본문 바로가기

악성코드 정보

해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) Clop 랜섬웨어에 대한 국내 피해사례가 증가하는 상황에서 아직까지 정확한 유포방식이 확인되지 않고 있었다. 다만, 랜섬웨어 피해 시스템들을 확인 결과 취약한 윈도우 계정정보 탈취를 통해 시스템이 장악된 상태에서 랜섬웨어가 구동된 것을 알 수 있었다. 안랩 ASEC은 이번에 Clop 랜섬웨어를 추적하는 과정에서 Ammyy 라는 이름의 원격제어 해킹툴과 동일한 인증서로 유포된 정황을 포착하였다.ASEC블로그 사례 - 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 [ https://asec.ahnlab.com/1197 ] - 국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 [ https://asec.ahnlab.com/1198 ] - ‘CLOP’ 랜섬웨어 ‘CIOP’로 이름 변경 (제작자의 ..
닷넷(.NET) 외형으로 유포되는 GandCrab 랜섬웨어 v5.2 안랩 ASEC은 2019년 3월 6일 갠드크랩 v5.2가 닷넷(.NET) 외형으로 유포되고 있음을 확인하였다. 최근 국내에 활발하게 유포 중인 갠드크랩은 주로 UPX로 실행 압축된 형태이지만, 이번에 확인된 파일의 경우 갠드크랩이 닷넷으로 제작 및 유효하지 않은 가짜 인증서까지 포함하고 있다는 것은 특이한 경우이다. [그림 1] 닷넷 외형 갠드크랩의 유효하지 않은 인증서 정보 이점은 갠드크랩 제작자가 백신 탐지를 우회하기 위해 UPX 실행 압축 형태, 닷넷 외형 등 다양한 파일 외형으로 유포하고 있음을 의미한다. 닷넷 외형의 갠드크랩은 아래 [그림 2]와 같이 Sleep 함수 호출을 통한 실행 지연 코드를 포함하고 있다. 이는 갠드크랩의 실행 시간을 지연시켜 샌드박스 탐지를 회피하기 위한 목적으로 보인다..
'CLOP'랜섬웨어 'CIOP'로 이름 변경 (제작자의 농간?) 안랩 ASEC에서는 2019년 3월 3일 CLOP랜섬웨어의 감염 확장자가 Clop (CLOP) 에서 CIop (CIOP) 로 변경된 것을 확인하였다.2월 15일 CLOP 랜섬웨어 : 국내 사용자를 대상으로 한 CLOP랜섬웨어 유포(https://asec.ahnlab.com/1198)이전과 동일하게 암호화 제외 목록을 갖고 있지만 빨간 박스 부분이 CLOP에서 CIOP로 변경됨을 알 수 있다. 이러한 변화는 암호화 후 변경된 확장자를 기반으로 탐지하는 백신을 우회하기 위한 행위로 추정된다.[그림 1] 2월 15일자 암호화 제외 파일 (CLOP)[그림 2] 3월 3일 암호화 제외 파일 (CIOP)Clop 랜섬웨어는 서비스로 등록되어 동작하며 실행 된 경로에 HotGIrls 이름을 가진 파일을 만든다. 그리고..
멀버타이징 방식에 의한 매그니베르와 갠드크랩 중복감염 작년 3월 안랩 ASEC에서 Magniber 복구툴 배포 후 멀버타이징(Malvertising) 방식으로 유포하던 공격자는 Magniber가 복구가 불가능하게 변경되기 전까지 GandCrab 랜섬웨어로 교체하여 유포한 이력이 있다. (https://asec.ahnlab.com/1128)하지만 현재 멀버타이징 방식으로 각기 다른 익스플로잇 킷(Magnitude EK, FallOut EK)에 의해 Magniber와 GandCrab이 모두 유포되고 있는 것을 포착하였다. 보안에 취약한 페이지 방문 시 여러 개의 랜딩페이지가 연결되며 이미 암호화 된 파일이 다른 랜섬웨어로 다시 암호화 되는 현상이 발생하고 있어 사용자의 각별한 주의가 필요하다.멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(..
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 최근 활발히 유포되고 있는 Gandcrab 랜섬웨어에서는 동적 분석 장비를 우회하기 위한 코드가 삽입되어 있다. 이로 인해 동적 분석 장비에서 제대로 동작하지 않고 종료되거나 시간 지연을 통해 분석에 다수의 시간이 소요되도록 하여 탐지를 우회 하고 있다.현재 확인된 동석 분석 장비 우회 코드는 아래와 같다.- SetErrorMode 함수를 통한 Anti-Sandbox- SetTimer 함수를 통한 시간 지연1. SetErrorMode 함수를 통한 Anti-Sandbox먼저 Gandcrab 에서 주로 사용하는 Packer 에서는 [그림-1]과 같이 SetErrorMode 함수를 활용하여 Cuckoo Sandbox를 우회 하도록 하는 코드가 존재한다.[그림-1] SetErrorMode를 통한 Anti-San..
[주의] '2차 북미정상회담' 내용의 한글취약점 문서 안랩 ASEC은 곧 이루어질 2차 북미정상회담과 관련된 내용의 한글 EPS(Encapsulated PostScript) 취약점 악성 문서 파일이 유포되고 있는 정황을 포착하였다. EPS 파일을 이용한 악성 한글 HWP문서에 대한 상세한 취약점 정보와 보안 업데이트 정보는 아래의 포스팅을 참고하면 된다.- https://asec.ahnlab.com/1181 (제목: [주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수) - 2018.11.22 [그림-1] EPS 취약점 한글파일 내용해당 파일은 내부 취약점이 있는 EPS 개체를 포함하고 있어 보안에 취약한 환경에서 파일을 열람할 시, Internet Explorer 브라우저(iexplore.exe)에 인젝션(Injection)을 수행하여 ..
GandCrab 랜섬웨어 v5.2 국내 유포 중 (복구불가) 안랩 ASEC은 2019년 2월 20일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.2를 발견하였다.Gandcrab v5.2 는 어제 BitDefender 에서 공개한 Gandcrab v5.1 복구툴에 대응하여 단 하루만에 업데이트 된 버전으로, 확인결과 공개한 복구툴로 복구가 불가능 하여 사용자들의 주의가 필요하다. 2018년 10월 25일에도 이와 유사하게 BitDefender에서 Gandcrab에 대한 복구툴을 배포한 후, 바로 복구가 불가능한 변종이 나왔던 사례가 있다.- https://asec.ahnlab.com/1173 (GandCrab v1, v4, v5 복구툴 배포 (Bitdefender)) - 2018.10.25- https://asec.ahnlab.com/..
국내 인터넷 뉴스 사이트 통한 랜섬웨어 유포 (Greenflash Sundown EK) 최근 국내 인터넷 뉴스 사이트를 통해 선(SEON) 랜섬웨어 및 사용자 정보유출 악성코드에 감염될 수 있어 사용자의 주의가 필요하다. 인터넷 뉴스를 보는 가장 쉽고 편리한 방법은 포털 사이트(Portal Site)의 뉴스 서비스를 이용하는 것이다.[포털 사이트(Portal Site)]사용자가 인터넷상에서 다른 서비스를 이용하기 위해 사용하는 사이트를 의미하며 검색, 이메일, 뉴스 등의 다양한 서비스를 제공인터넷 사용자가 포털 사이트(네이버, 다음, 네이트 등)의 뉴스 서비스를 이용하던 중 아웃링크(Outlink)를 클릭할 경우 랜섬웨어에 감염될 수 있다.[아웃링크(Outlink)]포털 사이트나 검색 엔진에서 검색한 정보를 클릭하면 해당 정보를 제공한 원본 사이트로 연결하여 결과를 보여주는 방식[그림 1]..
국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 안랩 ASEC은 지난 2019년 2월 15일 국내 사용자를 대상으로 한 CLOP 랜섬웨어를 발견하였다. 국내 사용자에 피해가 증가하고 있어 주의가 요구된다. CLOP랜섬웨어는 파일 암호화전에 일부 프로세스를 찾고 강제로 종료시킨다. 이는 랜섬웨어의 파일 암호화때 보다 많은 대상을 암호화 시키기 위해서 인 것으로 추정된다. 프로세스 종료대상은 아래 그림과 같다. [그림 1] 강제종료 프로세스 목록 CLOP랜섬웨어는 일부 경로와 파일들을 암호화 대상에서 제외한다. 제외되는 경로와 파일은 아래 그림과 같다. [그림 2] 암호화 제외 경로 [그림 3] 암호화 제외 파일 CLOP랜섬웨어는 공격자의 공개키가 파일내부에 포함되어 있으며, 파일 암호화시 사용된다. [그림 4] 랜섬웨어 공격자의 공개키 암호화된 파일은 ..
국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 최근 국내 사용자를 대상으로 하는 악성 문서 파일이 유포 중이다.이 문서 파일은 최종적으로 "Flawed Ammyy" 라고 불리는 RAT(Remote Access Tool) 원격제어 기능의 백도어 악성코드를 사용자의 PC에 설치하는데, 해당 악성코드는 작년에도 스팸 메일의 첨부 파일 형태로 유포된 이력이 있다. 작년의 사례를 보면 스팸 메일 자체는 영어로 작성되어 있었지만, 악성코드가 검사하는 백신 프로그램 이름 중에 안랩의 V3가 포함되어 있어서 국내 사용자도 대상에 포함될 수 있다는 사실을 추정할 수 있었다. 하지만 최근 접수된 샘플의 경우 직접적으로 국내 사용자를 대상으로 엑셀 문서 파일을 한글로 작성하여 유포되었다는 점이 차이점이라고 할 수 있다.또한 악성 exe 파일을 직접적으로 다운로드 받는 ..