BlueCrab

남혜리·2022년 8월 13일
0

랜섬웨어

목록 보기
1/1

특징

  • aka. Sodinokibi
  • 랜섬웨어
  • 해킹조직 REvil이 제작
  • 웹사이트에 유포해 불특정 다수 노림

구조 분석

1. 취약한 wordpress로 작성된 웹사이트 공격해 권한 탈취

2. {다양한 키워드 + "다운로드"} 제목의 게시글 작성

3. 게시글에 삽입된 자바스크립트를 통해 가짜 포럼 사이트 출력

게시글에 삽입된 JavaScript


가짜 포럼 페이지를 로드


가짜 포럼 사이트

4. 다운로드 링크를 클릭 시 ZIP 압축된 JS 파일 다운

  • 파일의 이름은 유포 게시글 제목의 키워드를 포함하며, 파일명 형식은 주기적으로 변형

5. 변형으로 AV 우회

JS 파일은 C2로부터 추가 스크립트를 다운로드하여 실행하는 역할을 한다. 내부 코드는 난독화 되어 있으며 작은 크기의 스크립트이기 때문에 진단 우회가 쉽다. Generic 진단을 반영하여도 평균적으로 1~2일 내에 의미 없는 쓰레기 코드를 추가하거나 동일 기능의 다른 문법을 사용하는 등의 간단한 변형으로 진단을 우회한다. 따라서 파일 진단 보다는 메모리 진단 또는 행위 진단을 통해 방어하는 것이 효율적이다.
PowerShell 단계는 대상 기간 동안 가장 많은 변형이 이루어진 부분이다. 문법이 비교적 자유로운 PowerShell 언어 특성을 활용하여 공격자는 아래와 같이 다양하게 변형하였다.
Net Injector는 Delphi Loader를 인젝션하여 실행하는 역할을 한다. Delphi Loader 바이너리는 난독화된 형태로 .NET Injector 안에 포함되어 있으며, .NET Injector는 이를 풀어낸 후 대상 프로세스에 인젝션하여 실행한다.
Delphi Loader는 BlueCrab 랜섬웨어를 로드하는 역할을 한다. 해당 단계에서 특정 AV 제품 무력화, 진단 우회 등의 변형이 발생하였다. 원활한 감염을 위해 관리자 권한을 얻어오며, UAC 메시지에 “예”를 누를 때까지 100회 반복하여 출력한다. 이후 BlueCrab 바이너리를 로드하여 VSC삭제 및 파일 암호화 행위를 수행한다.

6. PowerShell 명령어를 통해 VSC 삭제 후 파일 암호화 행위를 수행

감염문구

All of your files are encrypted!
Find 12xrr+readme.txt and follow instructions
–=Welcome.Again.==-
[+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion 12xrr.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
[+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities – nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service – for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise – time is much more valuable than money.
…(후략)

해결책

  1. 프로세스 메모리 검사 필요
  2. 파일 진단이 아닌 행위 기반 / 메모리 진단필요
    REvil은 AS의 진단 방법을 정확히 알고있어, 코드 난독화, 변수 조작 등을 자주, 잘함.

참고자료
https://asec.ahnlab.com/ko/19640/

profile
고장나지 않은

0개의 댓글