Author: TALON (BLKSMTH, HOTSAUCE)

Date: 2020-11-23

Last Modified : 2020-12-02

Executive Summary

• 최근 발생한 침해사고와 관련된 것으로 추정되는 Clop 랜섬웨어를 확보하여 분석 진행하였으며 그 결과에 대한 요약은 아래와 같음
  • 기존 Clop 랜섬웨어의 경우, 암호화된 파일의 내부 컨텐츠와 확장자를 변경하고 암호화키는 파일의 마지막에 저장하였으나 변종 Clop의 경우 암호화된 파일별로 별도 키파일을 생성하여 암호화키를 저장해둠
  • 키파일 확장자 : .cllp
  • 키파일 헤더 : Cllp^_-
  • 랜섬노트 (Ransom Note) 확인결과, 다크웹 상에서 유출 데이터를 공개하는 기존 Clop 랜섬웨어의 유출 사이트에 있는 컨택 포인트(Email)와 동일함을 확인
• 동일한 서명 정보를 갖는 Clop Ransomware를 Virustotal에서 추가 발견 (Build time: 11월 21일)

악성코드 유포 방식

• 정확한 유포 방식은 현재 조사 중으로 확인된 바 없으나 과거 Clop Ransomware 공격 사례를 통하여 아래와 같은 방식들로 추정
  1. SMB 취약점 등을 이용한 내부 침투
  2. AD (Active Directory) 관리자 계정 유출로 인한 내부 시스템 대규모 전파
  3. 스피어피싱 이메일 내 문서형 악성코드 등을 이용한 침투

Clop 랜섬웨어 분석

1) 분석 대상 (#01, 추후 비교 분석을 위한 번호 표시) 악성코드 기본 정보

MD5 : 8b6c413e2539823ef8f8b85900d19724 SHA-1 : 2d92a9ec1091cb801ff86403374594c74210cd44 SHA-256 : 3d94c4a92382c5c45062d8ea0517be4011be8ba42e9c9a614a99327d0ebdf05b Type : Win32 EXE (PE32 executable for MS Windows (GUI) Intel 80386 32-bit) Build Time : 2020-11-20 18:18:18

2) 악성코드 동작 방식

전체 동작 방식