진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정
1. 개요
최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다.
이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.
2. 분석 정보
2-1. GandCrab 랜섬웨어의 변화
|
구분 |
특징 |
시기 |
|
초기 버전 |
암호화 확장자명(.GDCB), 약400개 확장자 암호화, 웹사이트 방문 시 감염 |
2018년 02월 |
|
2.0 버전 |
암호화 확장자명 변경 (.CRAB), 약40개 확장자 제외 모든 파일 암호화 |
2018년 03월 |
|
2.1버전 |
암호화 완료 시 재부팅, 이메일로 지원서를 위장한 압축첨부파일 형태로 유포 |
2018년 04월 |
|
3.0버전 |
이메일로 악성 URL 링크를 첨부한 형태로 유포 |
2018년 05월 |
[표 1] GandCrab 랜섬웨어 초기 버전부터 3.0 버전까지 변화
2-2. GandCrab 이전 버전 분석 정보
GandCrab3.0 버전을 이전 버전과 비교했을 때 종료하는 프로세스 목록이나 수집 정보 목록 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.
다시 돌아온 GandCrab Ransomware 감염 주의 : http://erteam.nprotect.com/1623
버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 : http://erteam.nprotect.com/1661
2-3. GandCrab3.0 에서 달라진 점
GandCrab 랜섬웨어가 진화하면서 유포 방식에 조금씩 변화가 있었다. 이전 버전에서는 이메일을 통해 첨부된 파일을 실행하도록 유도하는 방식이었다면, 3.0 버전에서는 압축파일을 첨부하지 않고 이메일 본문의 ‘이력서를 첨부하였습니다.’ 부분에 악성 URL 링크를 연결시켜 클릭을 유도하고, 이 주소를 따라가보면 지원자 명의 압축파일을 다운로드 한다.
![[그림 1] 악성 메일 유포](https://t1.daumcdn.net/cfile/tistory/9919C84F5B024A1647)
다운로드 된 압축파일 내부에는 이력서로 위장한 스크립트 파일(resume.js)이 존재한다.
![[그림 2] 다운로드 된 압축파일](https://t1.daumcdn.net/cfile/tistory/99A443385B0225BA18)
이 스크립트는 난독화 되어 있어 아래 [그림 3]과 같이 알아 볼 수 없는 문자열로 보인다. 이 악성 스크립트 파일을 실행할 경우 랜섬웨어 유포 페이지에 접속해 랜섬웨어를 다운로드 후 실행한다.
![[그림 3] 난독화 된 악성 스크립트 파일](https://t1.daumcdn.net/cfile/tistory/99E704415B0225EC11)
2-4. 초기 버전과 3.0 버전의 비교
GandCrab의 초기 버전과 3.0 버전의 랜섬노트는 랜섬노트명과 버전의 차이, 그리고 안내문의 일부 내용이 바뀌었을 뿐 Tor 웹 브라우저를 이용하여 지불 사이트로 유도하는 내용은 대체로 유사하다.
![[그림 4] GandCrab 초기 버전 랜섬노트](https://t1.daumcdn.net/cfile/tistory/9955CA335B02262F18)
![[그림 5] GandCrab 3.0버전 랜섬 노트](https://t1.daumcdn.net/cfile/tistory/99E7303A5B0226AB1B)
|
|
초기 GandCrab |
GandCrab3.0 |
|
|
공통점 |
특정 프로세스 종료 (msftesql.exe, sqlagent.exe 등 30개 이상 프로세스 종료) |
||
|
자동 실행 레지스트리 등록 (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce) |
|||
|
사용자 정보 수집 (PC_USER, ip등), 프로세스 정보 수집 (AVP.EXE, ekrn.exe등) |
|||
|
차이점 |
유포 경로 |
Exploit Kit에 의해 취약한 웹사이트에 방문 시 감염 |
입사지원서나 교통범칙금으로 위장한 이메일로 유포 |
|
암호화 대상 파일 확장자 |
txt, doc, zip, xls, jpg 외 약450개 확장자 암호화 |
exe, dll, lnk, ldf, CRAB 외 약40개 확장자를 제외하고 모두 암호화 |
|
|
암호화 제외 파일명 |
desktop.ini, autorun.inf, GDCB-DECRYPT.txt 등 총 9개 |
랜섬 노트(CRAB-DECRYPT.txt) 를 제외하고 동일 |
|
|
암호화 제외 폴더 |
\ProgramData\, \Program Files\ 등 총 7곳 |
\IETldCache\, \Boot\ 추가 |
|
|
기타 |
|
암호화 완료 시 재부팅, 이동식 드라이브(USB) 감염 |
|
[표 2] GandCrab 랜섬웨어 초기 버전과 3.0 버전의 비교
3. 결론
![[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능](https://t1.daumcdn.net/cfile/tistory/9933363A5B02270115)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석]Sigrun 랜섬웨어 감염 주의 (0) | 2018.05.31 |
|---|---|
| [악성코드 분석] BlackHeart Ransomware 주의 (0) | 2018.05.28 |
| 새롭게 발견된 Spartacus 랜섬웨어 감염 주의 (0) | 2018.05.17 |
| [악성코드 분석] 네트워크 전파 기능이 추가된 Satan 랜섬웨어 감염 주의 (0) | 2018.05.08 |
| 갠드크랩(GandCrab) 랜섬웨어 버전업되어 유포, 감염 주의 (0) | 2018.04.26 |