Sodinokibi

V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지

V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다. Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal – User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation)– PowerShell (scripts, interactive use,…

BlueCrab 랜섬웨어, 기업 환경에서는 CobaltStrike 해킹툴 설치

ASEC 분석팀은 JS 형태로 유포되는 BlueCrab 랜섬웨어(=Sodinokibi, REvil) 감염 과정 중 특정 조건에서 CobaltStrike 해킹 툴을 유포하는 것을 확인했다. CobaltStrike 해킹툴은 원래 합법적인 목적으로 모의 해킹 테스트를 위해 제한적으로 사용된 툴이었으나, 최근 소스코드 유출 이후에 악성코드에서도 활발하게 사용 중이다. 최근 확인된 BlueCrab 랜섬웨어 유포 JS 파일에서는 기업 AD(Active Directory) 환경을 체크하여 기업 사용자의 경우, 랜섬웨어가 아닌 CobaltStrike 해킹툴이 설치되는 것이 확인되어 각별한 주의가 요구된다. BlueCrab 랜섬웨어는 가짜 포럼 페이지를 통해 다운로드되는 JS 파일로 유포되는 랜섬웨어로, 관련 내용으로 다음과 같이 여러…

지속적으로 탐지 우회를 시도 중인 BlueCrab 랜섬웨어

BlueCrab 랜섬웨어(=Sodinokibi Ransomware)는 국내 사용자를 대상으로 활발하게 유포되는 랜섬웨어로, 여러 검색 키워드를 활용하여 생성된 가짜 포럼 페이지를 통해 유포되는 것이 특징이다. 유포 페이지에서 다운로드 받은 JS 파일 실행 시 감염 프로세스가 시작된다. 해당 유포 페이지는 검색엔진의 검색 결과 상위에 노출되어 사용자의 접근이 쉽기 때문에 꾸준하게 많은 사용자들의 감염이 보고되는 중이다. ASEC 분석팀은 해당 랜섬웨어와 관련된 다양한 포스팅을 게시하고 있다. 새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어 BlueCrab 랜섬웨어 유포 사이트 공개 (2) BlueCrab 랜섬웨어는 AV를 우회하기 위해 활발하게 변형을 만들어 내는데,…

BlueCrab 랜섬웨어 유포 사이트 공개 (2)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 이전 포스팅: 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로…

BlueCrab 랜섬웨어 유포 사이트 공개 (1)

“JS.BlueCrab” 랜섬웨어는 국내 사용자를 타겟으로 유포되는 랜섬웨어로 해외에서는 “Sodinokibi”로 불린다. ASEC분석팀은 해당 랜섬웨어를 지속적으로 모니터링 및 대응 중이며 굵직한 변형이 발생할 때마다 관련 정보를 게시하고 있다. 본 포스팅에서는 유포 사이트에 대한 간략한 설명과 자체적으로 수집 중인 다수의 유포 사이트 URL을 공개한다. 이후 수집한 URL에 대해서도 지속적으로 블로그를 통해 공개할 예정이다. 해당 랜섬웨어는 악성파일 다운로드 및 실행을 유도하는 “가짜 포럼 페이지”를 통해 유포되는 것이 특징이다. 가짜 포럼 페이지는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로 부터 로드된다….