Google Docs를 C&C 서버로 이용하는 cuteRansomware
cuteRansomware Uses Google Docs to Fly Under Radar
최근 새로운 랜섬웨어인 cuteRansomware가 발견되었습니다. 이 랜섬웨어는 Google Docs에 감염자 정보를 저장합니다. 이 랜섬웨어는 또 다른 랜섬웨어 프로젝트로 부터 파생되었으며, 그 랜섬웨어 프로젝트의 소스코드는 몇개월 전 GitHub에 공개되었습니다.
그 프로젝트의 이름은 my-Little-Ransomware으로, 'C#을 기반으로한 쉬운 랜섬웨어 모듈'이라고 묘사했습니다. 작성자는 중국인 개발자 mashenghao로 밝혀졌습니다. 이 소스코드는 곧 악의적인 의도를 가진 누군가에게 이용되었습니다.
이 랜섬웨어는 6월 중순경 AVG의 Jakub Krousteck가 처음 발견했으며, 그는 해당 랜섬웨어가 Google Docs에 비밀키를 저장하는 새로운 랜섬웨어라고 말했습니다.
얼마 후 Netskope는 my-Little-Ransomware의 소스를 기반으로 만들어진 또 다른 종류의 랜섬웨어를 발견했으며, 이 랜섬웨어의 이름을 cuteRansomware로 명명하였습니다.
<이미지 출처 : https://twitter.com/JakubKroustek/status/743533627762421760>
이 랜섬웨어의 모든 내용은 중국어로 되어있는 것으로 확인되었으며, 이는 중국인만을 타겟으로 하고 있다는 것을 뜻합니다. cuteRansomware는 Google Docs를 C&C 서버로 사용하여 사용자 PC를 감염시킨 후에 RSA 비밀키를 만들고, HTTPS 통신으로 비밀키를 Google Docs에 업로드합니다.
cute랜섬웨어의 암호화 대상 문서는 .bmp、.png、 .jpg、.zip、.txt、.pdf、.pptx、 .docx、.py、.cpp、 .pcap、.enc、 .pem 및 .csr로 비교적 적은 편이며, 암호화 후에는 확장자를 .encrypted로 바꿉니다. 특이한 점은 아래 캡쳐 이미지 중 빨간색 네모박스 부분의 정보를 Google Docs로 전송합니다.
<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>
분석 결과, 이 랜섬웨어는 cuteRansomware라는 이름의 mutex를 생성한 후 암호화를 진행합니다. 그리고 %TEMP% 목록 하위에 텍스트 파일을 저장합니다. 이는 사용자에게 랜섬웨어를 요구하는 팝업창을 띄우는 목적으로 사용됩니다. 사용자 파일을 암호화 한 후에는 비밀키를 해커의 서버에 전송합니다. 다음 이미지는 감염PC와 Google Docs 사이에 발생하는 SSL/TLS 통신을 분석한 것입니다.
<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>
Fiddler 프록시 툴을 이용하여, 악성 프로그램이 Google Docs에 전송하는 정보들을 더 자세히 확인해 보았습니다.
<이미지 출처 : https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar>
최근 이러한 클라우드 서비스를 C&C서버로 악용하는 공격이 점차 증가하는 것이 확인되었으며, 이에 클라우드 보안의 중요성을 다시한번 되돌아보는 계기가 되어야 겟습니다.
출처 :
https://resources.netskope.com/h/i/271578954-cuteransomware-uses-google-docs-to-fly-under-radar
우분투 리눅스 포럼, 또다시 해킹 당해 (0) | 2016.07.19 |
---|---|
Opensshd 통해 사용자 계정을 유추할 수 있는 취약점 발견! (0) | 2016.07.18 |
CryptXXX 개발자, 일부 랜섬웨어 버전에 무료 복호화 키 제공 (10) | 2016.07.15 |
러시아 해커조직 Lurk와 Angler,Necurs 봇넷의 관계 (0) | 2016.07.15 |
악성코드 배포한 ‘Angler EK’ 활동 정지 – 다른 EK들은 요금인상 (0) | 2016.07.15 |
댓글 영역