악성코드 정보1153 GandCrab도 한국을 타깃으로? 한글윈도우 사용자만 감염한 Magniber 랜섬웨어 2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. [출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/ 자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다. [출처]: https://blog.malwarebytes.com/.. 2018. 10. 3. 주의! GandCrab v5.0.2 국내 유포중 (2018.10.02) 구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은 "유튜브 프리웨어 download" 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다. [그림-1] 구글 검색 페이지에 노출된 유포 사이트 아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시 ZIP 형식의 압축파일(유튜브_다운로드.zip)이 다운로드됨을 알 수 있다. 아래 사이트는 최초 접속시에만 보여지는 화면이며, 재 접속시에는 다른 페이지로 전환되는 것을 볼 때, 제작자에 의해 의도된 현상으로 추정된다. [그림-2] 다운로드 받은 ZIP 압축파일 [그림-3] 동일 사이트 재.. 2018. 10. 2. WMIC를 이용한 V3 Lite 제거기능의 GandCrab v5.0.1 등장 9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다. - 유트브_프리웨어.js- 한글_windows_7_iso.js [그림-1] GandCrab v5.0.1 감염시 사용자에게 보여지는 랜섬노트는 HTML형식에서 TXT형식으로 다시 변경되었으며, 랜덤한 5바이트 고정길이 확장자에서 랜덤길이로 변경되었다. 아래의 [그림-2]는 v5.0.1에 감염 후 .. 2018. 10. 1. V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0) 9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다. (기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe" 아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다. [그림-1] 언인스톨 방식의 변.. 2018. 9. 27. 주의! 갠드크랩 v5.0 국내 유포중 안랩 ASEC은 GandCrab 제작자가 새로운 버전으로 업데이트를 한 것을 포착하였다. 제작자는 어제(9/24)를 기준으로 v5.0으로 업데이트 하였으며 바탕화면과 랜섬노트 그리고 확장자를 KRAB에서 임의의 5자리 문자열로 변경하였다. [그림-1] GandCrab v5.0 감염 배경화면GandCrab에 감염 시 배경화면의 위의 그림처럼 변경되며, 2번째 줄에는 사용자의 컴퓨터 이름을 사용한다. [그림-2] 변경된 랜섬노트 랜섬노트는 v4기준 텍스트 파일(.txt)에서 HTML파일로 변경되었으며 한글을 사용한다. 또한 랜섬노트 파일명도 KRAB-DECRYPT에서 [변경된 임의의 확장자]-DECRYPT로 변경되었다. [그림-3] 감염된 파일 상기 그림과 같이 파일 감염 시 확장자는 더이상 KRAB을 사용.. 2018. 9. 25. 사용자 몰래 V3 Lite 언인스톨하는 GandCrab v4.3 (*.js) 안랩 ASEC 에서는 국내로 유포되는 갠드크랩 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 최근 갠드크랩 랜섬웨어 유포 자바스크립트에서 V3 Lite 제품을 언인스톨하는 행위를 포착하였다. 8월 29일에 동일 내용으로 ASEC블로그(http://asec.ahnlab.com/1152)를 통해 V3Lite 언인스톨 기능을 처음으로 소개하였다. 당시 소개된 내용은 사용자에게 V3Lite 언인스톨 화면이 보여지고 클릭을 유도하는 방식이었지만, 현재 유포되는 파일은 언인스톨 화면을 숨기고(Hidden) 버튼 클릭까지 자동으로 이루어지는 방식이다. 즉, 자바스크립트 파일 실행 시 V3Lite 제품이 사용자 모르게 제거되고, 이후 갠드크랩 랜섬웨어가 생성/실행되는 구조로 고도화 되었다. [그림 1] - 난독화된 .. 2018. 9. 20. Nullsoft 설치파일 형태로 유포중인 GandCrab v4.3 안랩 ASEC은 9월 7일 배치파일(*.bat) 형태로 유포되는 Gandcrab에 대해 게시(블로그 링크)하였다. 이 때, 사용된 Gandcrab은 NSIS 외형으로 인젝션하여 동작한다고 간단하게 언급되었다. 이번 글에서는 이 NSIS(Nullsoft Scriptable Install System)외형을 가진 Gandcrab 동작 방식에 대해 설명한다. 먼저, 9월 6일 처음 발견된 NSIS 설치파일 내부에는 정상 이미지 파일들과 악성 *.bin 파일, 정상 System.dll 파일이 존재한다. [그림 1] NSIS 내부 파일들 설치파일 형태의 1차 악성 파일이 실행되면 %temp%경로에 [그림 1]과 같은 파일들을 드롭한다. 그리고, System.dll 이 CALL 호출과 함께 nonagenarians.. 2018. 9. 17. .SAVEfiles 확장자로 암호화 하는 신종 랜섬웨어 발견 안랩 ASEC은 지난 9월 9일 ".SAVEfiles" 확장자로 암호화 하는 랜섬웨어가 유포된 것을 확인 하였다. 인터넷 브라우저를 통해 Drive by Download 로 유입된 것으로 추정되며 실행 시 일부의 경로를 제외하고 .exe, .dll 등 모든 확장자를 암호화 한다.[그림 1. 랜섬웨어 실행 과정] C2로 연결하여 key, Personal id 를 받아오지만 네트워크가 연결되지 않은 환경이라면 내부에 하드코딩된 값을 이용한다.[그림 2. 내부에 하드코딩된 key, Personal id] 이 후 아래의 암호화 제외 경로를 제외한 폴더의 모든 확장자를 암호화 하여 .SAVEfiles 로 확장자를 변경한다. 암호화 제외 경로 C:\Windows\ C:\Program Files (x86)\Mozil.. 2018. 9. 11. 이전 1 ··· 24 25 26 27 28 29 30 ··· 145 다음
