Infected Ransomware with RDP!! (Feat. Globeimposter, RDP)

놀랍게도 올해 초반에 사용중인 PC가 랜섬웨어에 감염된 적이 있었다.

감염 당시 아침에 일어나니 갑자기 감염이되었길래 한숨쉬며 포맷을 시도하였다.

 

그러다 갑자기 이대로 보낼수는 없겠다는 생각이 들어 다시 취소하며 파일들이 조금이라도 남아있기를 바라며 복구를 취소한 뒤 분석을 시도하였다.

다행히 디스크 모두 포맷이 되지는 않았기에 먼저 PC에 남아있는 이벤트 로그로 감염 원인을 찾아보았다.

이때 분명히 잠들어있는 시간에 누군가 원격 접속기능을 이용하여 PC에 접근한 것을 확인할 수 있었다.

 

처음 접속된 IP는 213.251.6.6 으로 Shodan에 검색한 결과 영국으로 나와있었다.

City : Rugby 
Country United : Kingdom 
Organization Interoute : Communications : Limited 
ISP Interoute : Communications : Limited 
Operating : System Linux : 3.x 
ASN : AS8928

그 다음 접속흔적이 있는 IP는 152.104.31.140 이다.

Country Hong : Kong
Organization Diyixian.com : Limited
ISP Diyixian.com : Limited
Hostnames : static-ip-140-31-104-152.rev.dyxnet.com
ASN : AS9584

마지막으로 접속흔적이 있는 IP는 220.163.15.46 이었다.

City : Kunming
Country : China
Organization China : Telecom : Yunnan
ISP China : Telecom
ASN : AS4134

위 3개의 IP주소들이 서로 다른 공격자일까 생각해 보았지만, 남아있는 로그에서 "다시"원격접속이 시도되었습니다. 라고 되어있었기 때문에 VPN을 이용하는 등 하여 IP주소가 변경된 것 같았다.

 

처음 RDP를 통해 공격자가 PC에 침투한 후 _ls_.exe 라는 파일을 실행하여 직접 감염을 시도한 것으로 보인다.

오전 1시 21분경 처음 RDP를 통해 Administrator 계정으로 접속하였고, 그 후 오전 1시 26분경 해당 파일을 실행시켰다.

감염된 악성코드는 Globeimposter 였으며, 아래와 같은 랜섬노트형태를 가지고 있었다.

 

해당 파일은 2018년 4월 2일경 제작된 랜섬웨어로 감염당시 2019년 초였으므로 과거 제작되었던 악성코드가 다시 재사용 될 수 있다는 교훈을 얻게 되었다.

 

 

[부록]

해당 랜섬웨어에 직접 감염이 되어 랜섬노트에 적혀있는 이메일에 짧은 영어로 직접 연락을 해보았다..

위 내용에 온 답장은 아래와 같으며 얼마를, 어디로 달라는 말조차 없었기에 복구금액을 물어보았다.

그 후 0.3 비트코인을 입금하면 된다는 내용의 답장을 받을 수 있었고 이 기점을 마지막으로 포맷을 진행하였다...

 

 

 

[IOC]

 

Filename : CPT.EXE

MD5 : 3accf293ba124515006a6772cb88566f

SHA-1 : 313f083bd613e8a017e5c2471edacdae7f758752

SHA-256 : f43e246f70fca07d2c3ea432e12c549ed94cd750ee407a27cd34dffa47aec8b1

TimeStamp : 2018-04-02 16:47:20

 

[RDP 접속 IP]

213.251.6.6
152.104.31.140
220.163.15.46

 

[관련 메일주소]

luedtkis@feudtory.com

luedtkis@bejants.com

luedtkis@tfwno.gf

luedtkis@aol.com

 

 

References

Copyright 2019. (YEJUN KIM) all rights reserved. Copyright 2019. (YEJUN KIM) All pictures cannot be copied without permission.