스팸 메일, 악성 문서 등과 같이 페이로드와 감염 벡터를 끊임없이 변경하는 것으로 알려진 Emotet 악성 JS 파일. 이로 인해 인터넷상의 수많은 웹사이트가 손상되었습니다. Emotet 이 악성코드 캠페인은 2014년부터 존재해 왔습니다. 피해자의 컴퓨터에 악성코드를 유포하기 위해 다양한 기법과 변종을 사용하여 주기적으로 발생합니다. 대부분의 웹사이트는 진짜이지만, 어떻게든 이모텟을 유포하도록 속여 왔습니다. 하지만 이번에는 이러한 웹사이트 중 일부가 GandCrab 랜섬웨어 V 5.1 몇 시간 동안.
페이로드는 VBA 매크로를 사용하여 피해자 컴퓨터의 악성 문서를 통해 다운로드되었습니다. PowerShell 스크립트 손상된 웹사이트에 연결된 매크로에서 GandCrab 랜섬웨어가 URL에서 다운로드되었습니다. 동일한 웹사이트가 다른 악성 캠페인에도 사용되었으며, 시간이 지남에 따라 다른 목적으로 사용된 것으로 관찰되었습니다.
감염 벡터:
기술적 분석 :
Microsoft Office Doc 파일의 이름은 '긴급 공지.doc'이고 텍스트는 '긴급 공지'만 있었습니다.
파일을 열면 다운로드 작업을 수행하기 위한 매크로를 활성화할지 묻습니다.
매크로 :
악성 매크로는 3개의 모듈과 3개의 폼으로 구성되어 있습니다. 'f'라는 폼에는 난독화된 PowerShell 데이터가 포함되어 있으며, cBbOFw, BJXTRQZOY, lC0gFL58m과 같이 임의의 이름을 가진 XNUMX개의 모듈에는 난독화가 해제된 PowerShell 스크립트를 실행하는 코드가 포함되어 있습니다.
형태:
'5820.5840869546'을 null로 바꾸면(즉, 문자열에서 '5820.5840869546'을 제거하면) 난독화를 해제할 수 있습니다.
출력:
이 출력은 처음 세 글자 'P', 'o', 'w'를 변수에 넣어 추가합니다. 따라서 PowerShell의 초기 단어가 생성되고, love() 함수에서 사용되어 페이로드를 다운로드하고 실행합니다.
이 PowerShell 스크립트를 실행한 후, GandCrab 페이로드인 putty.exe가 피해자 컴퓨터의 'C: \Windows\Temp' 디렉토리에 다운로드되어 실행되었습니다.
gandcrab 페이로드 :
실행 시 모든 파일이 암호화되고 GandCrab 배경화면이 표시되었습니다. 랜섬웨어 관련 정보를 보면 해당 페이로드는 GandCrab V 5.1 랜섬웨어임이 분명합니다.
gandcrab 피해자 컴퓨터에서 바이러스 백신(AV) 프로세스를 찾아내고, 중요 파일의 암호화를 위해 SQL 데이터베이스 서버와 같은 실행 중인 다른 프로세스를 종료하려고 시도합니다. GandCrab은 Salsa20 암호화 알고리즘을 사용하여 모든 파일을 암호화하고, 이 Salsa20 키는 RSA-2048로 암호화되어 데이터 다음 파일에 추가됩니다. 개인 키 없이는 데이터를 복호화할 수 없습니다. 사용자 이름, 컴퓨터 이름, 작업 그룹, IP 주소 등 사용자와 관련된 모든 데이터를 수집하는 것으로 관찰되었습니다. 이 데이터는 RC4 암호화 알고리즘으로 암호화되어 C&C 서버로 전송됩니다.
GandCrab v5 랜섬웨어는 작업 스케줄러 ALPC 취약점을 이용해 감염된 컴퓨터에서 시스템 권한을 얻었습니다.
암호화 후 700달러 상당의 대시/비트코인을 요구하며, 채굴 수수료/커미션으로 10%가 추가됩니다. 과거에는 피해자가 몸값을 전액 지불하지 못할 경우, 파일 복호화 비용을 할인해 주겠다고 제안했습니다.
결국 GandCrab은 논의된 바와 같이 특정 URL 형성 알고리즘을 갖는 손상된 도메인 수에 연결을 시도하는 것으로 관찰됩니다. 이전에. 이 동작은 다음과 유사합니다. 이모텟 캠페인.
몇 시간 후, 같은 도메인에서 음란물 피싱 콘텐츠가 제공되기 시작했습니다.
침해 지표:
Doc File (Urgent notice.doc): 64F3F3CC1E121B295DA1FF74CC180473
Exe File (Putty.exe): 5B1B6AF59E29D9A2AA120277CAB14D0C
주의 사항 :
- 알 수 없는 출처의 이메일은 열지 마세요.
- 신뢰할 수 없는 출처에서 받은 첨부 파일을 다운로드하지 마세요.
- 메일에 언급된 URL을 클릭하기 전에 발신자의 이메일 ID를 확인하세요.
- 기본적으로 매크로/편집 모드를 활성화하지 마세요.
사용자 여러분께 최신 Microsoft 업데이트 패키지를 적용하고 바이러스 백신을 최신 상태로 유지할 것을 권장합니다. 이메일 보호가 활성화되어 있습니다.
주제별 전문가
Jayesh Kulkarni, Amit Gadhave | Quick Heal 보안 연구소
