전체 글보기1301 V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.3) 현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다. [그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3) 기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다. [그림-1]의.. 2018. 10. 12. 주의! GandCrab v5.0.3 등장 안랩 ASEC은 GandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다. 유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다. [그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3) [그림-2] GandCrab v5.0.3 감염 배경화면 상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다. [그림-3] GandCrab V5.0.3 랜섬노트 랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다. [그림-4] GandCrab 내부 버전 내부 버전도 5.0.3으로.. 2018. 10. 11. V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.2) 현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다. [그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2) 현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.- wmic.exe -> cmd.exe -> runas.exe [그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다. [그림-2] 언인스톨 행위관련 프로세스 구조 자사에서는 이러한 행위변화와 관련하여 아래와.. 2018. 10. 10. Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단) @echo offpowershell -Command "&Add-MpPreference -ExclusionPath ""%appdata%\Windows Defender"""wscript.exe "%appdata%\Windows Defender\dwge0E7M515s6FzFXS8pkbX9I5M6.. 2018. 10. 5. GandCrab도 한국을 타깃으로? 한글윈도우 사용자만 감염한 Magniber 랜섬웨어 2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. [출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/ 자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다. [출처]: https://blog.malwarebytes.com/.. 2018. 10. 3. 주의! GandCrab v5.0.2 국내 유포중 (2018.10.02) 구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은 "유튜브 프리웨어 download" 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다. [그림-1] 구글 검색 페이지에 노출된 유포 사이트 아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시 ZIP 형식의 압축파일(유튜브_다운로드.zip)이 다운로드됨을 알 수 있다. 아래 사이트는 최초 접속시에만 보여지는 화면이며, 재 접속시에는 다른 페이지로 전환되는 것을 볼 때, 제작자에 의해 의도된 현상으로 추정된다. [그림-2] 다운로드 받은 ZIP 압축파일 [그림-3] 동일 사이트 재.. 2018. 10. 2. WMIC를 이용한 V3 Lite 제거기능의 GandCrab v5.0.1 등장 9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다. - 유트브_프리웨어.js- 한글_windows_7_iso.js [그림-1] GandCrab v5.0.1 감염시 사용자에게 보여지는 랜섬노트는 HTML형식에서 TXT형식으로 다시 변경되었으며, 랜덤한 5바이트 고정길이 확장자에서 랜덤길이로 변경되었다. 아래의 [그림-2]는 v5.0.1에 감염 후 .. 2018. 10. 1. V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0) 9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다. (기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe" 아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다. [그림-1] 언인스톨 방식의 변.. 2018. 9. 27. 이전 1 ··· 25 26 27 28 29 30 31 ··· 163 다음
