한글윈도우 사용자만 감염한 Magniber 랜섬웨어


2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. 



[출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/



자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다.


[출처]: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/



Magniber 에서 GandCrab으로의 전환


국내에서 멀버타이징 기법을 통한 랜섬웨어 유포지를 모니터링 하는 과정에서 올 4월 11일 부터는 Magniber 에서 GandCrab 으로 랜섬웨어가 바뀐 사실을 ASEC블로그를 통해 공개하였다.  (참고: http://asec.ahnlab.com/1128)


GandCrab은 악성코드 내부에 국내 사용자만을 타깃으로 제작한 부분이 없으며, 글로벌하게 감염피해로 인해 이슈가 되는 상황이다. 현재 국내에서도 이력서, 정상 설치파일 위장 등 사회공학적 기법을 통한 유포 및 취약점(Rig, GrandSoft)을 통한 전파가 활발하게 진행되고 있다. 현재 다양한 GandCrab 유포방식 중, 국내 감염 피해가 많은 방식은 구글(Google)을 통한 폰트, 유틸, 설치파일 검색 시 상단에 노출되는 (공격자 제작)웹 페이지를 통한 다운로드 형태이다. (참고: http://asec.ahnlab.com/1166)



국내 IP만 다르게 유포되는 GandCrab


구글 검색 페이지를 통해 GandCrab 다운로드 유도하는 웹 사이트 중 한 곳을 대상으로 국내 IP로 접속했을 때와 해외 IP의 경우에 서로 다른 형식의 파일이 다운로드 됨을 확인하였다. 국내 IP로 접속한 경우에는 ZIP 압축파일(내부에 자바스크립트 포함) 형식으로 다운로드되며, 해외 IP의 경우에는 EXE 형식으로 다운로드되고 있다. 자바스크립트 코드에서는 내부에 암호화된 GandCrab(EXE파일)을 생성 및 실행하는 기능 외에 V3Lite, AVAST, Windows Defender, Microsoft Security Client 를 제거하는 기능이 존재한다. 이러한 백신제품에 대한 무력화 시도는 GandCrab 랜섬웨어 자체에는 존재하지 않는 것으로 제작자에 의해 국내 사용자만을 타깃으로 별도로 수행되는 기능임을 알 수 이다.


[그림-1] EXE 형태로 다운로드 (국외 IP)



[그림-2] 압축파일 내부 JS 형태로 다운로드 (국내 IP)


2018년 국내에 이슈가 되고있는 Magniber, GandCrab 2가지 랜섬웨어 사례를 볼 때, 랜섬웨어 제작자에게 한국이 주요한 공격대상이 되고 있음을 알 수 있다. 이는 상대적으로 인터넷 사용자가 많은 상황 및 해외에 비해 무수히 많은 지불대행업체들이 존재하여 일반 사용자로 하여금 쉽게 비트코인 형태의 비용을 지불할 수 있는 환경 등이 원인으로 추정된다. 이번 GandCrab 유포 시 국내 IP 사용자의 경우만 백신 무력화 기능이 존재하는 것이 확인된 상황에서 안랩은 지속적인 모니터링을 통해 국내 사용자의 감염피해를 예방하고자 한다.


Posted by 분석팀