블루크랩 랜섬웨어, 이번엔 어떻게 달라졌나?

블루크랩 랜섬웨어, 이번엔 어떻게 달라졌나? AhnLab ASEC 분석팀 l 2020-10-28     안랩 ASEC 분석팀은 자바스크립트(JS) 형태로 유포되는 블루크랩 랜섬웨어(JS.BlueCrab)의 감염 과정에서 큰 변형이 발생한 것을 확인했다. 이번 글을 통해 JS.BlueCrab 랜섬웨어의 변형 내용과 동작 과정에 대해 알아보고자 한다.     JS.BlueCrab 랜섬웨어는 사용자의 다운로드를 유도하는 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취해 다수의 악성 게시글을 업로드하며, 해당 악성 게시글을 열면 다운로드 페이지로 위장한 피싱 페이지가 나타난다. 이번에 발견된 공격은 각 게시글마다 키워드를 다르게 하여 검색 결과에 노출시킨 후 사용자의 악성코드 다운로드를 유도하는 것이 특징이며, [그림 1]처럼 외국어(독일어)로 된 피싱 페이지도 존재하는 것을 확인했다.     [그림 1] 다양한 언어의 피싱 페이지   피싱 페이지와 다운로드되는 자바스크립트 파일의 구조는 크게 달라지지 않았다. 하지만, 공격자 서버(C&C 혹은 C2)로부터 다운로드 받은 스크립트에 큰 변화가 발생했으며, 다음과 같이 크게 3단계로 나눌 수 있다.   1. 레지스트리에 악성 바이너리 삽입 2. 환경 변수에 (1.)을 실행하는 명령어 삽입 3. (2.)를 실행하는 명령어를 자동실행 등록 후 실행     [그림 2] 레지스트리 악성 바이너리 삽입 스크립트   [그림 2]의 스크립트가 동작하면 HKCU\Software\[컴퓨터이름+"0"]\ 경로에 악성코드 바이너리가 추가된다. 분석 결과, 이 스크립트는 "HKCU\Software\" 경로에 [컴퓨터이름+"0"] 이름의 키가 없을 경우에만 동작하도록 구성 되어있다. 해당 값을 임의로 추가하면 킬스위치(기기 내 정보를 원격으로 삭제하는 것) 가능하다.     [그림 3] 레지스트리에 삽입된 악성 바이너리     [그림 4] 환경 변수에 삽입된 추가 명령어 실행 스크립트   [그림 4]의 스크립트가 실행되면 환경 변수에 레지스트리에 작성된 바이너리를 읽어 메모리로 로드하는 명령어가 삽입된다. 또한 명령어가 자동 실행되도록 등록되어 재부팅 시에도 랜섬웨어가 실행된다.   일반적인 경우, 암호화를 수행하는 파워셸(Powershell)은 일반 유저 권한으로 실행되며, 관리자 권한이 아닐 경우 해당 권한을 요구하는 사용자 계정 컨트롤(User Account Control: UAC) 메시지가 출력된다. [그림 5]와 같이 ‘아니요’를 눌러도 곧바로 UAC 메시지가 무한 재팝업되기 때문에 사용자 입장에서는 강제로 재부팅 할 수밖에 없다. 이와 같은 경우에는 안전모드로 부팅해 레지스트리 자동 실행 키를 지워야 한다.     [그림 5] 사용자 계정 컨트롤(UAC) 메시지   이후 Powershell.exe에 인젝션된 랜섬웨어는 암호화 작업을 수행하며 작업 디렉토리마다 아래와 같이 [랜덤]+readme.txt 파일을 생성한다. 암호화 작업이 완료되면 [그림 7]과 같이 바탕화면을 변경한다.     [그림 6] 파일 암호화 및 readme 파일 생성     [그림 7] 변경된 바탕화면   과거 사례를 볼 때, 공격자는 백신(AV)의 진단을 우회하기 위해 계속해서 다양한 변형을 시도할 가능성이 높다. ASEC 분석팀은 해당 공격을 지속적으로 모니터링 중이며, 여러 포인트에 걸쳐 다양한 진단을 반영 중이다.   사용자는 반드시 백신 프로그램의 실시간 감시 기능을 켜 둬야 하며, 항상 최신 엔진 버전으로 유지해야 한다. 또한 프로그램이나 파일을 다운로드 할 경우, 공식 홈페이지를 이용할 것을 권장한다.   [파일진단] Ransomware/JS.BlueCrab.S1302 Ransomware/JS.BlueCrab.S1310   [행위진단] Malware/MDP.Behavior.M3439   [메모리진단] Ransomware.Win.BlueCarb.XM37   [IOC 정보] a76150ca43f85a6983fd14f57253c6fa hxxps://www.palomar.edu/telescope/2020/02/07/유튜브-영상-고화질-다운로드/ hxxps://edwardfberger.com/bien-zenker-allgemeine-vertragsbedingungen/ hxxps://specialedresource.com/search.php hxxps://shopreduceri.ro/search.php hxxps://spielsand-kaufen.com/search.php   변화된 JS.BlueCrab 랜섬웨어에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.   ▶ASEC 블로그 바로가기