​

이번에 확인된 블루크랩 랜섬웨어는 OR캐드 프로그램 다운로드와 관련된 피싱 페이지로 위장해 유포되고 있다. [그림 1]과 같이 포털 사이트의 검색 결과 페이지에 나타나기 때문에 사용자로서는 이것만 봐서는 악성코드 유포를 위한 피싱 페이지임을 짐작하기 어렵다.

[그림 1] 검색 결과 페이지에 나타난 피싱 페이지

[그림 1]의 빨간색으로 표시된 페이지에 접속해 다운로드 링크를 클릭하면 [그림 2]와 같이 OR캐드 설치 파일처럼 위장한 압축파일(.zip)이 다운로드된다. 그러나 해당 압축파일 내부에는 악성 자바스크립트가 담겨 있다.
　

[그림 2] 다운로드된 압축 파일(.zip)

여기까지는 기존 유포 방식과 크게 다를 바 없다. 그러나 이렇게 다운로드된 자바스크립트가 추가 다운로드를 거쳐 파워셀 스크립트를 특정 경로에 메모장 파일("[랜덤].txt")로 위장한 파일을 생성하고 실행한다. 즉, 기존의 블루크랩 랜섬웨어가 인터넷익스플로러(explorer.exe)를 이용했던 것과 달리 11월 1일 이후에는 메모장(notepad.exe)을 이용하고 있다. 이러한 변화는 안티바이러스 제품의 탐지를 우회하기 위한 것으로 보인다. 실제로 내부 스크립트 코드에서 국내 특정 백신 프로그램에 대한 탐지 우회 기법이 확인되었다.

[그림 3] 검색 결과 페이지에 나타난 피싱 페이지

다운로드된 자바스크립트에 의해 실행된 파워쉘은 권한 상승을 시도하는데, 이 과정에서 감염 PC에 특정 백신 프로그램이 설치되어 있는지 확인한다. 해당 백신 프로그램이 설치되어 있을 경우 권한 상승을 시도하는 대신 [그림 4]와 같은 코드를 이용해 ‘사용자 계정 컨트롤(User Account Control, UAC)’ 알림창을 100회에 걸쳐 반복적으로 노출한다. 즉, 권한 상승을 통해 자기 자신을 실행할 수 없게 되었기 때문에 당황한 사용자가 알림창을 클릭해 랜섬웨어를 실행하도록 하는 구조다. 사용자가 UAC 알림창의 버튼을 클릭하면 감염 시스템의 운영체제별 notepad.exe를 선택하여 실행하고, 이를 통해 블루크랩 랜섬웨어가 동작한다.

[그림 4] UAC 알림창 100회 반복 실행 코드(왼쪽)과 UAC 알림창 예시(오른쪽)

V3 제품군에서는 최신 블루크랩 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있으며, 랜섬웨어의 행위를 차단하여 [그림 5]와 같은 알림창을 제공한다.



<V3 제품군 진단명>

- JS/BlueCrab.S12 (2019.11.05.00)

- Malware/MDP.Behavior.M1947
　

[그림 5] V3의 랜섬웨어 행위 차단 알림창
　

[출처 : 안랩(((www.ahnlab.com)]