미분류

안랩 ASEC은 GandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다. 유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다. [그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3) [그림-2] GandCrab v5.0.3 감염 배경화면 상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다. [그림-3] GandCrab V5.0.3 랜섬노트

현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 “Uninst.exe -Uninstall“를 이용한 제거와 함께 “AhnUn000.tmp -UC“를 통한 방식 2가지를 함께 사용하고 있다. [그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2) 현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다. – wmic.exe ->

암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다.  배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단) @echo off powershell -Command “&Add-MpPreference -ExclusionPath “”%appdata%Windows Defender””” wscript.exe “%appdata%Windows Defenderdwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs”

한글윈도우 사용자만 감염한 Magniber 랜섬웨어 2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다.  [출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/ 자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다. [출처]: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/ Magniber 에서 GandCrab으로의

구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은  “유튜브 프리웨어 download” 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다. [그림-1] 구글 검색 페이지에 노출된 유포 사이트 아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시

9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다. – 유트브_프리웨어.js – 한글_windows_7_iso.js [그림-1] GandCrab

9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다. (기존) “eventvwr.exe” or “fodhelper.exe” -> “powershell.exe” -> “uninst.exe” (변경) “eventvwr.exe” or “fodhelper.exe” -> “powershell.exe” -> “cmd.exe” -> “uninst.exe” 아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를

안랩 ASEC은 GandCrab 제작자가 새로운 버전으로 업데이트를 한 것을 포착하였다. 제작자는 어제(9/24)를 기준으로 v5.0으로 업데이트 하였으며 바탕화면과 랜섬노트 그리고 확장자를 KRAB에서 임의의 5자리 문자열로 변경하였다. [그림-1] GandCrab v5.0 감염 배경화면 GandCrab에 감염 시 배경화면의 위의 그림처럼 변경되며, 2번째 줄에는 사용자의 컴퓨터 이름을 사용한다.  [그림-2] 변경된 랜섬노트 랜섬노트는 v4기준 텍스트 파일(.txt)에서

안랩 ASEC은 지난 9월 9일 “.SAVEfiles” 확장자로 암호화 하는 랜섬웨어가 유포된 것을 확인 하였다. 인터넷 브라우저를 통해 Drive by Download 로 유입된 것으로 추정되며 실행 시 일부의 경로를 제외하고 .exe, .dll 등 모든 확장자를 암호화 한다. [그림 1. 랜섬웨어 실행 과정] C2로 연결하여 key, Personal id 를 받아오지만 네트워크가 연결되지

안랩 ASEC 지난 8월 PDF 파일의 첨부 파일 형태로 IQY와 PUB 확장자 악성코드가 유포 중인 것을 확인하였다. 확인된 PDF 첨부 파일의 확장자에 대해서 간략히 설명하면, *.iqy 확장자는 엑셀에서 사용하는 인터넷 쿼리 파일 형식이고, *.pub확장자는 MS Office의 Publisher와 관련된 프로그램의 확장자이다. 다음 [그림 1]과 [그림 2]는 IQY, PUB 악성코드가 첨부된 PDF