSSQLSERVER”&&sc delete “SQLSERVERAGENT”&&sc delete “SQLBrowser”&&sc delete “SQLTELEMETRY”&&sc delete “MsDtsServer130″&&sc delete “SSISTELEMETRY130″&&sc delete “SQLWriter”&&sc delete “MSSQL$VEEAMSQL2012″&&sc delete “SQLAgent$VEEAMSQL2012″&&sc delete “MSSQL”&&sc delete “SQLAgent”&&sc delete “MSSQLServerADHelper100″&&sc delete “MSSQLServerOLAPService”&&sc delete “MsDtsServer100″&&sc delete “ReportServer”&&sc delete “SQLTELEMETRY$HL”&&sc delete “TMBMServer”&&sc delete “MSSQL$PROGID”&&sc delete “MSSQL$WOLTERSKLUWER”&&sc delete “SQLAgent$PROGID”&&sc delete “SQLAgent$WOLTERSKLUWER”&&sc delete “MSSQLFDLauncher$OPTIMA”&&sc delete “MSSQL$OPTIMA”&&sc delete “SQLAgent$OPTIMA”&&sc delete “ReportServer$OPTIMA”&&sc delete “msftesql$SQLEXPRESS”&&sc delete “postgresql-x64-9.4″&&rem Kill “SQL”&&taskkill -f -im sqlbrowser.exe&&taskkill -f -im sqlwriter.exe&&taskkill -f -im sqlservr.exe&&taskkill -f -im msmdsrv.exe&&taskkill -f -im MsDtsSrvr.exe&&taskkill -f -im sqlceip.exe&&taskkill -f -im fdlauncher.exe&&taskkill -f -im Ssms.exe&&taskkill -f -im SQLAGENT.EXE&&taskkill -f -im fdhost.exe&&taskkill -f -im fdlauncher.exe&&taskkill -f -im sqlservr.exe&&taskkill -f -im ReportingServicesService.exe&&taskkill -f -im msftesql.exe&&taskkill -f -im pg_ctl.exe&&taskkill -f -im postgres.exe
[표 3] SQL 서비스 삭제 Parameters

이 밖에도 정교한 감염 행위를 위해 시스템 종료 경고 메시지, 추가 레지스트리 설정 및 감염 PC 정보 유출의 행위가 수행되며, 아래에 해당하는 암호화 대상 파일에 대해 감염 행위가 수행된다.

[그림 10] 레지스트리 설정
[그림 11] 정보 유출
desktop.ini ntuser.dat thumbs.db iconcache.db ntuser.ini ntldr bootfont.bin ntuser.dat.log boot.ini autorun.inf debugLog.txt TargetInfo.txt
[표 4] 감염 제외 파일
.msstyles .icl .idx .avast .rtp .mallox .sys .nomedia .dll .hta .cur .lock .cpl .Globeimposter-Alpha865qqz .ics .hlp .com .spl .msi .key .mpa .rom .drv .bat .386 .adv .diangcab .mod .scr .theme .ocx .prf .cab .diagcfg .msu .cmd .ico .msc .ani .icns .diagpkg .deskthemepack .wpx .msp .bin .themepack .shs .nls .exe .lnk .ps1 .mallox
[표 5] 감염 제외 확장자
msocache; $windows.~ws; system volume information; intel; appdata; perflogs; programdata; google; application data; tor browser; boot; $windows.~bt; mozilla; boot; windows.old; Windows Microsoft.NET; WindowsPowerShell; Windows NT; Windows; Common Files; Microsoft Security Client; Internet Explorer; Reference; Assemblies; Windows Defender; Microsoft ASP.NET; Core Runtime; Package; Store; Microsoft Help Viewer; Microsoft MPI; Windows Kits; Microsoft.NET; Windows Mail; Microsoft Security Client; Package Store; Microsoft Analysis Services; Windows Portable Devices; Windows Photo Viewer; Windows Sidebar
[표 6] 감염 제외 경로

[그림 12]은 랜섬노트를 캡처한 그림이며, 파일은 [기존 파일명].mallox의 이름으로 암호화된다.

[그림 12] 랜섬노트

랜섬웨어 예방을 위하여 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다.

V3에서는 아래와 같이 진단하고 있다.

[파일 진단]

  • Ransomware/Win.Mallox.C5391834 (2023.03.07.02)
  • Ransomware/Win.Mallox.R558884 (2023.02.18.03)
  • Data/BIN.Encoded (2023.03.09.00)

[행위 진단]

  • Malware/MDP.Inject.M218

[IOC]

  • MD5
    – 0646ae6d3584f81c257485ade2624e71 (초기 로더)
    – efe4fffe822e92cf222c31178b95e112 (Base64 인코딩된 DLL)
    – b48fe2132ce656be3754560ea9ce8e4e (Base64 디코딩된 DLL)
    – 0c7c3ea4c20de5d632be7beddd01c1ba (Mallox 랜섬웨어)
  • C&C
    – hxxp://80.66.75[.]36/a-Ubxdzddvl.png
    – hxxp://80.66.75[.]36/a-Vxnwcwh.dat

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments