전체 글보기1301 파워쉘을 이용하여 유포 중인 GandCrab v4.4 (Kill-Switch) 안랩 ASEC은 지난 8/29일 “자바스크립트 내에 포함된 GandCrab 랜섬웨어”에 대해 분석 정보를 블로그에 게시하였으며 랜섬웨어 실행하는 2가지 방식 중 내부에 암호화된 형태로 포함된 갠드크랩은 4.3 버전이고, 파워쉘을 통한 다운로드(http://pastebin.com/raw/***) 방식에 의해 구동되는 갠드크랩의 버전은 4.4임을 확인할 수 있었다. (참고: http://asec.ahnlab.com/1152) 4.4버전은 파일리스(Fileless)로 동작한다는 것 이외에 현재까지 알려진 갠드크랩과 기능이 전체적으로 유사하였으며, 특이사항으로 암호화 차단(Kill-Switch)기능을 수행하는 lock 파일 존재 여부를 확인하는 코드가 재등장하였다. 단, 기존의 고정된 이름과 달리 매일매일 lo.. 2018. 9. 3. 고정된 하나의 공개키를 사용하는 GandCrab v4.x 올해 초부터 등장한 GandCrab의 열기는 식을 줄 모르고있다. 지속적 변형으로 현재까지 v4.4로 업그레이드되어 유포 중임을 확인하였는데, 4버전 대의 GandCrab에서 특이한 점은 이전 버전들과 다르게 네트워크 통신이 없이도 파일 암호화를 수행한다는 것이다. 공개키를 사용하는 랜섬웨어에서는 C&C를 통해 피해 PC의 공개키를 공격자에게 전송하고, 그 키와 매칭이 되는 개인키는 공격자만이 알고 관리하는 방식이 보통이다. 그렇다면 ‘공개키를 공격자에게 전송하지 않는 GandCrab v4.x는 어떻게 공격자가 개인키를 관리할 수 있을까?’에 대한 의문을 시작으로 자사에서는 6월 말부터 확인 된 v4.x의 GandCrab(v4.0, v4.1, v4.1.2, v4.1.3, v4.2, v4.2.1, v4.3.. 2018. 8. 30. 자바스크립트 내에 포함된 GandCrab 랜섬웨어 (V3 제거유도) 안랩 ASEC 에서는 국내로 유포되는 갠드크랩 랜섬웨어의 유포과정을 모니터링 중 갠드크랩 유포 스크립트에서 V3 Lite 제품에 대해 제거(Uninstall)를 유도하는 기능을 발견하였다. (V3 Lite 제품만을 타겟으로 함)[그림 1] - 난독화된 스크립트 코드 유포 스크립트는 [그림 1]과 같이 난독화된 자바스크립트가 포함되어있으며, 난독화 해제 시 [그림 2]와 같은 자바스크립트의 메인 함수를 확인 할 수 있다.[그림 2] - 복호화된 스크립트 코드 [그림 2]에 복호화된 자바스크립트는 두 가지 방법을 통해 갠드크랩 랜섬웨어를 실행한다. 2번 항목의 파워쉘을 이용한 방법으로 다운로드되는 갠드크랩의 경로는 http://pastebin.com/raw/**** 형태로 확인되었다. (상세한 동작방식은 기.. 2018. 8. 29. 안랩 V3 Lite 제품 사용자를 공격하는 GandCrab v4.2.1 2018년 8월 1일 수집된 GandCrab(갠드크랩) v4.2.1 버전에는 안랩 V3 Lite 제품를 공격하는 기능이 추가되었다. 아래 부분은 GandCrab v4.2.1에서 이전 버전과 달라진 점이다.파일 외형 변경프로세스 할로잉을 통해 내부 핵심 GandCrab 파일 구동Anti-VM 기능 삭제V3 Lite 제품을 공격하는 코드 추가특히 이번 v4.2.1 GandCrab 에서 가장 특징적인 부분은 안랩 V3 Lite 제품을 공격하는 코드가 추가되었다는 점인데, 파일 암호화 이후에 해당 기능이 동작하도록 하였다. 2018년 8월 2일에 신규 수집된 GandCrab v4.3 에서도 위와 동일한 V3 Lite 제품 공격 기능이 확인되었으며, V3 Lite 최신 버전 3.3.46.2 부터는 해당 공격에 영.. 2018. 8. 13. 국내 원격 서버 접속 프로그램로 위장한 코인 마이너 유포 국내 터미널 연결 프로그램으로 위장한 가상 화폐 채굴 악성코드가 유포되고 있어 PC사용자들의 주의가 필요하다. 이 악성코드는 8월 1일부터 등장한 악성코드로 기존의 OLE취약점이나 매크로등 알려진 방법을 가지고 유포되며 윈도우의 기본 프로그램인 ‘wscript.exe’를 이용해 악성코드가 다운로드 된다. 다운로드된 악성코드는 기존 터미널로 위장하기 위해 ‘등록정보 내용’을 똑같이 만들어 일반 사용자들이 알아채기 어렵도록 만들었다. [그림 1.] 위장(좌)vs정상(우) 비교 뿐만 아니라 아래 ①번과 같이 리소스(.rsrc)섹션의 내용을 동일하게 만든 것을 확인할 수 있으며, [그림 2.] 정상과 악성의 리소스 섹션 정보 비교 악성의 ②번 부분에선 정상 프로그램의 Installer를 설치 시 생성되는 PE프.. 2018. 8. 10. 2018년 상반기 랜섬웨어 동향 지난 1분기와 다르게 2분기 랜섬웨어 유포방식과 감염형태는 사용자 및 안티 바이러스 업체를 전방위적으로 압박 하였다. 이러한 현상은 이후에도 이어질 전망이다. 피해가 많았던 랜섬웨어들의 유포방식과 감염형태의 변화는 다음과 같다. [표1] GandCrab 과 Magniber 유포방식 및 감염 형태 변화 국내 랜섬웨어 피해상황은 지난 분기 대비 샘플 및 감염보고 건수 모두 상승 하였다. 샘플 수량은 1분기 대비 11.8% 증가 하였고, 감염보고 건수는 15.7% 증가 하였다. 감염보고 건수는 아래 그래프에 나타난 대로 4월, 5월에 집중 되었으며 원인은 GandCrab 랜섬웨어로 확인 되었다. 샘플수량 건수는 3월, 4월 감소 하였는데 이는 Magniber 랜섬웨어의 유포 중단으로 확인 되었다. [그림1] .. 2018. 8. 8. 새롭게 등장한 GandCrab v4.2 (안티VM + RigEK) GandCrab(갠드크랩) 랜섬웨어는 진단을 회피하기 위해 파일 외형에 있어서 다양한 패커 사용을 통한 빠른 변화를 거듭하고 있으며, 지난 주 안랩 ASEC에서는 v4.0, v4.1, v4.1.2, v4.1.3 버전에 대한 암호화 차단(Kill-Switch) 툴을 ASEC블로그를 통해 배포하였다.(http://asec.ahnlab.com/1145) 해당 암호화 차단툴 배포 후, 등장한 v4.1.2 변종에서는 악성코드 내부에 자사에 대한 모욕적인 내용을 담고 있는 이미지 링크를 추가한 것과 함께 더 이상 차단 툴이 유효하지 않도록 관련 코드가 제거된 형태로 발견되었다.(http://asec.ahnlab.com/1146) 이후 국내 유포방식을 모니터링 하던 중 7월 24일부터는 RigEK(Rig Exploi.. 2018. 7. 24. 변종 GandCrab v4.1.2 내부에 등장한 AhnLab 문구와 이미지 자사에서는 지속적으로 업데이트되는 GandCrab 랜섬웨어의 내부 버전을 확인하여 그에 대한 대응을 신속히 하고있다. 오늘도 버전 업데이트 된 4.1.3이 확인되어 지난 블로그에 이에 대한 kill-switch가 가능한 툴도 즉각 새로 제작하여 업로드하였다. (http://asec.ahnlab.com/1145) 하지만 모니터링 중 지금까지 공유되었던 유형과는 다른 GandCrab이 발견되었는데, 이 유형은 특정 뮤텍스를 생성한다. 뮤텍스명 생성시 사용하는 스트링에 자사인 ahnlab만을 언급하고 있는 점이 눈에 띈다. "%X ahnlab http://memesmix.net/media/created/dd0doq.jpg" 스트링을 이용하여 기존과 같은 커스텀 salsa20 알고리즘으로 “Global\*.lo.. 2018. 7. 20. 이전 1 ··· 27 28 29 30 31 32 33 ··· 163 다음
