분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]보복성 메시지 포함, 국내 한 보안업체 겨냥한 GandCrab V4.3

TACHYON & ISARC 2018. 8. 21. 11:28

보복성 메시지 포함, 국내 한 보안업체 겨냥한 GandCrab V4.3

1. 개요

올해 1월에 첫 등장했던 GandCrab 랜섬웨어가 8월 현재까지도 활동하며, 좀처럼 수그러들지 않고 있다. 최근 등장한 GandCrab V4.3 에서는 국내 한 보안업체를 겨냥한 보복성 메시지를 포함하고 있다. 지난 7월 이 보안업체가 GandCrab V4.1.2 에 대한 암호화 차단방법 (Kill-Switch) 을 배포한데 따른 보복조치인 것으로 보인다.

 

이번 보고서에는 GandCrab V4.3 랜섬웨어의 변화된 내용에 대해서 간략하게 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

[임의의 파일명].exe

 파일크기

131,584 byte

 진단명

Ransom/W32.GandCrab.131584.B

 악성동작

파일 암호화

 

 

2-2. GandCrab 이전 버전 분석 정보

7월에 등장했던 GandCrab V4.0 과 비교했을 때, GandCrab V4.3 은 시스템 언어 확인, 특정 프로세스 종료, 암호화 제외 확장자 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 GandCrab V4.0 분석보고서를 참고 할 수 있다.

오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 : http://erteam.nprotect.com/1776

 

 

 

2-3. GandCrab V4.3 에서 달라진 점

GandCrab V4.3 에서 달라진 점은 국내 한 보안업체를 겨냥한 메시지를 다수 포함한 점이다. 이 보안업체는 지난 7월 GandCrab V4.1.2 에 대한 암호화 차단방법 (Kill-Switch) 을 배포하였는데, 이에 대한 조치로 GandCrab 제작자가 빠르게 버전업을 한 랜섬웨어를 유포하며 보복성 메시지를 포함한 것으로 보인다.

 

 

 

[그림 1] 국내 한 보안업체를 언급한 문자열[그림 1] 국내 한 보안업체를 언급한 문자열

 

 

 

랜섬웨어 내부에 이 보안업체를 언급한 문자열과 함께 URL을 포함하고 있는데, 해당 URL을 따라가보면 [그림 2]와 같이 러시아어로 모욕하는 문자열과 함께 이미지를 포함하고 있다.

 

 

 

[그림 2] URL 접속 시 나타나는 이미지[그림 2] URL 접속 시 나타나는 이미지

 

 

 

또한 [그림 3]과 같은 경고성 메시지를 포함하였는데, 이 보안업체의 백신제품을 대상으로 제로데이 익스플로잇을 이용해서 서비스거부 공격이 가능하다는 메시지와 함께 링크를 포함하고 있다.

 

 

 

[그림 3] 경고성 메시지[그림 3] 경고성 메시지

 

 

 

[그림 4] 메시지와 함께 포함된 링크주소[그림 4] 메시지와 함께 포함된 링크주소

 

 

 

해당 링크를 따라가보면 ‘ahnlab 0day.rar’ 이라는 이름의 압축파일을 다운로드 받을 수 있다.

 

 

 

[그림 5] 압축파일 다운 가능한 링크[그림 5] 압축파일 다운 가능한 링크

 

 

해당 압축파일에는 이 보안업체의 백신제품을 대상으로 하는 익스플로잇 Poc코드를 포함하고있다.

 

 

 

[그림 6] 압축파일[그림 6] 압축파일

 

 

 

해당 코드는 흐름 상, 감염 동작 이후에 실행 하도록 되어 있어 실시간 감지 기능에서 차단 될 경우 동작 하지 않는다. 하지만 예외 상황도 항상 존재하기 때문에 랜섬웨어에 감염되지 않도록 각별히 주의할 필요가 있다. 해당 보안업체에서는 이 부분에 대하여 신속하게 패치 할 것이라고 밝혀 본 보고서가 게시되었을 시점에서는 이미 패치가 완료가 된 것으로 보인다.

 

 

[그림 7] 백신제품 서비스거부 공격 코드[그림 7] 백신제품 서비스거부 공격 코드

 

 

3. 결론

최근 활동하고 있는 GandCrab 랜섬웨어는 지속적인 버전업을 통해 유포 방식부터 감염 방식까지 다양하게 변화하기 때문에 각별한 주의를 요한다. 최근에는 공정거래위원회나 국내 한 대기업을 사칭해서 유포되기도 했다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능