상단 서비스 목록

  • 다나와 앱

    다나와 앱 서비스 목록

    다나와 APP No.1 가격비교사이트 다나와 앱으로
    간편하게 최저가를 확인하세요.

    문자로 앱 설치 URL 받기

    - -

    QR코드

    가격비교
    닫기

블루크랩 랜섬웨어, 이번엔 어떻게 달라졌나?

IP
2020.10.30. 07:25:03
조회 수
313
7
댓글 수
16

* 출처는 안랩입니다.


* 다음은 기사내용중 일부입니다.


안랩 ASEC 분석팀은 자바스크립트(JS) 형태로 유포되는 블루크랩 랜섬웨어(JS.BlueCrab)의 감염 과정에서 큰 변형이 발생한 것을 확인했다. 이번 글을 통해 JS.BlueCrab 랜섬웨어의 변형 내용과 동작 과정에 대해 알아보고자 한다. 

 

  

 

JS.BlueCrab 랜섬웨어사용자의 다운로드를 유도하는 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취다수의 악성 게시글을 업로드하며, 해당 악성 게시글을 열면 다운로드 페이지로 위장한 피싱 페이지가 나타난다.이번에 발견된 공격은 각 게시글마다 키워드를 다르게 하여 검색 결과에 노출시킨 후 사용자의 악성코드 다운로드를 유도하는 것이 특징이며, [그림 1]처럼  외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다.

 

 

[그림 1] 다양한 언어의 피싱 페이지

 

피싱 페이지와 다운로드되는 자바스크립트 파일의 구조는 크게 달라지지 않았다. 하지만, 공격자 서버(C&C 혹은 C2)로부터 다운로드 받은 스크립트에 큰 변화가 발생했으며, 다음과 같이 크게 3단계로 나눌 수 있다.

 

1. 레지스트리에 악성 바이너리 삽입

2. 환경 변수에 (1.)을 실행하는 명령어 삽입

3. (2.)를 실행하는 명령어를 자동실행 등록 후 실행

 

  

[그림 2] 레지스트리 악성 바이너리 삽입 스크립트

 

[그림 2]의 스크립트가 동작하면 HKCU\Software\[컴퓨터이름+"0"]\ 경로에 악성코드 바이너리가 추가된다. 분석 결과, 이 스크립트는 "HKCU\Software\" 경로에 [컴퓨터이름+"0"] 이름의 키가 없을 경우에만 동작하도록 구성 되어있다.해당 값을 임의로 추가하면 킬스위치(기기 내 정보를 원격으로 삭제하는 것) 가능하다.

  

  

[그림 3] 레지스트리에 삽입된 악성 바이너리

 

 

[그림 4] 환경 변수에 삽입된 추가 명령어 실행 스크립트

 

[그림 4]의 스크립트가 실행되면 환경 변수에 레지스트리에 작성된 바이너리를 읽어 메모리로 로드하는 명령어가 삽입된다. 또한 명령어가 자동 실행되도록 등록되어 재부팅 시에도 랜섬웨어가 실행된다.

 

일반적인 경우, 암호화를 수행하는 파워셸(Powershell)은 일반 유저 권한으로 실행되며, 관리자 권한이 아닐 경우 해당 권한을 요구하는 사용자 계정 컨트롤(User Account Control: UAC) 메시지가 출력된다. [그림 5]와 같이 ‘아니요’를 눌러도 곧바로 UAC 메시지가 무한 재팝업되기 때문에 사용자 입장에서는 강제로 재부팅 할 수밖에 없다. 이와 같은 경우에는 안전모드로 부팅해 레지스트리 자동 실행 키를 지워야 한다.

 

  

[그림 5] 사용자 계정 컨트롤(UAC) 메시지

 

이후 Powershell.exe에 인젝션된 랜섬웨어는 암호화 작업을 수행하며 작업 디렉토리마다 아래와 같이 [랜덤]+readme.txt 파일을 생성한다. 암호화 작업이 완료되면 [그림 7]과 같이 바탕화면을 변경한다.

 

  

[그림 6] 파일 암호화 및 readme 파일 생성

 

  

[그림 7] 변경된 바탕화면

 

과거 사례를 볼 때, 공격자는 백신(AV)의 진단을 우회하기 위해 계속해서 다양한 변형을 시도할 가능성이 높다. ASEC 분석팀은 해당 공격을 지속적으로 모니터링 중이며, 여러 포인트에 걸쳐 다양한 진단을 반영 중이다.

 

사용자는 반드시 백신 프로그램의 실시간 감시 기능을 켜 둬야 하며, 항상 최신 엔진 버전으로 유지해야 한다. 또한 프로그램이나 파일을 다운로드 할 경우, 공식 홈페이지를 이용할 것을 권장한다.


* 원본내용은 아래에서 확인하세요

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29635&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=841


공감/비공감

7
공감/비공감 안내 도움말 보기
유용하고 재미있는 정보인가요?
유용하고 재미있는 글, 댓글에는 주저 없이 공감을 눌러주세요!
공감을 원하시면 좌측의 공감 아이콘을 클릭하고 다나와 포인트도 받으세요.
plc-wave 님의 다른 글 보기
1/8
자유게시판 최신 글 전체 둘러보기
1/1
지혜로운 여인
어제 수육 먹었습니다
오늘의 일요일의 아침의 날씨는 많이 흐리고 여전히 춥네요
냉혹한 편의점 알바의 세계.JPG
일요일은 짜파게티 먹는날이래서 먹어줬습니다.
오늘 아침은 추은것 같네요.
이른 시간이라 춥네요
오늘도 춥네요
휴대폰 불법 영업, 밴드와 카페가 최다 ... 위반율 50% 이상
이불 밖도 괜찮아! 차박하기 좋은차!
다나와 주간활동순위 다시 2위로
11월 4주차 주간랭킹 100에서 11주째 1위를 했습니다 (1)
너무 춥네요
외국 라면 토핑 (2)
수도권 2.5단계 격상 가능성↑…소상공인들 "피해는 왜 우리만" (2)
일요일이네요 (2)
날씨 한라산 첫눈..내일도 영하권 추위 (2)
주문한 참치캔이 도착했네요 (2)
이 시국에 이런 분들이 계십니다. (6)
오랜만에 외출했는데 사람이 없네요
이 시간 HOT 댓글!
1/4