ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • WSF 기반 Zepto 랜섬웨어
      카테고리 없음 2016. 7. 27. 14:39
      반응형

      ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










      ThreatAnalyzer 분석


      위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




      WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


      변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


      분석결과 두 장의 스크린샷이 잡혔다.



      한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




      감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



      WSF 스크립트 행동양상


      C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

      -



      WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


      아래는 UL43Fok40ii 바이너리 표시다.



      아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



      이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


      이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





      호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


      HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

      WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



      다운로드 PE 실행파일


      이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

      •  우크라이나에 위치한 일부 정보 게시

      •  수백 개의 파일에 접근

      •  기본브라우저 실행(본 분석의 경우 크롬)

      •  cmd.exe가 포함된 파일 삭제

      •  공유폴더 접속

      •  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

      •  쓰레드 10개 생성





      우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



      ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



      아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



      파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



      아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



      본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



      기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

      또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


      _HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



      Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




      랜섬웨어 방지


      오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


      랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


      <참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


      <참고: VIPRE 엔드포인트 보안솔루션> 





      ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

      https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


      번역: madfox




      참고링크 


      <유료안티바이러스 제품소개>

      반응형
      저작자표시 비영리 변경금지

      댓글

    Designed by Tistory.

    티스토리툴바