• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정상 SW로 위장한 갠드크랩, 실행했다가 랜섬웨어 ‘감염’ 2018.07.02

드라이브 바이 다운로드 또는 악성 메일 통해 유포
한국어에 대한 검사 루틴 포함... 한국 공격 지속될 듯
SCH사이버보안연구센터, 프로그램 실행시 각별히 주의해야

[보안뉴스 권 준 기자] 국내에서 맹위를 떨쳤던 갠드크랩 랜섬웨어가 최근 정상 소프트웨어로 위장해 다운로드 바이 드라이브(Drive-By-Downloads) 방식으로 또 다시 유포되고 있는 것으로 드러났다.

순천향대 SCH사이버보안연구센터(센터장 염흥열 교수, 이하 센터)가 입수한 갠드크랩 랜섬웨어 v3.0은 드라이브 바이 다운로드 방식으로 유포되거나 악성 메일을 통하여 유포되고 있는 것으로 알려졌다. 이번에 센터가 분석한 갠드크랩 랜섬웨어 v3.0의 특징은 익스플로잇 과정과 악성 실행 파일의 난독화 방식이 고도화됐다는 점과 정상 소프트웨어처럼 위장해 유포되고 있다는 점이다.

▲갠드크랩 랜섬웨어에 감염되면 나타나는 랜섬노트[자료=순천향대 SCH사이버보안연구센터]


▲갠드크랩 랜섬웨어의 토르 브라우저 설치 유도 화면[자료=순천향대 SCH사이버보안연구센터]


센터에서 갠드크랩 v3.0 랜섬웨어를 입수해 분석한 결과, 불특정 다수를 노리는 드라이브 바이 다운로드 방식으로 취약한 사이트에서 유포되고 있는 것이 확인됐다는 것. 해당 유포 방식은 특정 웹사이트 접속만으로 악성코드가 다운로드 되어 실행되기 때문에 사용자가 인식하기가 어렵고, 불특정 다수를 노려 감염 영역을 확장하려는 의도도 보인다는 게 센터 측의 설명이다.

이번에 발견된 갠드크랩 랜섬웨어는 감염 당시 사용자 PC를 재부팅하는 행위를 하며, 이로 인해 감염 PC가 바로 재부팅되면서 악성코드 분석가들이 네트워크 패킷기반 분석(악성코드 감염 및 이후 동작)을 확인하기 어렵게 만드는 것으로 분석됐다.

갠드크랩 랜섬웨어는 암호화되는 사용자 파일들의 이름이 ‘FileName.CRAB’으로 변경된다. 또한, 감염된 컴퓨터의 언어가 한국어인지 확인하는 루틴이 발견됐으며, 이는 한국의 인터넷 서비스 사용자도 주 감염 대상이 될 수 있음을 나타내고 있다.

이후에는 파일들을 암호화시키고 몸값을 요구하는 ‘CRAB-DECRYPT’ 이름의 랜섬노트를 남긴다. 해당 랜섬노트에서는 갠드크랩 버전을 명시하고 있으며 암호화된 파일을 복호화 하는 절차를 설명하고 있다. 또한, 재부팅 후에는 몸값을 지불하도록 하기 위해 토르 브라우저를 설치하도록 유도하는 것으로 드러났다.

▲갠드크랩 랜섬웨어에 의해 암호화 된 파일 확장자[자료=순천향대 SCH사이버보안연구센터]


▲갠드크랩 랜섬웨어 실행파일의 난독화 된 루틴[자료=순천향대 SCH사이버보안연구센터]


센터에서 분석한 난독화 되어 있는 랜섬웨어 샘플의 경우, ‘dfdsdsfsdf’ 문자열을 이용해 복호화를 위한 키를 복구하고, 이를 기반으로 실제 난독화 해제를 위한 복호화 과정이 수행된다. 이러한 과정은 악성코드 분석가들의 분석을 어렵게 하려는 의도로 보인다는 설명이다.

▲좌: ‘putty.exe’ 파일로 위장한 갠드크랩 랜섬웨어,
우 : ‘putty.exe’ 정상 설치 프로그램

해당 샘플은 ‘putty.exe’라는 서버-클라이언트 접속을 지원하는 프로그램의 설치 프로그램인 것처럼 위장하고 있으며, 아이콘도 정상 설치 프로그램처럼 위장하고 있다. 정상 ‘putty’ 프로그램은 ‘SSH, Telnet, rlogin’ 등의 프로토콜을 이용해 서버와 클라이언트의 연결을 지원하는 프로그램이다. 해당 샘플은 정상 ‘putty’ 프로그램을 설치하려는 사용자를 대상으로 갠드크랩 랜섬웨어에 감염되게 하려는 목적으로 보인다. 사용자가 해당 프로그램을 실행시키게 되면 갠드크랩 랜섬웨어에 감염된다.

현재 갠드크랩 랜섬웨어는 기존 매그니튜드(Magnitude) 익스플로잇 킷을 통해 유포되는 것이 아닌 ‘그랜드소프트(GrandSoft)’ 익스플로잇 킷을 통해 유포되고 있는 상황이다.

드라이브 바이 다운로드 유포 방식으로 활동하고 있는 것과 한국어에 대한 검사를 하는 루틴이 포함된 것을 보면 이후에 한국을 대상으로 지속적으로 공격을 감행할 것으로 예측된다. 또한, 익스플로잇이나 실행 파일 자체의 루틴을 난독화하고 정상 실행 프로그램으로 위장하는 등 계속 변화하고 있어 갠드크랩 랜섬웨어가 앞으로도 지속적으로 유포될 것으로 보인다.

SCH 사이버보안연구센터 김민재 연구생은 “갠드크랩 랜섬웨어가 정상 프로그램으로 위장해 드라이브 바이 다운로드 유포와 메일 유포 방식 등으로 다양하게 유포되고 있어 많은 피해자를 발생시킬 수 있다”며, “프로그램 실행 시 자신도 모르게 감염될 수 있기 때문에 각별한 주의가 필요하며, 랜섬웨어에 대한 피해를 줄이기 위한 자료 백업이 준비되어야 하고, 사용하는 백신 프로그램과 응용프로그램의 최신 업데이트가 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>