복호화 키를 포함한 CryptoWire 랜섬웨어 Posted By kwonxx , 2024년 3월 12일 AhnLab SEcurity intelligence Center(ASEC)은 2018년 유행하던 오픈 소스 기반으로 제작된 CryptoWire 랜섬웨어가 최근에도 유포중인 것을 확인하였다. CryptoWire 랜섬웨어는 주로 피싱 메일을 통해 유포되며, Autoit 스크립트로 제작된 것이 특징이다. 주요기능 해당 랜섬웨어는 “C\Program Files\Common Files” 경로에 자가 복제를 하고, 지속성 유지를 위해 작업 스케줄러를 등록한다. 파일 암호화의 확장을 위해서 로컬과 연결된 네트워크 환경을 탐색하여 바탕화면의 domaincheck.txt로 저장하고, 생성된 계정을 탐색한다. 추가적으로 복구방지를 위해 휴지통 삭제 및 볼륨쉐도우 카피 삭제를 수행한다. 암호화된 파일은 [기존파일명].encrypted.[기존확장자]의 형태이며, 파일 복호화를 위해서는 복호화 키를 구매해야한다는 창을…
이력서를 사칭하여 유포되는 LockBit 랜섬웨어와 Vidar InfoStealer Posted By kwonxx , 2023년 11월 3일 이력서를 사칭하여 유포하는 방식은 LockBit 랜섬웨어의 대표적인 유포 경로이다. 이와 관련된 내용은 올해 2월 ASEC 블로그를 통해 공유된 바가 있으며,[1] 최근에는 LockBit 랜섬웨어만 유포되던 것과 다르게 정보 탈취형 악성코드를 포함하여 유포 중인 정황을 확인하였다.[2] ‘이력서16.egg’ 내부에는 PDF파일을 위장한 LockBit 랜섬웨어(좌)와 PPT파일을 위장한 Vidar 인포스틸러(우)가 존재하였다. 실행되는 랜섬웨어는 LockBit 3.0 버전으로 사용자 PC 환경의 PE 파일을 제외하고 파일을 암호화한다. LockBit 랜섬웨어와 함께 유포되는 Vidar 인포스틸러는 C2 통신 이전에 텔레그램 웹 사이트에 접속한다. 해당 사이트는 “twowheelfun” 채널로 해당 페이지에 명시되어 있는 문자열을…
Magniber 랜섬웨어의 유포 중단 (8/25 이후) Posted By Bellyoon , 2023년 10월 5일 AhnLab Security Emergency response Center(ASEC)은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 8/3 매그니베르가 사용하는 인젝션 기법의 차단룰 배포 이후 아래와 같이 블로그를 공개하였다. 이 후 매그니베르 제작자는 여러가지 탐지 우회 테스트를 진행하며 수량이 줄다가 8/25일자 기준으로 매그니베르 랜섬웨어의 유포 중단 을 확인하였다. 2016년 매그니베르가 세상에 처음 등장하고 나서 이렇게 긴 시간동안 유포를 중지하고 휴식을 가져간 기간은 없었다(통상 2주에서 한달안에 새로운 기법으로 탐지를 우회하여 재배포 시작). 탐지룰에 수량 그래프는…
매그니베르 랜섬웨어의 인젝션 V3 탐지 차단(Direct Syscall Detection) Posted By ohmintaek , 2023년 8월 3일 매그니베르(Magniber) 랜섬웨어는 높은 유포건수를 보이며 꾸준히 유포되고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 보안 업데이트 패키지(ex_ERROR.Center.Security.msi)로 파일명을 위장해 유포되고 있다. 현재 매그니베르 랜섬웨어(Magniber)는 실행중인 프로세스에 랜섬웨어를 주입하여 실행중인 프로세스가 사용자의 파일을 암호화하는 피해를 발생시킨다. 해당 글을 통하여 현재 유포되고 있는 매그니베르 랜섬웨어의 감염 흐름 과 랜섬웨어 주입방식 및 새로운 탐지 기법(Direct Syscall Detection)에 대해 설명한다. [그림 1]은 매그니베르 랜섬웨어의 감염…
BlackBit 랜섬웨어와 유사한 LokiLocker 랜섬웨어 국내 유포 중 Posted By kwonxx , 2023년 5월 9일 AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다. LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점 svchost.exe 위장 지난번 소개한 BlackBit 랜섬웨어의 경우에도 svchost.exe를 위장하였으며, 이번에 수집한 LokiLocker 랜섬웨어도 동일하게 svchost.exe를 위장하여 유포되는 특징이 있다. 동일 패커 사용 (닷넷 리액터) 분석을 방해하기 위해 닷넷 리액터를 활용하여 코드 난독화가 되어있다. 언패킹한 BlackBit 랜섬웨어를 보면, LokiLocker 랜섬웨어에서 파생된 악성코드인 점을 확인할 수 있다. 작업스케줄러…
