Bitsadmin

Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지

지난 6월 26일 “RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)“라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다. https://asec.ahnlab.com/1338 아래의 코드가 실제 해당 랜섬웨어 유포에 사용된 코드이다. Powershell, bitsadmin 및 FTP를 이용한 외부파일 다운로드 기능을 사용하였다.  [유포 자바스트립트 파일1] [유포 자바스크립트 파일2] 각각의 유포 스크립트에서 파일 다운로드 시, 파일마다 같은 다운로드 주소를 사용하지만 다운로드 된 파일을 저장할 때에는 각각 다른 이름으로 저장된다….