Wins Security Information

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보이력서, 포트폴리오로 위장한 Makop 랜섬웨어 주의
작성일 2021-06-25 조회 452

최근 국내 기업을 대상으로 이력서, 포트폴리오를 위장한 Makop 악성 메일이 유포되고 있어 주의가 요구된다. Makop 랜섬웨어는 이전부터 공공기관, 부당 거래 위반행위 등으로 민감한 주제를 선정해 피싱 메일을 보내며 첨부된 파일의 열람을 요구한다. 첨부 파일은 압축된 파일로써 안티바이러스 제품들을 회피하기 위해 이중으로 압축하거나, 실행형 파일인 것을 숨기기 위해 문서 형태의 아이콘으로 설정 및 이름을 의도적으로 길게 만들어 확장자를 보이지 않도록 했다.

 

 


[그림1. 지원서 및 포트폴리오로 위장한 악성파일]

 


[그림2. 문서 아이콘으로 설정된 악성파일]

 

 

 

압축 해제된 파일은 모두 Nsis Installer로 패키징된 파일로 Makop 랜섬웨어가 내부에 암호화된 상태로 포함되어 있으며, 실행 시 랜섬웨어 파일을 복호화 후 자신을 자식 프로세스로 생성해 인젝션한다.

 

 


[그림3. 암호화된 Makop 랜섬웨어]

 


[그림4. 자식 프로세스 생성 후 Makop 인젝션]

 

 

 

Makop 랜섬웨어는 암호화를 수행하기 전에 제외할 경로나 파일명을 설정한다. 대상은 다음과 같다.

 

 

제외 파일명
boot.ini, bootfont.bin, ntldr, ntdetect.com, io.sys, readme-warning.txt, desktop.ini

 

제외 확장자
 makop, CARLOS, shootlock, shootlock2, 1recoesufV8Sv6g, 1recocr8M4YJskJ7, btc, KJHslgjkjdfg, origami, tomas, RAGA, zbw, fireee, XXX, element, HELP, zes, lockbit, captcha, gunga, fair, SOS, Boss, moloch, vassago, usagoo, pecunia, exe, dll, mammon, gamigin, marbas

 

제외 경로 

windows, winnt, system32, chrome, mozilla firefox, internet explorer
C:ProgramDatamicrosoftwindowscaches
C:UsersAll UsersMicrosoftWindowsCaches

 

 

 

이후 감염 PC의 파일 복구를 방해하기 위해 섀도 복사본을 삭제하는 명령어를 실행한다. 또한, 파일 암호화의 실패를 줄이기 위해 특정 프로세스를 종료시킨다.

 

 

CMD 실행 명령어

        -  vssadmin delete shadows /all /quiet wbadmin delete catalog -quiet wmic shadowcopy delete exit

 

 

종료 프로세스

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsrvc.exe, mydesktopqos.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

 

 

 

파일 암호화는 AES를 사용했으며 사용된 키는 RSA로 암호화한다. 암호화된 파일명에는 특정한 확장자가 추가되는데 형식은 다음과 같다.

 

 

추가 파일명 확장자

        - [ProductID+HDDSerial CRC32 hash 값].[공격자 email].gamigin

 

 

이후 암호화된 파일 경로에 랜섬노트가 생성된다.

 

 


[그림5. 암호화 시 특정 확장자 추가]

 


[그림6. 생성된(readme-warning.txt) 랜섬노트]

 

 

 

현재 자사 제품의 SNIPER APTX 는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 


[그림7. APTX 탐지]

첨부파일 첨부파일이 없습니다.
태그 Makop  랜섬웨어