마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어

- 하바나크립트(HavanaCrypt)라는 구글 소프트웨어 업데이트(Google Software Update) 애플리케이션으로 위장

  C&C 서버는 마이크로소프트 웹(Microsoft Web) 호스팅 IP 주소 하나에 호스팅

  *피해자들에게 전달되는 피싱메일은 없어, 하나바크립트가 현재도 한창 개발되는 중에 있다는 분석

 

<하바나 크립트 특징>

1) 가상 환경인지 아닌지 먼저 확인하는 기능

2) 암호화 단계에서 오픈소스 키 관리 프로그램인 키패스 패스워드 세이프(KeePass Password Safe)의 코드 일부를 사용

3) QueueUserWorkItem이라는 닷넷(.NET) 함수를 활용해 암호화 속도 높이기

- 과거에는 대부분 어도비의 플래시(Flash)가 거의 대부분 이었으며, 이에 어도비는 플래시의 개발을 완전히 종료 조치
  이후 각종 브라우저들의 가짜 업데이트가 유포되기 시작했다.

  모든 종류의 멀웨어들을 이런 식으로 포장하여 유포하는데, 랜섬웨어, 정보 탈취 멀웨어, 트로이목마 등 종류도 다양하다.

 

- 하바나크립트

1. 닷넷 기반 멀웨어이며, 오픈소스 옵퓨스카를 이용해 코드를 숨김

2. 피해자 시스템 설치 후 구글업데이트 레지스트리 존재 유무 확인 후 해당 레지스트리가 없을 때 동작

3. VM웨어와 가상머신와 관련된 요소(vm마우스, 관련 파일 및 파일명 등) 확인 후 이중 하나라도 해당할 경우 동작 중지

    즉, 가상환경이 아닌 환경에서 동작하기 위한 과정이다.

4. C&C 서버와 통신(배치 파일 다운 및 실행)

    C2 서버는 정상적인 MS 웹 호스팅 서비스에 호스팅

    배치 파일은 윈도 디펜더 설정 명령, 프로세스 중단 명령 등이 포함되어 있다.

5. 감염시킨 시스템으로부터 셰도우 복사본 삭제, 데이터 복구 기능 중지, 시스템 정보 수집

6. QuereUserWorkItem함수와 코드를 키패스 패스워드 세이프(KeePass Password Safe)로부터 가져와 암호화 실시 

 

- 보안뉴스

마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어