본문 바로가기

쓰기

갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0

 

갠드크랩(GandCrab) 랜섬웨어가 연일 화제(?)다. 이번에는 파일리스(fileless) 형태의 갠드크랩 3.0 버전(이하 갠드크랩 v3.0)이 등장했다. 안랩 시큐리티대응팀(AhnLab Security Emergency response Center, 이하 ASEC)은 블로그를 통해 갠드크랩 v3.0에 관한 분석 정보를 공유하고 개인 사용자는 물론 기업 보안 관리자들의 각별한 주의를 당부했다. 

 

최근 매그니튜드(Magnitude) 익스플로잇 킷을 통해 파일리스 형태로 유포도니 갠드크랩 랜섬웨어가 발견됐다. 안랩은 지난 4월 갠드크랩 랜섬웨어 대응 방안을 발표하면서 파일리스 형태로 유포되는 갠드크랩(GandCrab v2.1) 랜섬웨어를 언급한 바 있다. 이번에 확인된 갠드크랩 v3.0도 앞선 버전과 마찬가지로 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태(files)로 유포 중이다. 

 

갠드크랩 v3.0의 또 다른 특이 사항은 감염 완료 후 랜섬노트를 보여주는 것은 기존과 동일하지만, 이전 버전과는 달리 [그림 1]과 같이 바탕화면을 변경한다.  

 

 1805098473427183.PNG 

[그림 1] 갠드크랩 v3.0 감염 후 변경된 바탕화면

 

갠드크랩 v3.0은 매그니튜드 익스플로잇 킷의 랜딩 페이지가 인코딩된 스크립트를 통해 유포되고 있다. 해당 스크립트를 통해 닷넷(.Net) DLL이 감염 시스템에 저장(drop)하는 대신 실행 중인 인터넷 익스플로러(iexplore.exe)의 메모리 상에서 동작한다. 스크립트에 의해 DLL이 실행되면 쉘코드(shellcode)가 쓰레드(thread)로 실행된다. 이때 쉘코드는 패킹된 DLL을 다운로드하고 실행하는 역할을 수행하며, 이렇게 다운로드된 DLL이 현재 동작 중인 프로세스(iexplore.exe)에 랜섬웨어를 인젝션(injection)한다. 

 

인젝션된 갠드크랩 랜섬웨어는 감염 시스템 내 파일을 암호화하고, 암호화를 완료하면 [그림 2]와 같은 랜섬노트를 노출한다. 이어 앞서 설명한 것처럼 바탕화면을 [그림 1]과 같이 변경한다. 

 

 1805098473565247.PNG 

[그림 2] 갠드크랩 v3.0 의 랜섬노트

 

피해 예방을 위해 애플리케이션 보안 업데이트 적용해야…

파일리스 형태로 동작하는 갠드크랩 랜섬웨어는 또한 개인키 확인을 어렵게 하는 기법을 적용하고 있다. 이는 보안 솔루션의 탐지를 방해하는 한편, 암호화 파일의 복구를 힘들게 하기 위한 것으로 보인다. 

 

‘랜섬웨어’라는 악성코드의 특성 상 한번 감염되고 나면 피해를 입은, 즉 암호화된 파일의 복구는 사실상 불가능하다. 암호화된 파일을 복호화를 하기 위해서는 공격자가 갖고있는 키(개인키)가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 불가능하기 때문이다. 대부분의 랜섬웨어가 마찬가지로, 결국 랜섬웨어에 의한 피해를 최소화하기 위해서는 사전에 감염 예방을 위한 노력이 반드시 필요하다.

 

또한 갠드크랩 v3.0은 알려진 스크립팅 엔진 메모리 손상 취약점(CVE-2016-0189)을 이용했다. 갠드크랩 v3.0 및 이와 유사한 방식 또는 동일한 취약점을 이용하는 랜섬웨어의 피해를 예방하기 위해서는 주요 웹 브라우저의 보안 업데이트를 반드시 적용해야 한다. 

 

갠드크랩 v3.0이 이용한 취약점(CVE-2016-0189)에 영향 받는 웹 브라우저는 인터넷 익스플로러(Internet Explorer, IE) 버전 9, 10, 11이며, 아래의 마이크로소프트 웹사이트에서 보안 패치가 적용된 최신 버전의 IE를 다운로드 할 수 있다.

► 마이크로소프트 사이트 바로가기 

 

갠드크랩 v3.0 유포 스크립트 및 동작 과정에 관한 보다 상세한 내용은 ASEC 블로그를 통해 확인할 수 있다. 

번호 제목 글쓴이 날짜 조회 수
59 구글 플러스 보안에 또 '구멍'…5천만명 개인정보 유출 운영자 2018.12.12 12
58 중국 법원, 아이폰8·아이폰X 등 구형 아이폰 7종 판매금지 운영자 2018.12.12 7
57 '갤럭시S10' 새로운 안면 인식 기능 제공하나…삼성전자, '다이나믹 비전' 상표 출원 운영자 2018.12.12 14
56 MS '엣지' 브라우저 포기하나? 크로미엄 기반 '에너하임' 상반기 공개 운영자 2018.12.12 7
55 중국, 퀄컴 특허 침해로 애플 아이폰 중국 판매 금지 판결 운영자 2018.12.12 9
54 MS "윈도10 사용 중 업데이트 없앤다" file 운영자 2018.07.28 15
53 인텔, '수첩형 PC' 공개…태블릿과 e잉크를 한 번에 운영자 2018.06.18 17
» 갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0 운영자 2018.05.18 18
51 유심 칼로 자르기.. file 운영자 2018.03.03 47
50 "광고비도 다 내놔”...상상 초월하는 애플의 갑질 횡포 운영자 2018.02.09 13
49 보안백신까지 뚫은 '랜섬웨어' file 운영자 2017.06.26 8
48 경찰 '랜섬웨어 감염되면 '노모어랜섬' 접속하세요' 운영자 2017.04.27 15
47 3초 만에 '펑'..컴퓨터 암살자 'USB킬러'를 아시나요? 운영자 2017.04.27 13
46 모질라 출신 개발자 "백신 다 지워라" 운영자 2017.01.30 16
45 네이버 금융감독원 보안관련 인증절차 악성코드 퇴치 file 운영자 2016.11.16 34
44 통신사 장기가입자는 '호갱님'..1천만 명 속였다 운영자 2016.10.07 22
43 웹서핑 조심…국내 사용자 노린 랜섬웨어 '공주' 발견 운영자 2016.10.03 28
42 HP 프린터, 국내에서 삼성 브랜드로 팔린다 file 운영자 2016.09.30 230
41 '남양주 캠퍼스 중단' 서강대 유기풍 총장 사퇴 file 운영자 2016.09.29 13
40 유기풍 서강대 총장 사퇴… "남양주캠퍼스 이전 문제 책임" file 운영자 2016.09.29 21