랜섬웨어

스팸 메일을 통해 유포 되는 새로운 서비스형 랜섬웨어 Avaddon

264    2020-07-23


개요  

최근 스마일, 윙크 이모티콘이 포함된 스팸 메일을 통해 유포 되는 새로운 랜섬웨어인 Avaddon 랜섬웨어가 발견되었습니다. 

Avaddon 랜섬웨어의 경우 해커 및 악성 코드 배포자와 제휴 파트너 관계를 맺어 랜섬 머니의 일부를 제휴 파트너 측에 제공하는 서비스형 랜섬웨어 입니다.

제휴 파트너는 Avaddon 측에 랜섬웨어를 배포할 다양한 방법을 제공하며, Avaddon 측은 다양한 방법으로 랜섬웨어를 배포하고 있습니다.


이에 따라 Avaddon 랜섬웨어 감염 방지에 조금이나마 도움이 되기 위하여 해당 랜섬웨어의 동작 방식 및 대응 방안을 안내 드립니다.



동작방식 



1단계

· 스팸 메일에 첨부된 파일을 다운로드 하여 사용자 PC에 침투되며, 첨부된 파일은 PowerShell, Windows bitsadmi, FTP를 이용한 랜섬웨어 실행 파일을 다운로드 및 저장하는 파일


2단계

· 첨부 파일 다운로드 시 JPG 파일로 위장한 Javscript 파일이 다운로드 되며, 파일 실행 시 랜섬웨어 파일을 '%Temp%' 경로에 저장 후 실행


3단계

· 파일 암호화 및 랜섬노트 생성



파일정보 및 특징 



· 'Your new photo?' 혹은 'Do you like my photo?'와 같은 제목의 이메일을 발송하며 이메일 내 첨부 파일로 랜섬웨어 배포



▶출처: BleepingComputer


· JPG 파일로 위장한 JavaScript 파일이 첨부되어 있음


▶출처: 이스트시큐리티 블로그


· 암호화된 파일 확장자 끝에 '.avdn' 문자 추가


▶출처: BleepingComputer


· 각 폴더에 랜섬 노트인 '[id]-readme.html' 파일이 생성되며 랜섬 노트에는 피해자 ID 와 토르 지불 사이트 링크가 포함되어 있음


· 제휴 파트너를 두고 제휴 파트너에게 랜섬 머니의 일부를 지불하는 서비스형 랜섬웨어



감염 팝업    

  

▶출처: BleepingComputer


Avaddon 랜섬웨어의 랜섬노트에는 피해자 ID와 토르 사이트 링크가 포함되어 있으며, 토르 사이트 링크 확인 시 상기 이미지 처럼 피해자의 ID와 랜섬 머니 지불 방법 등이 기재되어 있음



대응 방안  

해당 랜섬웨어의 경우 이메일 첨부 파일에서 다운로드 되어 사용자 PC에 침투하였습니다.

따라서, 발신자가 불분명한 메일 및 첨부파일 확인에 대하여 사용자의 각별한 주의가 필요합니다.


하지만, 지속적으로 변화하는 랜섬웨어를 대응하기 위해서는 기존의 블랙 개념의 보안 솔루션이 아닌 화이트 리스트 기반의 프로세스 통제 솔루션을 통해 허가된 프로세스만을 사용하여 우회 및 변조 기법을 이용하여 침투 및 악성행위를 하는 프로세스 통제를 통하여 사전 예방이 가능합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안

랜섬웨어 치료 및 복구, 예방 방법

iMON LOPE 소개자료.pdf



댓글 : 0