상세 컨텐츠

본문 제목

Cerber 랜섬웨어 Dridex 봇넷으로 급증

국내외 보안동향

by 알약(Alyac) 2016. 5. 17. 09:00

본문

Cerber 랜섬웨어 Dridex 봇넷으로 급증

CERBER RANSOMWARE ON THE RISE, FUELED BY DRIDEX BOTNETS


Fireeye는 지난 4월부터 스팸을 통해 유포되는 Cerber 랜섬웨어가 급증한 것을 발견했습니다. 연구진들은 Cerber 랜섬웨어의 급증이 Dridex 금융 악성코드와 동일한 스팸구조를 띄고 있다고 밝혔습니다. 


Cerber 랜섬웨어는 2월 경 처음 발견되었으며, 랜섬 텍스트 메시지를 읽어주는 랜섬웨어로 잘 알려져 있습니다. 기존에는 Adobe Flash Player내 제로데이 취약점(CVE-2016-1019)을 이용한 Magnitude 및 Nuclear 익스플로잇 킷을 이용하여 유포하였습니다. 하지만 최근에 Cerber가 Dridex 봇넷과 연계된 스팸공격에 포함된 것이 확인되었습니다.


Dridex는 뱅킹 악성코드로서, 금융관련 정보를 노려 일반고객과 기업에게 심각한 위협으로 등장하였으며, 대량의 스팸메일을 주요 유포수단으로 삼고 있습니다. 


Cerber 랜섬웨어는 Dridex 및 Locky 랜섬웨어와 버금가는 심각한 이메일 위협으로 자리잡았습니다


Cerber 랜섬웨어는 Dridex와 동일한 스팸 프레임워크를 따르며, 악성 VB 스크립트를 포함한 가짜 인보이스를 공격대상에게 첨부파일 형태로 발송합니다. 만약 사용자가 해당 문서를 실행시킬 경우 매크로 기능을 활성화 시키라는 안내창이 뜹니다. Cerber의 경우, 악성 첨부파일이 이메일 게이트웨이나 스팸 필터 솔루션에서 탐지되는 것을 피하기 위하여 악성 VB스크립트를 난독화 합니다.  매크로가 타깃 PC 내 %appdata% 경로에 VB 스크립트를 다운로드 및 설치합니다. 해당 VB 스크립트는 정크코드를 삽입하여 탐지와 리버스 엔지니어링을 우회하려고 합니다. 


사용자 PC를 감염시킨 후 Cerber는 감염자의 인터넷 연결 여부를 확인합니다. 만약 인터넷에 연결되어 있다면, VB 스크립트가 URL에서 JPEG 파일을 가져오기 위해 HTTP Range Request를 보내는데, 그 때 마지막 Cerber 랜섬웨어 조작이 전달됩니다. 


Fireeye에 따르면, HTTP Request Header 내에서 Range Header의 값을 "bytes=11193-"로 지정합니다. 이는 웹서버로 하여금 JPG 파일의 오프셋 11,193에서 시작하는 내용만 반환하도록 가리킵니다. 


Cerber 페이로드를 유포시키기 위한 이러한 다단계의 기술은 Dridex 및 Ursnif 트로이안에서 사용된 HTTP Range Request 체크와 유사합니다. 또한 스팸메일이 보통 영어로만 작성되며, 가짜 인보이스, 영수증, 주문서 등의 첨부파일을 통하여 금전을 노린다는 점이 Cerber와 Dridex의 또 다른 유사점 입니다. 


Cerber에 감염되면, 이메일, Word 문서, Steam 관련 파일들이 암호화 되며 .cerber 확장자 변경됩니다. 


피해자들을 여러 형태의 decrypttozxybarc 도메인에 접속하도록 유도하며, 어떤 경우에는 Cerber는 호스팅 PC에 스팸봇 모듈을 설치하기도 합니다. 이는 해커들이 스팸 배포에 감염된 PC들을 사용하기 위하여 테스트 중인것으로 추정됩니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Cerber, Trojan.Agent.BQUH , Gen:Variant.Barys.52467로 탐지중에 있습니다.



출처 : 

https://threatpost.com/cerber-ransomware-on-the-rise-fueled-by-dridex-botnets/118090/


관련글 더보기

댓글 영역