목록

ASEC 분석팀은 안랩 ASD 인프라의 랜섬웨어 의심 행위 차단 이력을 통해, Crysis 랜섬웨어의 변종으로 확인되는 Wiki 랜섬웨어가 정상 프로그램으로 위장하여 유포되는 것을 확인하였다.

Wiki 랜섬웨어는 실질적인 암호화를 수행하기 전, %AppData% 경로나 %windir%\system32 경로에 자가 복제를 수행하고 시작 프로그램에 등록을 위한 레지스트리 등록(HKLM\Software\Microsoft\Windows\CurrentVersion\Run) 및 파일 복사를 통하여 랜섬웨어의 감염 성공성을 높이는 작업을 진행한다.

추가적으로 종료할 데이터베이스 관련 서비스와 프로세스 명을 메모리 상에서 디코딩하고 현재 실행 중인 서비스와 프로세스를 조회하여 종료한다.

서비스 종료 대상 FirebirdGuardianDefaultInstance
FirebirdServerDefaultInstance
sqlwriter
mssqlserver
sqlserveradhelper
프로세스 종료 대상 1c8.exe
1cv77.exe
outlook.exe
postgres.exe
mysqld-nt.exe
mysqld.exe
sqlservr.exe
[표 1]

이 후, cmd.exe 프로세스를 생성하여 코드페이지를 카릴 언어로 설정하는 pipe 명령어와 볼륨 쉐도우 카피 삭제를 위한 명령어를 수행하여 감염 후 복구를 예방한다. 또한, 볼륨 쉐도우 카피를 삭제하기 위해서는 관리자 권한이 필요하여 사용자로 하여금 해당 랜섬웨어가 관리자 권한으로 실행되지 않았을 경우에 UAC 창을 띄워 성공적인 볼륨 쉐도우 카피 삭제를 시도한다.

  • mode con cp select=1251
  • vssadmin delete shadows /all /quiet

파일의 암호화를 하는 과정에서는 랜섬웨어 감염 수행을 제외한 시스템 손상이 발생하여 사용자가 랜섬웨어 감염 사실에 직면하지 못하는 경우를 막기 위해 감염 제외 폴더와 파일을 검증하는 작업을 거친다.

감염 제외 폴더 Windows
감염 제외 파일 boot.ini, bootfont.bin, io.sys, ntdetec.com
[표 2]

감염 제외 대상에 대한 검증 작업이 완료되면, 아래의 확장자에 대한 감염 행위가 진행된다.

.1cd;.3ds;.3fr;.3g2;.3gp;.7z;.accda;.accdb;.accdc;.accde;.accdt;
.accdw;.adb;.adp;.ai;.ai3;.ai4;.ai5;.ai6;.ai7;.ai8;.anim;.arw;.as;.asa;.asc;.ascx;.asm;.asmx;.asp;.aspx;.asr;.asx;.avi;.avs;.backup;.bak;.bay;.bd;.bin;.bmp;
.bz2;.c;.cdr;.cer;.cf;.cfc;.cfm;.cfml;.cfu;.chm;.cin;.class;.clx;.config;.cpp;.cr2;.crt;.crw;.cs;.css;.csv;.cub;.dae;.dat;.db;.dbf;.dbx;.dc3;.dcm;.dcr;.der;
.dib;.dic;.dif;.divx;.djvu;.dng;.doc;.docm;.docx;.dot;.dotm;.dotx;.dpx;.dqy;.dsn;.dt;.dtd;.dwg;.dwt;.dx;.dxf;.edml;.efd;.elf;.emf;.emz;.epf;.eps;.epsf;.epsp;
.erf;.exr;.f4v;.fido;.flm;.flv;.frm;.fxg;.geo;.gif;.grs;.gz;.h;.hdr;.hpp;.hta;.htc;.htm;.html;.icb;.ics;.iff;.inc;.indd;.ini;.iqy;.j2c;.j2k;.java;.jp2;.jpc;
.jpe;.jpeg;.jpf;.jpg;.jpx;.js;.jsf;.json;.jsp;.kdc;.kmz;.kwm;.lasso;.lbi;.lgf;.lgp;.log;.m1v;.m4a;.m4v;.max;.md;.mda;.mdb;.mde;.mdf;.mdw;.mef;.mft;.mfw;.mht;
.mhtml;.mka;.mkidx;.mkv;.mos;.mov;.mp3;.mp4;.mpeg;.mpg;.mpv;.mrw;.msg;.mxl;.myd;.myi;.nef;.nrw;.obj;.odb;.odc;.odm;.odp;.ods;.oft;.one;.onepkg;.onetoc2;.opt;
.oqy;.orf;.p12;.p7b;.p7c;.pam;.pbm;.pct;.pcx;.pdd;.pdf;.pdp;.pef;.pem;.pff;.pfm;.pfx;.pgm;.php;.php3;.php4;.php5;.phtml;.pict;.pl;.pls;.pm;.png;.pnm;.pot;.potm;
.potx;.ppa;.ppam;.ppm;.pps;.ppsm;.ppt;.pptm;.pptx;.prn;.ps;.psb;.psd;.pst;.ptx;.pub;.pwm;.pxr;.py;.qt;.r3d;.raf;.rar;.raw;.rdf;.rgbe;.rle;.rqy;.rss;.rtf;.rw2;.rwl;
.safe;.sct;.sdpx;.shtm;.shtml;.slk;.sln;.sql;.sr2;.srf;.srw;.ssi;.st;.stm;.svg;.svgz;.swf;.tab;.tar;.tbb;.tbi;.tbk;.tdi;.tga;.thmx;.tif;.tiff;.tld;.torrent;.tpl;.txt;
.u3d;.udl;.uxdc;.vb;.vbs;.vcs;.vda;.vdr;.vdw;.vdx;.vrp;.vsd;.vss;.vst;.vsw;.vsx;.vtm;.vtml;.vtx;.wb2;.wav;.wbm;.wbmp;.wim;.wmf;.wml;.wmv;.wpd;.wps;.x3f;.xl;.xla;.xlam;.xlk;.xlm;.xls;.xlsb;.xlsm;.xlsx;.xlt;.xltm;.xltx;.xlw;.xml;.xps;.xsd;.xsf;.xsl;.xslt;.xsn;.xtp;.xtp2;.xyze;.xz;.zip;
[표 3]

감염 시에는 “[기존파일명].id-고유아이디.[bitlocker@foxmail.com].wiki” 형태의 확장자가 추가되고, info.hta를 실행하여 사용자에게 랜섬웨어 감염 사실을 고지한다.

Crysis 유형의 랜섬웨어는 RDP를 통해 주로 유포되므로 RDP 연결 환경에 대한 철저한 감시가 필요하다. 또한 이번 Wiki 랜섬웨어는 정상 프로그램을 위장한 형태로 유포되는 특징이 있으므로 이메일이나 웹사이트에서 다운로드 되는 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

  • Ransomware/Win.Crysis.C5274546 (2022.11.11.02)
  • Trojan/Win32.Crysis.R213980 (2022.11.11.02)

[행위 진단]

  • Persistence/MDP.AutoRun.M224 (2022.11.11.02)

[IOC 정보]

  • f09a781eeb97acf68c8c1783e76c29e6
  • 3a81e8f22e239c4ced0ddfa50eacdfa4

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

자료출처: AhnLab
이 게시물을