본문 바로가기

악성코드 정보

악성 매크로 스크립트를 포함하고 있는 한글 HWP 주의 안랩 분석팀은 11월 16일(금) 악성 매크로 스크립트를 포함하고 있는 신규 한글 HWP 파일을 수집하였다. 최근 지속해서 발견되고 있는 악성 한글 파일이 EPS를 이용하고 있는 상황에서, 이번 한글 파일은 매크로 스크립트 방식을 다시 이용 하였다는 점이 독특하다. 매크로 스크립트를 포함한 악성 한글 파일은 2007~2008년에 유행하였다가 2015년에 다시 발견되는 등 비정기적으로 수집되고 있는데, 향후 이와 같은 방식의 한글 파일이 다시 많아질지 주목할 필요가 있다. [문서 정보]- 생성 날짜: 2018년 11월 8일 목요일 오전 12:21:49- 작성자: st454 제작자는 한글 문서를 실행했을 때 악성 스크립트가 바로 실행되도록 OnDocument_Open( ) 부분에 자바스크립트(JavaScri..
이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15) 11월 15일(목) 국내 사용자를 대상으로 입사 지원서를 가장한 갠드크랩 랜섬웨어 유포 시도가 확인되었다. 이메일을 통해 유포되고 있으며, 첨부파일이 아닌 외부 링크를 통해 *.DOC 형식의 문서를 다운로드 받도록 유도한다. 다운로드 받은 워드 문서파일에 포함된 악성 매크로 코드에 의해 갠드크랩 랜섬웨어가 다운로드 및 실행되는 구조이다. 아래의 [그림-1]은 11월 15일에 유포된 이메일의 내용이며, 이력서 다운로드 클릭 시 "donghakacademy.ddns.net/KIMJYONG.doc" 파일을 다운로드 받는다. [그림-1] 이메일 내용 메일을 보낸사람은 "kimjyoong1121@soojawonpicture.com"으로 되어있으며, 실제 서비스되는 도메인이 아닌 것으로 확인되었다. 아래의 [그림-..
SEON 랜섬웨어 주의 (Fileless 형태) 안랩 ASEC은 Powershell로 동작하는 SEON 랜섬웨어를 발견하였다. 해당 방식은 7월에 발견된 "파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 "(http://asec.ahnlab.com/1141)와 동일하게 파일리스(Fileless)로 동작한다. Greenflash Sundown Exploit Kit 을 통해 악성 스크립트가 동작하면서 SEON 랜섬웨어가 실행된다. [그림 1]과 같이 악성 스크립트는 Base64 와 Gzip으로 내부 스크립트가 한번 더 암호화 되어있다. [그림 1] 악성 스크립트 내부 스크립트를 풀면 [그림 2]와 같이 디코딩 루틴(rc4)과 파일을 다운로드 받는 URL을 확인 할 수 있다. [그림 2] 그림 1 을 복호화 한 스크립트 일부 다운로드를 받은 인코딩..
[주의] 복구 불가능한 GandCrab v5.0.4 국내 유포 중 주말 사이 GandCrab 제작자는 Bitdefender의 복구 툴을 우회하기 위하여 v5.0.4를 배포하였다. 금일 수집된 v5.0.4로 복구 시도 시 다음과 같이 실패하게 된다. [그림-1] GandCrab v5.0.4감염 시스템 복구 실패 화면 또한 V3 Lite제품에 대한 삭제 행위도 자사 행위 탐지 우회를 위해 기존과 다른 방식으로 변경되었다. [그림-2] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.4) 행위 주체를 WMIC.exe에서 cscript.exe로 변경하였으며 [그림-2]의 코드가 실행 시 아래와 같은 프로세스 구조로 실행된다. [그림-3] 언인스톨 행위 관련 프로세스 구조 여전히 사용자의 검색어 관련된 제목의 압축파일을 다운로드 유도 후 실행 방식으로 유포되고 있는 ..
GandCrab v1, v4, v5 복구툴 배포 (Bitdefender) 어제인 10월 25일 Bitdefender에서 GandCrab 버전 1, 4, 5에 대한 복구툴을 배포하였다. 해당 복구 툴은 아래 Bitdefender 페이지에서 다운로드 할 수 있으며, 자사에서 확인한 결과 지역에 상관없이 위 버전으로 암호화 된 모든 파일이 정상적으로 복구될 수 있음을 확인하였다. (국내 사용자에게도 유효) - https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/ 자사에서 이전에 GandCrab의 암호화 방식을 설명하였던 게시글의 내용처럼 GandCrab 버전 4, 5는 랜섬노트 내부에는 파일 복구를 위한 핵심 키인..
시리아 지역을 대상으로한 GandCrab 복구툴 배포 지난 10월 17일 컴퓨터 보안 및 기술 관련 정보를 제공하는 해외 리소스 사이트 Bleeping Computer에서 시리아 희생자를 위해 GandCrab 제작자가 키를 공개하였다는 기사를 업로드하였다. - https://www.bleepingcomputer.com/news/security/gandcrab-devs-release-decryption-keys-for-syrian-victims/ 자사 블로그(http://asec.ahnlab.com/1153)에서 언급하였듯이 GandCrab에 암호화 된 파일들은 공격자의 개인키를 알아야 복호화를 진행 할 수 있으며, [그림1]처럼 공격자는 파일 복호화를 위해 지불한 피해 사용자에게 자신만이 알고 있는 키 쌍을 통해 사용자의 개인키를 제공하여 복호화를 진행 할..
V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.3) 현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다. [그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3) 기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다. [그림-1]의..
주의! GandCrab v5.0.3 등장 안랩 ASEC은 GandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다. 유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다. [그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3) [그림-2] GandCrab v5.0.3 감염 배경화면 상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다. [그림-3] GandCrab V5.0.3 랜섬노트 랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다. [그림-4] GandCrab 내부 버전 내부 버전도 5.0.3으로..
V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.2) 현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다. [그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2) 현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.- wmic.exe -> cmd.exe -> runas.exe [그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다. [그림-2] 언인스톨 행위관련 프로세스 구조 자사에서는 이러한 행위변화와 관련하여 아래와..
Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단) @echo offpowershell -Command "&Add-MpPreference -ExclusionPath ""%appdata%\Windows Defender"""wscript.exe "%appdata%\Windows Defender\dwge0E7M515s6FzFXS8pkbX9I5M6..