본문 바로가기
악성코드 정보

SEON 랜섬웨어 주의 (Fileless 형태)

by 분석팀 2018. 11. 16.

안랩 ASEC은 Powershell로 동작하는 SEON 랜섬웨어를 발견하였다. 해당 방식은 7월에 발견된 "파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 "(http://asec.ahnlab.com/1141)와 동일하게 파일리스(Fileless)로 동작한다.


Greenflash Sundown Exploit Kit 을 통해 악성 스크립트가 동작하면서 SEON 랜섬웨어가 실행된다. [그림 1]과 같이 악성 스크립트는 Base64 와 Gzip으로 내부 스크립트가 한번 더 암호화 되어있다.


[그림 1] 악성 스크립트


내부 스크립트를 풀면 [그림 2]와 같이 디코딩 루틴(rc4)과 파일을 다운로드 받는 URL을 확인 할 수 있다.


[그림 2] 그림 1 을 복호화 한 스크립트 일부


다운로드를 받은 인코딩 된 바이너리가 풀리면 Shell Code + SEON 랜섬웨어임을 알 수 있다.


[그림 3] 인코딩 된 Binary 

[그림 4] 디코딩 된 Binary (Shellcode 와 PE)


암호화가 되면 확장자는 .FIXT로 변경되고, YOUR_FILES_ARE_ENCRYPTED.TXT 파일을 생성한다.


[그림 5] 암호화 된 파일


[그림 6] YOUR_FILES_ARE_ENCRYPTED 내용


실제로 Powershell 형태로 동작하여 메모리에서만 동작하고 파일로 생성되지 않아 사용자의 주의가 필요하다. 신뢰할 수 없는 사이트 접근은 자제하며 OS 보안 업데이트 및 Anti-Virus제품 최신 업데이트를 통해 감염 예방을 해야한다.


V3제품에서는 아래와 같이 진단하고 있다.


SEON RANSOMWARE : Malware/Gen.Generic (2018.10.25.00

Malware Script : Powershell/Seoncrypt (2018.11.16.00)

Encrypted Binary: BinImage/EncPE (2018.11.16.00)

행위탐지 : Malware/MDP.Ransom.M1996

댓글