새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어

ASEC 분석팀은 JS형태로 유포되는 BlueCrab 랜섬웨어의 감염 과정에서 큰 변형이 발생한 것을 확인하여 관련 내용을 공유하고자 한다. JS.BlueCrab 랜섬웨어는 다운로드 페이지를 위장한 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취하여 다수의 악성 게시글을 업로드 하며 해당 악성 게시글에 접속 시 다음과 같이 다운로드 페이지로 위장한 피싱 페이지가 출력된다. 각 게시글마다 키워드를 다르게 하여 사용자의 악성코드 다운로드를 유도한다. 모니터링 과정에서 다음 그림처럼 외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다.

 

[그림 1] 다양한 언어의 피싱 페이지

 

[그림 2] 피싱페이지로 부터 다운로드된 악성 JS파일

피싱 페이지에서 다운로드된 .JS 파일은 BlueCrab 랜섬웨어를 다운로드하여 실행하는 스크립트로 해당 스크립트에 대한 설명은 아래 블로그에 기술되어 있다.

빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe)

 

피싱페이지와 그로부터 다운로드되는 JS파일의 구조는 크게 달라지지 않았지만 C2로부터 다운로드 받은 스크립트의 큰 변화가 발생하였는데, 다음과 같이 크게 3단계로 나눌 수 있다.

 

• 1. 레지스트리에 악성 바이너리 삽입
• 2. 환경 변수에 (1.)을 실행하는 명령어 삽입
• 3. (2.)를 실행하는 명령어를 자동실행 등록 후 실행

 

[그림 3] 레지스트리 악성 바이너리 삽입 스크립트

 

[그림 3] 스크립트가 동작하면 다음 [그림 4]와 같이 HKCU\Software\[컴퓨터이름+"0"]\ 경로에 악성코드 바이너리가 추가된다. 스크립트를 분석해 보면 "HKCU\Software\" 경로에 [컴퓨터이름+"0"] 이름의 키가 없을 경우에만 동작하도록 구성되어있다. 따라서 해당 값을 임의로 추가해 놓는다면 킬스위치로서의 역할이 가능하다.

 

[그림 4] 레지스트리에 삽입된 악성 바이너리

 

[그림 5] 환경 변수에 명령어 삽입 및 추가 명령어 실행 스크립트

 

[그림 5]의 스크립트가 실행되면 환경변수에는 다음과 같이 레지스트리에 작성된 바이너리를 읽어 메모리에 로드하는 명령어가 삽입된다. 또한 이를 실행하는 명령어가 자동실행 등록되어 재 부팅 시에도 랜섬웨어가 실행되어 감염된다.

 

[그림 6] 환경변수에 삽입된 악성 명령어

 

[그림 7] 자동실행 등록된 악성 명령어

 

결과적으로 [그림 6]의 명령어로 인해 레지스트리에 삽입된 악성 PE 바이너리가 실행되는데, 아래 [그림 8]은 해당 바이너리를 디컴파일러를 통해 확인한 결과이다. (1)에서 반복문을 돌며 실행을 지연시킨 후 (2)에서 특정 문자열을 치환하여 추가 PE 바이너리를 생성한 뒤 이를 실행한다. 실행되는 바이너리는 Delphi로 빌드된 실행파일이며, 내부 BlueCrab 바이너리를 로드하는 역할을 수행한다.

 

[그림 8] 실행되는 악성 PE

 

최종적으로 로드되는 DLL에서는 다음과 같이 특정 유명 해외 분석가(kremez, Hasherezade)를 모욕하는 문자열이 포함되어 있다. 악성 행위와는 관련이 없는 코드이기 때문에 공격자가 메시지를 전달하기 위해 의도적으로 추가했을 것으로 판단된다. 

 

[그림 9] DLL 내부 문자열

관련 문자열

- "Kremez and hszrd fuckoff.txt"

- "polish prostitute"

 

일반적인 경우 암호화를 수행하는 Powershell은 일반 유저 권한으로 실행되는데, Powershell이 관리자 권한이 아닐 경우 다음과 같이 관리자 권한을 요구하는 UAC메시지가 출력된다. "아니요"를 눌러도 곧바로 UAC메시지가 무한히 재 팝업되기 때문에 사용자 입장에서는 강제 재부팅을 시도할 수 밖에 없다. 만일 이러한 경우라면 안전모드로 부팅하여 레지스트리 자동실행 키를 지워주어야 한다.

 

[그림 8] UAC 메시지

 

이후 Powershell.exe에 인젝션된 랜섬웨어는 암호화 작업을 수행하며 작업 디렉토리마다 아래와 같이 [랜덤]+readme.txt 파일을 생성한다. 암호화 작업이 완료되면 다음과 같이 바탕화면을 변경한다.

 

[그림 9] 파일 암호화 및 readme 파일 생성

 

[그림 10] 변경된 바탕화면

 

과거 사례를 볼 때 공격자는 AV의 진단을 우회하기 위해 다양하게 변형을 시도할 가능성이 높다. ASEC 분석팀은 해당 공격을 지속적으로 모니터링 중이며, 여러 포인트에 걸쳐 다양한 진단을 반영 중이다. 따라서 사용자는 반드시 백신의 실시간 감시를 켜 둘 것을 권장하며 항상 최신 엔진 버전으로 유지해야 한다. 또한 프로그램 등을 다운로드 할 때는 공식 홈페이지를 이용할 것을 권장한다.

 

 

[파일진단]

Ransomware/JS.BlueCrab.S1302
Ransomware/JS.BlueCrab.S1310

 

[행위진단]

Malware/MDP.Behavior.M3439

 

[메모리진단]

Ransomware.Win.BlueCarb.XM37

 

[IOC 정보]

a76150ca43f85a6983fd14f57253c6fa

hxxps://www.palomar.edu/telescope/2020/02/07/유튜브-영상-고화질-다운로드/

hxxps://edwardfberger.com/bien-zenker-allgemeine-vertragsbedingungen/

hxxps://specialedresource.com/search.php

hxxps://shopreduceri.ro/search.php

hxxps://spielsand-kaufen.com/search.php