안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
최근 이력서로 위장한 Makop 랜섬웨어 유포 정황이 포착되어 기업 담당자들의 주의가 필요합니다.
[그림 1] Makop 랜섬웨어 이메일 본문
첨부파일은 ZIP, LZH 이중 압축으로 되어 있으며 pdf로 위장되어 있는 ‘exe’ 파일임을 확인할 수 있습니다.
[그림 2] pdf로 위장된 랜섬웨어 파일
이 파일은 설치 파일 NSIS로 제작되었으며 실행 시 암호화된 랜섬웨어 파일을 복호화하여 child 프로세스에 인젝션하는 형태를 가집니다. 이는 백신의 탐지로부터 우회하기 위한 행위로 보입니다. 섀도 볼륨을 삭제하기 위해 cmd.exe를 실행하여 파이프를 통해 명령을 전달합니다.
[그림 3] 섀도 볼륨 삭제 명령
또한 특정 프로세스들을 종료시킵니다. 이는 현재 프로세스에서 접근 중인 파일들을 암호화시키기 위함으로 보입니다.
ocautoupds.exe
encsvc.exe
firefoxconfig.exe
tbirdconfig.exe
ocomm.exe
mysqld.exe
mysqld-nt.exe
mysqld-opt.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
아래 그림은 파일 암호화 코드입니다.
[그림 4] 파일 암호화 화면
파일 암호화가 완료되면 아래와 같은 랜섬노트를 보여줍니다.
[그림 5] 랜섬노트 화면
출처가 불분명한 메일을 확인할 경우 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 사용중인 OS와 SW는 항상 최신버전으로 유지해야 합니다. 또한 정상적인 파일의 아이콘을 도용한 악성코드 실행파일에 속지 않기 위해 윈도 탐색기 > 보기 설정에서 확장자명에 체크하셔서 확장자명 전체를 볼 수 있도록 하시는 것도 한가지 대비책이라고 할 수 있습니다.
알약에서는 해당 랜섬웨어 및 악성코드에 대해 Trojan.Ransom.Makop / Trojan.Agent.Wacatac 으로 탐지 및 차단하고 있으며, 랜섬웨어와 정보탈취 악성코드에 대한 상세분석 내용 및 IoC 정보는 Threat Inside에서 확인하실 수 있습니다.
ESRC 주간 Email 위협 통계 (10월 첫째주) (0) | 2020.10.13 |
---|---|
ESRC 주간 Email 위협 통계 (9월 다섯째주) (0) | 2020.10.07 |
ESRC 주간 Email 위협 통계 (9월 넷째주) (0) | 2020.09.29 |
긴급 주문 엑셀파일로 위장된 기업 표적 피싱메일 주의!! (0) | 2020.09.24 |
ESRC 주간 Email 위협 통계 (9월 셋째주) (0) | 2020.09.23 |
댓글 영역