최신 버전인 4.1에 SMB 익스플로잇 툴 탑재되어 있다는 주장 나와
여러 기능 추가된 건 맞지만 이터널블루 등 익스플로잇 툴은 없어

[보안뉴스 문가용 기자] 갠드크랩(GandCrab) 랜섬웨어의 개발자들이 끊임없는 업그레이드를 실시하고 있는 중이다. 가장 최근 버전에는 SMB 공유를 통한 감염 기법도 탑재되어 나타나는 바람에 워너크라이(WannaCry)와 비슷한 위협이 되었다는 분석도 나왔다. 다행스럽게도 최신 갠드크랩이 SMB를 통한 감염 메커니즘을 가졌다는 주장은 아직 더 확인할 여지가 남아있다는 새로운 주장이 나왔다.


보안 업체 포티넷(Fortinet)은 최근 갠드크랩 4.1이 돌아다니고 있는 걸 포착해 샘플을 확보했다. 포티넷의 보안 전문가들은 최근 4.1 버전이 침해된 웹사이트들을 통해 번지고 있다고 발표했으며, 이 웹사이트는 크랙킹이 완료된 애플리케이션들을 다운로드 받을 수 있는 곳처럼 꾸며져 있었다고 설명했다. 또한 살사2.0(Salsa2.0)이라는 스트림 사이퍼를 사용해 데이터를 암호화한다고도 설명했다. 갠드크랩 초기 버전은 RSA-2048을 사용해 암호화를 실시했다.

그러면서 포티넷은 “갠드크랩 4.1에는 길게 하드코딩 된 웹사이트 목록이 하나 있다”고 밝혔다. 이 웹사이트드은 멀웨어가 연결을 시도하는 곳들이며, “일단 연결에 성공하면 멀웨어가 데이터를 전송하기 시작한다.” 여기에는 IP 주소, 사용자 이름, 컴퓨터 이름, 네트워크 도메인, 시스템 내 설치된 안티 멀웨어 툴 등이 포함된다고 한다.

재미있는 건 이렇게 갠드크랩 4.1의 코드 내에 포함되어 있는 웹사이트들 중 그 어떤 것도 침해된 흔적이 없다는 것이다. 또한 랜섬웨어인 갠드크랩이 굳이 시스템 정보를 여러 사이트에 전송한다는 것도 얼른 이해하기가 쉽지 않다. 포티넷 역시 이러한 점을 짚어내며, “갠드크랩 개발자가 여러 기능을 시험해보고 있는 듯 하다”고 분석했다.

“그러나 공격자의 진정한 동기는 파악하기가 쉽지 않다”고 포티넷의 수석 위협 분석가인 발 생파이불(Val Saengphaibul)이 덧붙였다. “그 외에도 가능성들은 있습니다. 이해하기 힘든 기능을 덧붙여 분석가들의 주의를 끌려는 것일 수도 있고, 이후에 있을 공격을 미리 준비하는 것일 수도 있지요.”

그 외에도 갠드크랩 4.1에는 여러 가지 기능이 있었다. “msftesql.exe, sqlagent.exe, oracle.exe, msaccess.exe, powerpnt.exe, wordpad.exe와 같은 프로세스들을 중단시킵니다. 그러고 나서 암호화를 실시하죠. 즉 암호화를 진행할 때 놓치는 파일이 없도록 하는 겁니다.” 생파이불은 “주로 피해자들이 높은 가치를 부여하는 파일들을 열거나 생성할 때 필요한 프로세스들을 죽인다”고 설명한다.

그러나 갠드크랩이 SMB 익스플로잇을 통해 퍼지고 있다는 사실은 확인할 수가 없었다고 포티넷은 설명한다. “만약 갠드크랩이 SMB 익스플로잇을 하고 있었다면, 워너크라이나 낫페트야(NotPetya) 사건이 또 발생했을 수도 있습니다. 위협이 훨씬 더 커졌을 거라는 소리입니다.” 그러나 지금까지도 분석을 통해 SMB 익스플로잇 기능을 찾지 못했다.

갠드크랩은 올 1월 처음 나타난 랜섬웨어로, 빠른 확장력과 개발자의 꾸준한 업데이트 덕에 랜섬웨어 분야에서 가장 큰 위협으로 자리 잡았다. 보안 전문가들의 큰 관심을 끌고 있지만, 아직까지는 개발자의 업데이트 속도가 방어 시스템을 이기고 있는 형국이다. 현재까지 전 세계 약 5만 대 시스템을 감염시켰으며 공격자의 수익이 60만 달러 정도 될 거라고 추산하고 있다.

갠드크랩 최신 버전에서 NSA의 익스플로잇 도구인 이터널블루(EternalBlue)를 발견했다고 주장한 건 보안 전문가 케빈 뷰몬트(Kevin Beaumont)이다. 하지만 포티넷은 “SMB를 통한 갠드크랩 감염을 지금부터 걱정하지 않아도 될 것”이라고 반박했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>