최근 웹 익스플로잇 킷을 통해 국내에 유포되는 대표적인 랜섬웨어는 매그니베르 랜섬웨어이다. 하지만 최근 그랜드소프트(GrandSoft) 익스플로잇 킷을 통해 갠드크랩 랜섬웨어도 유포되기 시작했다. 그랜드소프트 익스플로잇 킷은 랜섬웨어를 유포하는데 웹사이트 취약점(CVE-2018-8174) 을 사용한다. 따라서 Internet Explorer 버전이 취약한 경우, 웹 사이트 접속하는 것 만으로 랜섬웨어에 감염될 수 있다.
[그림 1] 그랜드소프트(GrandSoft) 익스플로잇 킷 취약점 스크립트
[그림 1]은 그랜드소프트(GrandSoft) 익스플로잇 킷의 취약점 스크립트이다. CVE-2018-8174 취약점을 사용하여 스크립트 내 포함된 쉘코드를 실행시킨다.
[그림 2] 쉘코드 기능 (PE 다운로드)
[그림 2]와 같이 쉘코드는 웹 서버에 접속하여 인코딩된 PE를 다운로드 한다. 다운로드에 사용하는 API는 아래와 같다.
[그림 3] 쉘코드 기능 (파일로 저장)
쉘코드는 마지막으로 저장된 "[랜덤숫자].tmp" 파일을 [그림 4]와 같이 실행한다. 쉘코드를 통해 실행된 "[랜덤숫자].tmp" 파일은 최종적으로 갠드크랩 랜섬웨어를 다운로드하여 실행시킨다.
최종적으로 실행된 갠드크랩 랜섬웨어는 파일 암호화를 수행하고, 감염이 완료되면 [그림 5]와 같이 바탕화면이 변경된다.
[그림 5] 갠드크랩 v3.0 감염 후 변경된 바탕화면
현재 안랩 제품에서는 GrandSoft EK를 통해 유포되는 갠드크랩 랜섬웨어를 다음과 같이 진단하고 있다.
- 파일 진단: Trojan/Win32.GandCrab(2018.06.20.00)
- 행위 진단: Malware/MDP.Execute.M1509
'악성코드 정보' 카테고리의 다른 글
| 동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어 (0) | 2018.07.05 |
|---|---|
| 음란물과 함께 유포되는 GoBot2 악성코드 주의 (0) | 2018.06.21 |
| Fileless 형태 매그니베르 랜섬웨어 인젝션 대상(불특정 프로세스) 변경 (0) | 2018.06.11 |
| Fileless 형태 매그니베르 랜섬웨어 재등장 (3) | 2018.06.05 |
| 이력서를 가장해 유포되는 GandCrab 랜섬웨어 주의 (1) | 2018.05.11 |
댓글