보복성 메시지 포함, 국내 한 보안업체 겨냥한 GandCrab V4.3
1. 개요
올해 1월에 첫 등장했던 GandCrab 랜섬웨어가 8월 현재까지도 활동하며, 좀처럼 수그러들지 않고 있다. 최근 등장한 GandCrab V4.3 에서는 국내 한 보안업체를 겨냥한 보복성 메시지를 포함하고 있다. 지난 7월 이 보안업체가 GandCrab V4.1.2 에 대한 암호화 차단방법 (Kill-Switch) 을 배포한데 따른 보복조치인 것으로 보인다.
이번 보고서에는 GandCrab V4.3 랜섬웨어의 변화된 내용에 대해서 간략하게 알아보고자 한다.
2. 분석 정보
2-1. 파일 정보
|
구분 |
내용 |
|
파일명 |
[임의의 파일명].exe |
|
파일크기 |
131,584 byte |
|
진단명 |
Ransom/W32.GandCrab.131584.B |
|
악성동작 |
파일 암호화 |
2-2. GandCrab 이전 버전 분석 정보
7월에 등장했던 GandCrab V4.0 과 비교했을 때, GandCrab V4.3 은 시스템 언어 확인, 특정 프로세스 종료, 암호화 제외 확장자 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 GandCrab V4.0 분석보고서를 참고 할 수 있다.
오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 : http://erteam.nprotect.com/1776
2-3. GandCrab V4.3 에서 달라진 점
GandCrab V4.3 에서 달라진 점은 국내 한 보안업체를 겨냥한 메시지를 다수 포함한 점이다. 이 보안업체는 지난 7월 GandCrab V4.1.2 에 대한 암호화 차단방법 (Kill-Switch) 을 배포하였는데, 이에 대한 조치로 GandCrab 제작자가 빠르게 버전업을 한 랜섬웨어를 유포하며 보복성 메시지를 포함한 것으로 보인다.
![[그림 1] 국내 한 보안업체를 언급한 문자열](https://t1.daumcdn.net/cfile/tistory/99DC23485B7B75A22B)
랜섬웨어 내부에 이 보안업체를 언급한 문자열과 함께 URL을 포함하고 있는데, 해당 URL을 따라가보면 [그림 2]와 같이 러시아어로 모욕하는 문자열과 함께 이미지를 포함하고 있다.
![[그림 2] URL 접속 시 나타나는 이미지](https://t1.daumcdn.net/cfile/tistory/9970C7485B7B75A322)
또한 [그림 3]과 같은 경고성 메시지를 포함하였는데, 이 보안업체의 백신제품을 대상으로 제로데이 익스플로잇을 이용해서 서비스거부 공격이 가능하다는 메시지와 함께 링크를 포함하고 있다.
![[그림 3] 경고성 메시지](https://t1.daumcdn.net/cfile/tistory/99EE4F485B7B75A32B){kind=small}
![[그림 4] 메시지와 함께 포함된 링크주소](https://t1.daumcdn.net/cfile/tistory/991D4E485B7B75A327)
해당 링크를 따라가보면 ‘ahnlab 0day.rar’ 이라는 이름의 압축파일을 다운로드 받을 수 있다.
![[그림 5] 압축파일 다운 가능한 링크](https://t1.daumcdn.net/cfile/tistory/99B53A485B7B75A52E)
해당 압축파일에는 이 보안업체의 백신제품을 대상으로 하는 익스플로잇 Poc코드를 포함하고있다.
![[그림 6] 압축파일](https://t1.daumcdn.net/cfile/tistory/999E13485B7B75A52F)
해당 코드는 흐름 상, 감염 동작 이후에 실행 하도록 되어 있어 실시간 감지 기능에서 차단 될 경우 동작 하지 않는다. 하지만 예외 상황도 항상 존재하기 때문에 랜섬웨어에 감염되지 않도록 각별히 주의할 필요가 있다. 해당 보안업체에서는 이 부분에 대하여 신속하게 패치 할 것이라고 밝혀 본 보고서가 게시되었을 시점에서는 이미 패치가 완료가 된 것으로 보인다.
![[그림 7] 백신제품 서비스거부 공격 코드](https://t1.daumcdn.net/cfile/tistory/9962C6485B7B75A524)
3. 결론
최근 활동하고 있는 GandCrab 랜섬웨어는 지속적인 버전업을 통해 유포 방식부터 감염 방식까지 다양하게 변화하기 때문에 각별한 주의를 요한다. 최근에는 공정거래위원회나 국내 한 대기업을 사칭해서 유포되기도 했다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
![[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면](https://t1.daumcdn.net/cfile/tistory/99D4DB4A5B7B75A72A)
TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.
![[그림 9] TACHYON Internet Security 5.0 랜섬웨어 차단 기능](https://t1.daumcdn.net/cfile/tistory/99A6D34A5B7B75A720)
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| [랜섬웨어 분석]서비스형 랜섬웨어 “Princess Evolution Ransomware” 유포 주의 (0) | 2018.08.27 |
|---|---|
| [랜섬웨어 분석]‘Desu’ 랜섬웨어 감염 주의 (0) | 2018.08.21 |
| [랜섬웨어 분석]‘King Ouroboros’ 랜섬웨어 감염 주의 (0) | 2018.08.06 |
| [랜섬웨어 분석]‘Magniber’ 랜섬웨어 재등장 감염 주의 (0) | 2018.07.31 |
| [랜섬웨어 분석]오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 (0) | 2018.07.23 |