상세 컨텐츠

본문 제목

Mallox 랜섬웨어 주의!

악성코드 분석 리포트

by 알약4 2021. 12. 2. 16:46

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.
Mallox 랜섬웨어가 유표중에 있어 사용자들의 주의가 필요합니다. 

Mallox 랜섬웨어는 드롭퍼 형식을 띄고 있으며, 내부에서 지속적으로 파일을 해제하여 드랍하는 특징을 갖고 있으며, 여러번의 dll드랍을 통하여 최종적으로 Mallox 랜섬웨어 파일을 내려받습니다. 

 

이렇게 수 차례의 dll드랍은 여러가지의 연산을 통해 드랍되는데, 이는 분석가들의 분석을 어렵게 하기 위한 목적입니다. 

최초 랜섬웨어 유포 파일은 .exe 형태로 유포되며, 해당 exe파일이사용자 PC에서 실행이 되면 리소스에서 첫번째 dll을 로드합니다. 

 

 

[그림 1] 최초 exe 에서 로드 되는 첫번째 dll 파일



dll이 로드되면 해당 첫번째 dll에서 2차로 dll을 로드합니다. 

 

 

[그림 2] 첫번째 dll에서 로드되는 두번째 dll파일



2차로 로드된 dll은 또 한번 3번째 dll을 로드하며, 3번째 dll은 최종적으로 공격자가 설정해 둔 서버에 접속하여 Mallox 랜섬웨어를 내려받습니다. 

[그림 3] 최종 dll이 서버에 접속하여 최종적으로 내려받는 Mallox 랜섬웨어

 

Mallox 랜섬웨어가 실행되면, 배치파일을 이용하여 특정 관리자/사용자 계정명 획득을 통하여 암호화 할 수 있도록 다수의 명령어를 실행하며, Microsoft .NET Framework 정상 파일을 통하여 암호화를 진행합니다. 

 

파일 암호화 후에는 확장자를 모두 기존 파일명.mallox로 변경하며, RECOVERY INFORMATION.txt 파일명을 가진 랜섬노트를 띄웁니다.

 

[그림 4] 랜섬노트

 

최근 mallox 랜섬웨어 감염사례가 증가한 만큼, 기업 및 개인 사용자들의 각별한 주의가 필요합니다. 사용하시는 SW를 항상 최신 버전으로 유지하기를 권고드리며, 만일의 상황을 대비하여 주기적인 백업을 통하여 소중한 정보를 보호하시기를 바랍니다.

 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Filecoder로 탐지중에 있습니다. 

 

 

관련글 더보기

댓글 영역