악성코드 정보

Wiki 랜섬웨어 국내 유포 중

ASEC 분석팀은 안랩 ASD 인프라의 랜섬웨어 의심 행위 차단 이력을 통해, Crysis 랜섬웨어의 변종으로 확인되는 Wiki 랜섬웨어가 정상 프로그램으로 위장하여 유포되는 것을 확인하였다. Wiki 랜섬웨어는 실질적인 암호화를 수행하기 전, %AppData% 경로나 %windir%\system32 경로에 자가 복제를 수행하고 시작 프로그램에 등록을 위한 레지스트리 등록(HKLM\Software\Microsoft\Windows\CurrentVersion\Run) 및 파일 복사를 통하여 랜섬웨어의 감염 성공성을 높이는 작업을 진행한다. 추가적으로 종료할 데이터베이스 관련 서비스와 프로세스 명을 메모리 상에서 디코딩하고 현재 실행 중인 서비스와 프로세스를 조회하여 종료한다. 서비스 종료 대상 FirebirdGuardianDefaultInstanceFirebirdServerDefaultInstancesqlwritermssqlserversqlserveradhelper 프로세스 종료 대상 1c8.exe1cv77.exeoutlook.exepostgres.exemysqld-nt.exemysqld.exesqlservr.exe [표 1] 이…

Koxic 랜섬웨어 국내 유포 중

Koxic 랜섬웨어의 국내 유포 정황이 확인되었다. 올해 초 최초로 수집되었지만 파일 외형과 내부 랜섬노트가 변형된 파일이 최근 ASD 인프라를 통해 탐지 및 차단된 이력을 확인하였다. 감염 시 암호화된 파일의 이름에 “.KOXIC_[랜덤문자열]” 확장자가 추가되며, 각 디렉터리에 TXT 파일의 랜섬 노트를 생성한다. 랜섬노트의 파일명은 다음과 같다. 최근 수집된 샘플의 랜섬 노트는 한 때 국내에 활발하게 유포되었던 BlueCrab(Sodinokibi, REvil) 랜섬웨어와 유사하다. BlueCrab의 경우 별도의 웹 사이트를 제작하여 TOR 브라우저를 사용하여 접속할 것을 명시하지만, Koxic 랜섬웨어는 이메일을 통해 연락을 유도한다는 차이점이 있다. 이전에 수집된…

다곤 랜섬웨어 DAGON LOCKER 유포 중

DAGON LOCKER 다곤 랜섬웨어(이하 DAGON 랜섬웨어) 국내 유포가 확인되었다. 안랩 ASD 인프라의 랜섬웨어 의심 행위 차단 이력으로 최초 발견되었으며, 지난 10월에는 국내 모 기관이 안랩에 악성 의심 파일로 접수하기도 하였다. DAGON 랜섬웨어의 주 유포 경로는 피싱 또는 이메일 첨부파일이지만 서비스형 랜섬웨어(Ransomware-as-a-Service)이기 때문에, 공격자에 따라 유포 경로와 공격 대상은 다양할 수 있다. DAGON 랜섬웨어는 파일 외형이 패킹되어 있어서, 프로세스 메모리에 생성되는 64비트 EXE 바이너리가 핵심 코드이다. 이 코드는 2020년부터 유포되었던 MountLocker(마운트라커) 또는 Quantum(퀀텀) 랜섬웨어와 매우 유사하다. 동일한 코드를 쓰는 부분과 기능이…

악성코드 폭탄, 크랙 위장 Dropper 악성코드 유포 재개

한동안 유포가 중단되었던 크랙 위장 드로퍼 악성코드가 다시 활발하게 유포되고 있다. 해당 악성코드를 실행할 경우 동시에 수많은 악성코드에 감염된다. 악성코드 “폭탄”인 셈이다. 상용 프로그램의 크랙으로 위장한 악성코드 유포는 “단일 악성코드” 유형과 “드로퍼형 악성코드” 유형으로 양분되어 활발하게 유포되었다. ASEC 분석팀에서는 이러한 악성코드 유포를 상세히 모니터링 중이며 블로그 포스팅을 통해 여러 번 소개한 바 있다. 악성코드는 검색엔진에서 상위에 노출되는 악성 사이트로 부터 유포된다. 공격자는 다양한 키워드를 활용하여 크랙 다운로드 사이트로 위장한 수많은 악성 사이트를 제작하였으며 해당 페이지에서 Download 버튼 등을 클릭 시…

MOTW(Mark of the Web) 우회를 시도한 매그니베르 랜섬웨어

ASEC 분석팀은 지난 10월 13일 매그니베르(Magniber)랜섬웨어의 변화에 대한 글을 공개했다. 현재도 활발하게 유포되는 매그니베르 랜섬웨어는 백신의 탐지를 회피하기 위해 다양한 변화를 해왔다. 이 중 Microsoft 에서 제공하는 파일의 출처를 확인해주는 Mark of the Web(MOTW)을 우회한 것으로 확인된 2022.09.08 ~ 2022.09.29 기간 동안의 스크립트 형태에 대해 소개한다. 날짜 확장자 실행 프로세스 암호화 프로세스 복구 환경 비활성화프로세스 복구 환경 비활성화(UAC 우회) 2022-05-07 msi msiexec.exe msiexec.exe regsvr32.exe fodhelper.exe 실행시 참조 레지스트리 조작(HKCU:\Software\Classes\ms-settings\shell\open\command) 2022-06-14 msi msiexec.exe 실행 중인 프로세스 regsvr32.exe fodhelper.exe 실행시 참조 레지스트리…