본문 바로가기

악성코드 정보

스팸메일을 악용한 Crypter 계열 악성코드의 유포 및 동작 방식 문서 파일이나 압축 파일을 첨부하여 악성코드를 유포하는 악성 스팸메일 공격 방식은 과거부터 현재까지 꾸준하게 공격자들이 사용하는 악성코드 유포 방법의 하나다. 안랩 ASEC 분석팀은 다수의 고객으로부터 접수된 스팸메일을 분석한 결과 이메일에 첨부된 악성 문서 파일에서 다운로드된 파일들이 주로 Crypter 계열의 정보 유출형 악성코드(HawkEye, Nanocore, FormBook, Lokibot, Remcos)임을 확인하였다. Crypter 계열 악성코드는 암호 알고리즘을 사용하여 AV 시그니쳐 탐지를 어렵게 파일 내부에 악성코드를 암호화 상태로 저장한 악성코드를 말한다. 스팸메일에 첨부된 악성 문서 파일은 아래 [그림 2]처럼 사용자의 액션이 필요한 경우와 아닌 경우로 나눌 수 있다. [그림 2]와..
자바스크립트(*.js)로 유포되던 GandCrab 랜섬웨어... 새로운 랜섬웨어로 변경 안랩 ASEC 분석팀은 GandCrab 변형을 확인하기 위해 피싱 다운로드 페이지를 지속적으로 모니터링 하고있다. 이 과정에서 2019년 4월 29일 해당 피싱 사이트에서 유포되는 자바스크립트(*.js) 가 갠드크랩에서 새로운 랜섬웨어로 변경됨을 포착하였다. 해당 신규 랜섬웨어는 기존에 소개된 GandCrab v5.2과 같이 동일한 피싱 사이트([그림 1])에서 유포되고 있으며, 해당 서버를 통해 다운로드 받은 파일(.js) 내부에는 신규 랜섬웨어를 가지고 있다. 다운로드 받은 파일을 실행 시 V3가 설치되어 있다면 20분 간의 시간지연(Sleep() API) 후에 감염행위가 진행되는데, 이러한 유포 방식 및 시간지연 코드 그리고 아래에서 소개될 스크립트 파일까지 기존 GandCrab 랜섬웨어와 유사함을..
변형된 Salsa20 알고리즘을 사용하는 GandCrab 랜섬웨어 안랩 ASEC 분석팀에서는 쉼 없이 지속 유포 중인 GandCrab의 유포 방식과 변화되는 기능들에 대해서 지속 분석 및 대응하여 정보를 공유하고있다. 이 글에서는 지난 v4.x의 GandCrab kill-switch에 사용되었던 커스텀 된 Salsa20 알고리즘이 현재 유포 중인 v5.2 버전에서도 동일하게 파일 암호화에 쓰이고 있음을 알리고자 한다. - 커스텀 Salsa20 알고리즘이 사용됨을 최초 언급하였던 GandCrab v4.x 글 : https://asec.ahnlab.com/1145 - 가장 최근 버전의 암호화 방식에 대해 설명한 GandCrab v5.2 글 : https://asec.ahnlab.com/1220 v4.x의 kill-switch가 가능한 루틴이 제거되었기 때문에 지금은 kil..
MBR 감염기능의 코인마이너 국내 유포 중 (DarkCloud Bootkit) 안랩 ASEC은 지난 2월 국내외 보안 제품을 무력화 시키고 감염 시스템의 MBR(Master Boot Record)를 변조하는 코인마이너의 유포를 확인하였다. 해외에서 "DarkCloud Bootkit" 으로 이슈된 이 유형의 악성코드는 기존의 암호화폐 채굴형 악성코드와 달리 MBR을 감염시키는 기능을 갖고 있으며 "ZwCreateSection" API에 대한 패치를 통해 일반 사용자가 감염된 MBR코드를 확인할 수 없도록 하는 특징을 갖는다. 안랩 ASEC은 MBR 감염시도 시 행위탐지를 통해 방어를 수행하고 있으며, 확인결과 2019년 3월 20일 전,후로 MBR 감염에 대한 행위탐지 수가 급증한 것을 확인하였다. 물론 MBR 감염시도가 모두 "DarkCloud Bootkit" 악성코드에 의한 것으..
'GandCrab' 랜섬웨어와 'Amadey' 봇의 은밀한 관계 안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다. ASEC블로그 GandCrab 랜섬에어 관련 글 [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도 다음은 지난 4월 15일 수집 된 Amadey 샘플이다. C:\ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능..
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (3) 안랩 ASEC은 Gandcrab v5.2이 동적 분석을 우회하기 위해 계속해서 패치하고 있음을 포착하였다. - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) https://asec.ahnlab.com/1213 (2019.03.27) - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 https://asec.ahnlab.com/1202 (2019.02.27) 기존에 소개된 윗글에선 SetTimer(), GetCaretPos()등 과 같이 특정 API를 사용하였다면 최근엔 API가 아닌더미 코드를 이용하여 동적 분석 시간을 지연시킨다. 확인된 악성코드는 아래와 같이 콜백 함수(EnumChildWindows)를 이용하여 .data 섹션에 있는 코드가 실행된다. 콜백 함수가..
확장자 별 암호화 방식의 차이를 보이는 GandCrab v5.2 자사 블로그에서 이전 부터 언급해왔던 것처럼 GandCrab은 다양한 방식으로 유포 중이다. 지금까지 GandCrab은 버전을 업데이트하며 변화를 주어왔는데, 현재까지 확인되는 최신 내부 버전은 v5.2이다. 자사에서는 이 v5.2버전의 암호화 대상 확장자를 확인하는 방법과 이에 따라 암호화 방식이 이전 버전과 다르다는 것을 발견하였다. (기존에 공유 된 암호화 방식 : https://asec.ahnlab.com/1153) GandCrab v5.2는 확장자 리스트를 3가지 그룹으로 분리하여 관리 및 확인하는데, 그 구성은 아래와 같다. 위에 언급 된 것과 같이 첫 번째 확장자 리스트는 해당 확장자일 경우 암호화에서 제외하고 두 번째 확장자 리스트의 경우 사실상 내부 코드에서 비교 후 사용되어지는 부분이 ..
V3Lite 제품에 대한 진단 우회 시도 (GandCrab v5.2) 최근 갠드크랩 랜섬웨어는 악성 문서를 포함한 피싱 이메일, 유틸리티 피싱 다운로드 페이지 등으로 활발하게 유포되고 있다. 안랩 ASEC은 해당 유포방식을 모니터링 중 국내 백신에 대한 진단 우회 시도를 포착하였다. 해당 유포 스크립트는 지난 글에서 언급하였듯이 과거에 백신(V3Lite)을 종료시키는 무력화를 시도했던 이력이 있다. 새롭게 진단 우회를 시도하는 유포 악성코드는 자바스크립트(JS) 유형으로 과 같은 피싱 다운로드 페이지에서 유포된다. 지난 글 : ‘국내 백신에 대한 새로운 무력화 시도(GandCrab v5.0.4)’ (https://asec.ahnlab.com/1187) 해당 피싱 페이지로부터 다운로드된 유틸리티는 압축파일 형태(zip) 이며, 압축파일 내부에는 자바스크립트(JS) 파일이 존..
[주의] 국내 코인업체 대상 'Amadey' 악성코드 공격시도 안랩 ASEC은 최근들어 국내 코인업체를 대상으로 타겟하여 이메일 첨부파일(DOC, RTF, VBS, EXE 등 다양) 형태로 'Amadey' 이름의 악성코드 공격이 빈번하게 시도됨을 확인하였다. 현재까지 공격에 사용된 문서파일 및 실행파일의 이름은 다음과 같다. - Crypto Market Predictor for Desktop V2.13.exe - Price list on blockchain 24.03.2019.exe - Price list coins 26.03.19.bat - 주식회사 크립토???_세무조정계산서(추가).doc - ?토큰전망분석.doc - 추가안내서.hwp.exe - ??? 상세분석.doc - ????송금내역.doc - ??? 회원님 거래내역.doc - ??coin 관련 문의내용.do..
워드 문서파일 위장 악성 vbs 스크립트 유포 중 (BTS 화보집) 안랩 ASEC은 최근 국내 사용자를 대상으로 악성코드를 다운로드 받는 악성 vbs 스크립트 파일과 워드 문서 파일을 확인하였다. 공격자는 다음과 같이 “0328_크립토***”라는 이름을 갖는 압축 파일을 메일 첨부 파일로 유포한다. 압축 파일 내부를 보면 "주식회사 크립토***_세무조정계산서(추가).doc” 악성 문서 파일과, “참고사항.doc .vbs”라는 이름을 갖는 악성 vbs 스크립트가 들어있다. 악성 doc 파일은 아래와 같은 형태를 가지고 있는데 보통 매크로 활성화 버튼을 클릭하도록 유도하는 형태와 달리 아무런 내용이 존재하지 않는다. 아마도 이 문서 파일을 처음 읽는 입장에서 매크로를 활성화하지 않아 내용이 보이지 않는 것인가 하는 생각으로 활성화 버튼을 클릭하도록 유도하는 것으로 추정된다...