일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- CoinMiner
- Lucky
- rdp
- Information leak
- ROKRAK
- Malware Analysis
- Satan
- Crack Tool
- gandcrab
- malware
- redeyes
- scarcruft
- Ransomware
- Today
- Total
Simple Analysis blog
Are you VenusLocker? or GandCrab? 본문
Virustotal에서 헌팅하던 중 예전 공정거래위원위 사칭 사건 (VenusLocker 조직* 추정) 과 유사한 방법을 사용하는 링크파일과 GandCrab 랜섬웨어를 발견하게되었다.
While hunting at Virustotal, I found a link file and a GandCrab Ransomware that uses a similar method to the former Fair Trade Commissioner case (VenusLocker organization * estimate).
(공정위 사칭 건 : https://www.boannews.com/media/view.asp?idx=72148)
* VenusLocker 조직은 2016년을 시작으로, 국내를 타겟으로하여 이메일을 통하여 랜섬웨어, RAT, 채굴 악성코드를 꾸준히
유포하고 있다. 또한 최근들어 GandCrab 랜섬웨어도 함께 유포하는 것으로 추정되고 있다.
* The VenusLocker organization has been steadily distributing Ransomware, RAT and mining malware
through e-mail targeting the domestic market starting in 2016. It is also estimated that GandCrab Ransomware is also distributed recently.
3개의 파일은 submissions 시간이 1분간격 정도로 올라와 있었으며, 링크파일에서 쓰이는 실행파일 이름으로 업로드 되었다.
The three files have been uploaded with submissions time of one minute, and the executable name used in the link file.
해당 .lnk파일 두개는 "1.원본이미지_181022.jpg.lnk" , "3.이미지 내용정리_181022.doc.lnk" 로 두가지 파일로 이루어져 있었다.
또한 예전 공정위 사칭 GandCrab처럼 내부에 exe파일을 실행시키는 링크파일이었다.
The two .lnk files consisted of two files: "1.Image image_181022.jpg.lnk" and "3.Image content summary_181022.doc.lnk".
It was also a link file that runs an exe file inside, like the old FTC's GandCrab.
두 링크파일의 경우 "VenusLocker_korean.exe" 라는 VenusLocker의 흔적을 공통적으로 가지고 있었다.
In the case of the two linked files, I had a common trace of VenusLocker called "VenusLocker_korean.exe".
링크파일 내부 Hex 값에는 특정 경로도 지정되어있었으며, "C:\Users\l\Desktop\양진이\VenusLocker_korean.exe" 라는 바탕화면의 "양진이" 폴더에 VenusLocker를 저장해두나 보다.
The Hex value inside the link file also has a specific path, and VenusLocker is stored in the folder "C: \ Users \ l \ Desktop \ bin \ VenusLocker_korean.exe" on the desktop.
또한 이에 사용된 것으로 추정되는 kimyoonjin.exe 파일은 GandCrab 5.0.3 버전으로 확인되었다.
Also, the kimyoonjin.exe file, which is supposed to be used, was confirmed to be GandCrab 5.0.3.
이렇게 저번과 같은 공격자인지는 모르겠지만 상당히 유사한 모습의 유포과정을 지닌 듯 하다.
I do not know if this is the last attacker, but it seems to have a fairly similar distribution process.
[부록]
지난 공정거래위원회 사칭 사건에 쓰인 .doc 파일로 위장하여 숨김처리 되어있는 파일을 실행하는 .lnk 파일 이었다.
It was an .lnk file that executed a hidden file that was disguised as a .doc file used in the past fair trade commons impersonation case.
마찬가지로 .lnk 파일 내부에 "VenusLocker_korean.exe"라는 문자열이 들어가 있었다.
Similarly, the .lnk file contained the string "VenusLocker_korean.exe".
[IOC]
GandCrab 5.0.3
filename : kimyoonjin.exe
md5 : 805adf70ec2f32c40aa3be36f51925b5
sha1 : 0378f0bf77ddb8cf827dee4b605976751272951e
sha256 : 83dec0a129001079b8a9f40796d55c7a81dfb5e3dafadd6507231c972e712dc6
lnk 파일
filename : 1.원본이미지_181022.jpg.lnk
md5 : 6800f71fe588d5c13ee8b2363e20f002
sha1 : 56b88b1d06a29abb4f3786e5dc1becb0f3c13ee0
sha256 : 9fb3bfb4035020cc5675b82d313125b4e48cd4716d6807060a23e2e79c503590
filename : 3.이미지 내용정리_181022.doc.lnk
md5 : 5bcbdb251223be44047dceea45f6d532
sha1 : c3d53087022647a4103375c2234d51296f5b3a60
sha256 : b2783ec005b530a8e48af6515965485ced03025a62c6dcc9f321be881746877b
[부록]
GandCrab 4.3
filename : kpeople.exe
md5 : 5f36c4861f8d90c5e5011603738c4aa6
sha1 : 23f6c73678c1ac1794a36237e51675be4cfc180d
sha256 : 8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742
lnk 파일
filename : 1.전자상거래 위반행위 통지서.doc.lnk
filename : 2.전산 및 비전산 자료 보존요청서.doc.lnk
md5 : 37795ac41c9b35035457a927978fcdd3
sha1 : 89b8b889449241f0ae1982c0db33afaa76a5d9b5
sha256 : 9d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa
Copyright 2018. (YEJUN KIM) all rights reserved. Copyright 2018. (YEJUN KIM) All pictures cannot be copied without permission. |
'Analysis' 카테고리의 다른 글
Return to Satan, Lucky Ransomware (0) | 2018.12.11 |
---|---|
We will become back very soon! ;) (0) | 2018.12.05 |
Return to ROKRAT!! (feat. FAAAA...Sad...) (1) | 2018.11.16 |
GandCrab & (CoinMining??) (1) | 2018.11.09 |
ROKRAT is Back!! (0) | 2018.09.21 |