▶악성코드 링크: https://app.any.run/tasks/c346e9ef-47a1-4420-b6d6-080ca346ddf8/
▶프로세스모니터 링크: https://drive.google.com/file/d/1opitQhOUEZ5K6oRheBT6_BH3aAPcpT5i/view?usp=sharing
▶영상: https://youtu.be/wEogBkYWgAY
1. 요약
악성행위를 하지 않았지만 실제로 한 것처럼 속여 돈을 요구하는 악성코드입니다.
1.1 가짜 화면
악성코드는 시스템이 파괴된 것처럼 보이는 잠금화면을 보여줍니다. 실제로 공격자가 구축한 웹페이지를 전체화면으로 보여준것 뿐입니다. 피해자에게 곧 계정/비밀번호, 사진 등 데이터를 훔치겠다는 글과 연락처를 남깁니다.
1.2 실행 지연
악성코드는 바로 실행되지 않고 재부팅이 되어야 실행됩니다. 악성코드는 시작 프로그램폴더에 bat파일과 vbs스크립트를 생성합니다.
2. 1단계: 악성코드 실행 준비
분석 보고서에 의하면 악성코드는 피싱 이메일로 시작합니다. 라이센스를 업데이트를 하기 위해서 파일실행을 유도합니다.
License.bat파일을 실행하면 눈으로는 아무 증상이 보이지 않지만 시작 프로그램 폴더에 파일 3개를 생성하고 웹 브라우저 시작페이지를 변경합니다. 따라서 악성행위는 시스템을 재부팅해야 실행됩니다.
3. 2단계: 악성코드 실행
3.1 startup1.bat
웹 브라우저(인터넷 익스플로러, 크롬, 파이어폭스) 시작 페이지를 변경합니다. 공격자가 미리 만들어놓은 페이지로 변경하는데 소스코드 몇 줄은 완벽히 구현되지 않았습니다. 현재 페이지는 존재하지 않습니다.
3.2 startup1.vbs
인터넷 익스플로러 웹 브라우저로 가짜 화면잠금 페이지로 이동합니다. 그리고 연락처가 있는 메세지박스를 실행합니다.
startup1.vbs는 무한 반복문으로 되어있으므로 메세지박스를 클릭하면 가짜 잠금화면 페이지를 또 열고 메세지박스를 보여줍니다.
3.3 startup2.bat
실행 중인 익스플로러 프로세스를 강제로 종료시킵니다.
4. IOC
4.1 파일(sha-256)
key.rar: 3510bc9d565f3e27acc29409bbb8d4bae9140c5feaaa504bde67c47215b67bb2
License1.bat: 10c4706b75bc612727713307ba0fdbb981bf9677218150e5ed39c6953c211048
startup1.bat: 9768d553a1b49fce1305d61151f9aacef068d6785c14ff13cca1117738423f7e
startup1.vbs: 07723f411187fdb1f068371a4fba2458584157359d1f575ec4237bb2939921e6
startup2.bat: 307b69357979ddfa97dcbdbc8a586ec185c555887510933e686fcbc5e176bdd6
4.2 URL
http://support82[.]com/google[.]html
http://whoawareness[.]com/?page_id=93
http://nondisintegration[.]site/ch/Hjfd_fdfd_w44500[.]php
5. Tactics
5.1 stage1
T1566: Phising
T1204: User Execution
T1547: Boot or Logon Autostart Execution
5.2 stage2
T1095: Command and Scripting interpreter
T1112: Modify Registry
6. 참고자료
'전공영역 공부 기록' 카테고리의 다른 글
| Njrat 악성코드 0.7버전 분석 1편 (1) | 2020.08.17 |
|---|---|
| 그램 노트북은 악성코드 분석에 충분할까? (0) | 2020.08.12 |
| 악성코드 샘플 다운로드 추천 사이트 (1) | 2020.08.11 |
| 비트코인 주소를 복사하면 공격자 주소로 변경하는 악성코드 (4) | 2020.08.04 |
| 추천 안랩 웨비나 - Fileless공격 설명 (0) | 2020.08.04 |