국내 사용자 대상 신종 랜섬웨어 확인 (.kname 확장자)

안랩  ASEC은 지난 5월 13일 자사의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)를 통해 새로운 랜섬웨어가 국내로 유포되고 있음을 확인하였다. 아직 알려지지 않은 이 랜섬웨어는 암호화 후 확장자를 .kname으로 변경하는 특징을 갖고 있으며, AhnLab 폴더를 암호화 제외 대상으로 하는 등 국내 사용자 환경을 타겟하여 유포하는 것으로 추정된다. 또한, ASD를 통해 확인된 결과 랜섬웨어 파일은 윈도우 정상 시스템 파일인 "regsvr32.exe" 를 통해 다운로드 되는 것으로 확인되었다.

 

다운로드 주소: http://86.106.102.162/k/kname.png

ASD(Ahnlab Smart Defense) 탐지내용

암호화 대상 확장자가 별도로 존재하지 않고, 아래의 암호화 제외 대상만 존재하는 특징을 갖는다.

 

[kname@protonmail.com] \Mozilla\Firefox\ \session\ \DVD Maker\ \Microsoft Games\ \bootmgr \BOOTSECT\NTUSER.DAT \ntuser.ini \Searches\ \Sample Music\ \Sample Pictures\ \Sample Videos\ \i386\ \intel\ \Intel\ \document.doc \hancom.hwp \image.jpg \Text.txt \Word.doc \Sheet.xls \Photo.jpg \Memo.txt \Hangeul.hwp \desktop.ini \boot.ini .lnk .url .dll .exe .ios .SYS .sys .cmd .kname \ntuser.dat \BOOTNXT AUTOEXEC.BAT autoexec.bat bootfont.bin NTDETECT.COM \ntldr \how_to_decrypt.txt \endendend \Windows\ \WINDOWS\ \Boot\ \Microsoft\ \Microsoft Help\ \Windows App Certification Kit\ \Windows Defender\ \ESET\ \ESTsoft\ \COMODO\ \Windows NT\ \Windows Kits\ \Windows Mail\ \Windows Media Player\ \Windows Multimedia Platform\ \Windows Phone Kits\ \Windows Phone Silverlight Kits\ \Windows Photo Viewer\ \Windows Portable Devices\ \Windows Sidebar\ \WindowsPowerShell\ \NVIDIA Corporation\ \MicrosoftNET\ \Internet Explorer\ \Kaspersky Lab\\McAfee\ \Avira\ \spytech software\ \sysconfig\ \Avast\ \DrWeb\ \Symantec\ \Symantec_Client_Security\ \system volume information\ \AVG\ \Microsoft Shared\ \Common Files\ \Outlook Express\ \Movie Maker\ \Chrome\ \Mozilla Firefox\ \Opera\ \YandexBrowser\ \ntldr\ \Wsus\ \ProgramData\ \Recovery\ \pagefile\ \netmeeting\ \Microsoft Security Client\ \svchost \Recycle \\!! \\$$ \\%% \AhnLab\

 

감염된 폴더마다 "how_to_decrypt.txt" 이름의 랜섬노트가 생성되며, 감염된 파일은 원본 파일명 앞에 이메일 계정("[kname@protonmail.com]")이 붙으며 ".kname" 확장자로 변경된다.

 

암호화 후 변경된 확장자

"how_to_decrypt.txt"  내용

ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과 아래의 실행 흐름도와 파일 다운로드 주소를 확인할 수 있다.

 

접속시도 URL

- http[:]//86.106.102.162/v.jpg?m=

- https[:]//curl.haxx.se/docs/http-cookies.html
- http[:]//86.106.102.162/k/svchostk.bmp
- http[:]//www.openssl.org/support/faq.html

 

cmdline 명령

- tAskkill /F /IM sqlwriter.exe
- tAskkill /F /IM mysqld.exe 

- tAskkill /F /IM httpd.exe
- tAskkill /F /IM w3wp.exe
- tAskkill /F /IM sqlservr.exe

-tAskkill /F /IM mysqld.exe&tAskkill /F /IM httpd.exe&tAskkill /F /IM sqlservr.exe&tAskkill /F /IM sqlwriter.exe&tAskkill /F /IM w3wp.exe &tAskkill /F /IM sqlagent.exe&tAskkill /F /IM oracle.exe&tAskkill /F /IM emagent.exe&tAskkill /F /Imysqld-nt.exe

- vssadmin delete shadows /all /quiet&vssadmin delete shadows /all /quiet

 

WMI 쿼리문

- SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = "sqlservr.exe")  
- SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = "w3wp.exe")  
- SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = "sqlwriter.exe")  
- SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = "mysqld.exe")  
- SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process WHERE ( Caption = "httpd.exe") 

 

라피트 분석 내용(1)

 

라피트 분석 내용(2)

안랩 V3 제품군에서는 아래의 화면과 같이 행위진단을 수행한다.

 

행위진단 화면

[파일진단]

Trojan/Win32.Agent (2019.05.14.08)

Trojan/Win32.Ransom (2019.05.14.07)

 

[행위진단]

Malware/MDP.Manipulate.M1659

Malware/MDP.Manipulate.M2117