본문 바로가기
악성코드 정보

Fileless 형태로 유포되는 GandCrab v3.0

by AhnLab ASEC 분석팀 2018. 5. 2.

GandCrab 랜섬웨어는 최근 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임이 발견되었다. 이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인한바 있다이와 관련하여 자사에서는 금주부터 GandCrab v3.0이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다


[그림 1] 4월 30일 유포과정 구조도

[그림 2] 5월 2일 유포과정 구조도

[그림 1]과 [그림2]는 각각 4월 30일, 5월 2일 Magnitude 익스플로잇 킷을 통해 유포되는 GandCrab v3.0의 구조도이다. 유포 스크립트로부터 GandCrab v3.0 랜섬웨어가 실행되기까지의 상세한 과정은 아래와 같다.


[그림 3] 인코딩된 유포 스크립트

[그림 3]은 Magnitude 익스플로잇 킷의 랜딩페이지로 인코딩 형태이다. [그림 4], [그림 5]은 각각 4월 30일, 5월 2일 수집된 해당 스크립트의 디코딩한 모습이다. 


[그림 4] 디코딩된 유포 스크립트 (04/30)


[그림 5] 디코딩된 유포 스크립트 (05/02)

[그림 4], [그림 5]의 디코딩된 스크립트는 빨간 박스의 변수에 담긴 문자열(Base64 인코딩된 닷넷 DLL) 을 디코딩 후 실행한다. 해당 방식은 디코딩된 닷넷 DLL을 로컬에 드랍하지 않고 실행하는 Fileless 방식이다. 따라서 닷넷 DLL은 해당 유포스크립트가 동작하던 iexplore.exe 의 메모리에서 동작하게 된다.


[그림 6] Base64 디코딩된 닷넷 PE (04/30)


[그림 7] Base64 디코딩된 닷넷 PE (05/02)

[그림 6]과 [그림 7]은 각각 4월 30일, 5월 2일 유포 스크립트 내부의 닷넷 DLL 코드이다. 유포 스크립트로 인해 해당 DLL이 실행되면 <그림 2>,<그림 3>에 보이는 array에 담긴 쉘코드를 쓰레드로 실행시킨다. 해당 쉘코드는 [그림 1],[그림 2] 의 구조도에서 보이는 패킹된 DLL을 다운로드하고 실행하는 역할을 수행한다.


[그림 8] 쉘코드로부터 다운로드되는 DLL (04/30)


[그림 9] 쉘코드로부터 다운로드되는 DLL (05/02)

[그림 8]과 [그림 9]는 각각 4월 30일, 5월 2일 쉘코드로부터 다운로드 및 실행되는 DLL이다. 날짜별 실행방식에 차이는 인젝션 대상 프로세스이다. 4월 30일 자 DLL의 경우 svchost.exe에 인젝션을 시도하며, 실패 시 현재 프로세스(iexplore.exe)에 랜섬웨어를 인젝션한다. 5월 2일 자 DLL의 경우에는 wimserv.exe 에 인젝션을 시도하며, 실패 시 현재 프로세스(iexplore.exe)에 랜섬웨어를 인젝션 하게 된다.


[그림 10] GandCrab v3.0 의 랜섬노트


[그림 11] GandCrab v3.0 감염 후 변경 된 바탕화면


인젝션되어 동작하는 GandCrab 랜섬웨어는 파일 암호화를 수행하고, 감염이 완료되면 [그림 10]과 같이 랜섬노트를 팝업시키며, 이전 버전과 달리 [그림 11] 처럼 바탕화면이 변경된다.


감염 예방방법

- 취약점 패치

결과적으로 GandCrab은 Fileless의 형태로 동작하는 것과 개인키 확인을 어렵게 하는 점으로 보아 진단 및 복구를 힘들게 한다고 할 수 있다. 따라서 확인되지 않는 페이지의 접근을 지양하고 접속 시 사용자의 각별한 주의가 필요하며 주기적인 보안 업데이트가 필요하다. (아래 참고)

스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)

취약점 대상의 인터넷 익스플로러 버전 9, 10, 11이며 아래 경로에서 최신 버전의 인터넷 익스플로러를 다운로드 할 수 있다.

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads

또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있다.

윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update

댓글0