보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-04-25

최근 인터넷 사이트에 접속하는 것만으로도 감염되는, 이른바 갠드크랩(GandCrab v 2.1) 랜섬웨어 피해가 잇따르고 있다. 안랩은 갠드크랩 랜섬웨어를 분석한 결과, 해당 랜섬웨어가 파일을 암호화하는 것을 방지하는 조건을 찾아내고 대응 방안을 공개했다. 

 

갠드크랩 랜섬웨어 2.1 버전은 주로 보안이 취약한 웹사이트를 통해 유포되고 있다. 갠드크랩 랜섬웨어가 실행되면 일부 경로 및 확장명의 파일을 제외한 대부분의 파일을 암호화하고 기존 확장자 뒤에 ‘.CRAB’을 추가한다. 이어 [그림 1]과 같은 랜섬노트를 화면에 출력한다. 

 

  

[그림 1] 갠드크랩 랜섬웨어 감염 안내 화면

 

안랩, 갠드크랩 랜섬웨어 킬체인 기반의 대응 방안 공개

안랩은 갠드크랩 랜섬웨어를 분석한 결과, 특정 데이터를 포함한 파일(이하 ‘데이터 파일’)이 폴더에 존재하면 해당 폴더는 암호화 않는 조건, 즉 ‘킬 스위치(kill switch)’를 발견했다. 이는 백신 제품의 여러 탐지 기법 중 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다. 

 

안랩은 이를 역이용, 해당 ‘데이터 파일’이 특정 드라이브의 첫 번째 지점에 존재하면 해당 드라이브 전체가 암호화되지 않는 것을 확인했다. 안랩은 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그를 통해 해당 데이터 파일을 제공하고 있다. 

ASEC 블로그 관련 내용 바로가기 

 

위의 ASEC 블로그를 통해 안랩이 제공하는 데이터 파일을 다운로드 받아서 각 드라이브의 첫 번째 지점(각 드라이브 루트경로, ex. C:/ 혹은 D:/)에 복사해 놓으면 갠드크랩 랜섬웨어 2.1버전에 감염되어도 해당 드라이브에 존재하는 파일이 암호화 되는 것을 막을 수 있다. 

 

V3 제품군의 갠드크랩 랜섬웨어 대응 현황

안랩은 앞서 매그니베르 랜섬웨어의 유포지를 확인하던 중 최신 갠드크랩 랜섬웨어(GandCrab v2.1)가 유포되고 있는 것을 파악하고 예의 주시하던 중 지난 4월 둘째 주에 갠드크랩 랜섬웨어가 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태 파일리스(Fileless) 형태로 유포되는 것을 확인했다. 

 

갠드크랩 랜섬웨어 2.1 버전이 파일리스 형태로 유포됨에 따라 안랩의 V3 제품군에서는 URL 및 패킷 차단 방식으로 대응하고 있다. 

우선, V3 Lite는 ‘악성 사이트 접근 차단’ 기능을 통해 사용자가 매그니튜드 익스플로잇 킷과 관계된 웹사이트 방문 시 접속을 차단하고 [그림 2]와 같은 알림창을 제공한다. 

 

  

[그림 2] V3 Lite의 악성 사이트 접근 차단 알림창 

 

기업용 PC 통합 보안 솔루션인 V3 Internet Security 9.0(V3 IS 9.0)와 V3 Endpoint Security 9.0(V3 ES 9.0)은 갠드크랩 랜섬웨어가 암호화를 수행하기 위해 C&C 서버에 접속하는 패킷을 차단하며, 아래 [그림 3]과 같이 네트워크 침입 차단 알림창을 제공한다. [그림 3]의 차단된 프로세스 explorer.exe는 악성코드에 의해 새롭게 생성된 프로세스다. 

 

  

[그림 3] V3 Endpoint Security 9.,0의 네트워크 침입 차단 알림창

 

갠드크랩 랜섬웨어 감염 예방을 위한 보안 수칙

갠드크랩 랜섬웨어 2.1 버전은 암호화하는 파일마다 랜덤한 키 바이트를 생성하여 AES-256 방식으로 암호화한 뒤 랜덤 키 바이트를 다시 공격자의 공개키로 암호화 한다. 즉, 암호화된 파일을 복호화를 하기 위해서는 공격자의 개인키가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일의 복구는 불가능하다. 이는 대부분의 랜섬웨어도 마찬가지로, 결국 랜섬웨어에 의한 피해를 최소화하기 위해서는 사전에 감염 예방을 위한 노력이 반드시 필요하다. 

 

기본적으로 ▲수상한 웹사이트 접속 금지 ▲출처가 불분명하거나 불법 콘텐츠 파일 다운로드 금지 ▲OS(운영체제), 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲V3의 엔진 버전을 최신으로 유지하는 등이다. 

 

특히 갠드크랩 랜섬웨어 2.1 버전이 악용하는 취약한 웹브라우저는 인터넷 익스플로러 버전 9, 10, 11로, 해당 브라우저의 최신 버전은 마이크로소프트의 다운로드를 통해서 다운로드할 수 있다. 

 

마이크로소프트 다운로드 웹페이지 바로가기

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.