Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보[MalSpam] Win32/Ransomware.Shade (Link → JS)
작성일 2017-09-13 조회 1742

 

 

 

 

 

* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.

 

유포 방식: E-Mail 내 Link 클릭

 

메일 내용

 - 제목: [은행] 새로운 공지사항

 - 내용: 새로운 공지사항입니다. 해당 링크를 통해 확인하시길 바랍니다.

 

[그림 1] 공지사항을 가장한 스팸메일 (myonlinesecurity)

 

링크 클릭 시 다운로드 화면이 보여지면서 Redirect를 통해 실제 랜섬웨어 다운로더가 다운로드 됩니다.

 

Link: hxxp://comtechadsl[.]com/statement.htm
Redirect: hxxp://wittinhohemmo[.]net/statement.php

 

 

[그림 2] Link 화면

 

[그림 3] 서버 Redirect

 

 

링크 클릭 시 랜섬웨어 다운로더가 다운로드됩니다. 한 개의 IP당 한 번의 다운로드가 가능하며, 이후 접속하면 0kb의 빈 파일이 다운로드 됩니다.

 

 

 

[첨부파일] Shade Ransomware Downloader

행위: Ransomware Downloader 
파일 이름: eStatement-43076259.js
확장자:  .js
파일 크기: 17,701 bytes
C2 (1): hxxp://monstermx[.]com/wetjmkr.exe
C2 (2): hxxp://guadaloffice[.]es/uxwomay.exe
SHA256: 6bb17f3066cba88827f42f5432c88ba8f3a08abc254908c0bc3d1d779c9fa5cc

 * 상기 C2는 현재 (17.09.13) 기준으로 모두 통신 불가

 

 

JS를 클릭 시 내부에 저장되어 있는 C2로 접속하여 랜섬웨어를 다운로드 및 실행합니다.

 

[그림 4] JS 다운로더 난독화

 

[그림 5] 문자열 변환으로 C2 확인

 

 

 

[Payload] Shade Ransomware

행위: Ransomware
파일 이름: Scan46.zip
확장자: .crypted000007
파일 크기: 926,501 Bytes
SHA256: 35b52d3ea2a913a3ba0b9b306c911e4804b12b1c61fc563ecf04a9e0903979b9

 

 

악성코드 다운로드 이후 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.

Shade 랜섬웨어는 매우 친절한 랜섬웨어 입니다. 보통의 랜섬웨어는 암호화 하기 전에 백업 방지를 위해 섀도 복사본을 삭제합니다. Shade 랜섬웨어는 친절하게 해당 부분을 삭제해도 되냐고 물어봅니다. 

 

[그림 4] 섀도 복사본 관리자 권한 실행

 

 

추가적으로 우리가 혹여 지나칠 수도 있기 때문에 'README.txt' 파일을 무려 10개나 생성합니다. 매우 예의바른 랜섬웨어입니다.

 

[그림 5] 랜섬웨어 감염

 

 

 

[방지 방안]

1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다

2) 메일 첨부파일에 존재하는 js, exe, HTA, VBS, jse, JAR 등 의심스러운 파일의 확장자는 실행하지 않는다.

3) 중요 자료는 백업을 하여 자료를 보호한다.

 

 

[그림 6] Wins APTX Ransomware 탐지

 

 

 

출처

 

[Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/

[그림1] https://myonlinesecurity.co.uk/fake-bankwest-you-have-a-new-estatement-mass-malspam-delivers-trickbot-banking-trojan/

첨부파일 첨부파일이 없습니다.
태그 Malspam  Shade