보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

변종으로 꽉 찬 갠드크랩 랜섬웨어?! 파워쉘부터 백신 삭제까지

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-09-12

올해 4월부터 급격히 증가한 갠드크랩(Gandcrab) 랜섬웨어가 5개월여가 지난 9월 현재까지 기승을 부리고 있다. 최근에는 파워쉘을 이용한 변종부터 백신 프로그램의 삭제를 유도하는 변종까지 등장했다. 지난 4월부터 이어지고 있는 갠드크랩 랜섬웨어와 안랩의 추격전을 중심으로, 9월 현재 유포되고 있는 갠드크랩 랜섬웨어 변종의 특징과 대처 방법을 살펴본다. 

 

랜섬웨어 제작자와 안랩의 추격전은 현재 진행형 

지난 4월부터 급격히 증가한 갠드크랩 랜섬웨어가 여전히 거의 매주 변종을 쏟아내며 공세를 계속하고 있다. 안랩을 비롯한 주요 보안 업체들의 대응으로 지난 6월 초에 들어서며 피해 규모가 줄어들자 공격자는 6월 중순부터 현재까지 4.x 버전의 변종을 연달아 유포하고 있다. 심지어 9월 3일부터 7일 사이에는 두 개의 변종과 유포 스크립트가 발견되는 등 공격 속도가 더욱 빨라졌을 뿐만 아니라 공격 기법과 유포 경로를 다변화하면서 국내 사용자들을 위협하고 있다. 

 

한편, 지난 8월 3일(현지 시각)에는 러시아 해커로 추정되는 갠드크랩 랜섬웨어 제작자가 미국 언론 매체와의 인터뷰를 통해 V3를 공격하는 갠드크랩 변종을 유포할 것이라고 선언했다. 안랩이 4월과 7월, 두 차례에 걸쳐 갠드크랩 랜섬웨어 변종에 대한 킬스위치와 무력화 툴을 배포했기 때문에 손해(?)를 봤다는 것이 그 이유다. 그러나 안랩이 한발 먼저 V3 제품에 필요한 조치를 함으로써 갠드크랩 랜섬웨어 제작자의 선전 포고마저 무력화됐다. 

 

그러나 포기를 모르는 갠드크랩 랜섬웨어 제작자는 이후로도 다양한 변종을 쏟아내고 있다. 안랩 또한 지속적으로 갠드크랩 랜섬웨어를 예의 주시하며 변종이 나올 때 마다 킬스위치를 찾아내거나 피해 예방 조치를 자사 블로그(ASEC blog)를 통해 공유하고 있다. 그 중에서도 지난 8월 말부터 9월 초 현재 확인된 갠드크랩 랜섬웨어 변종의 유포 방식 및 주요 특징은 다음과 같다. 

 

V3 삭제하면 실행되는 갠드크랩, 구글 검색 결과 페이지 사이에…

지난 8월 말 갠드크랩 랜섬웨어를 유포하는 자바 스크립트(Java script)가 발견됐다. 이 자바스크립트는 성공적인 공격을 위해 랜섬웨어 실행 전에 감염 시스템의 윈도우 디펜더 서비스를 비활성화하고 V3 프로그램의 삭제를 유도하는 기능을 포함하고 있었다. 갠드크랩 랜섬웨어 제작자가 여전히 안랩을 견제하고 있음을 알 수 있는 대목이다. 

 

공격자는 다양한 경로를 통해 해당 자바스크립트를 유포했는데, 그 중 한국어 구글 검색 결과 페이지를 이용한 유포도 확인됐다. 사용자가 한국어 구글 사이트에서 특정 단어를 검색하면 [그림 1]과 같이 검색 결과 페이지 상단에 나타나는 페이지를 통해 악성 자바스크립트가 포함된 파일을 다운로드하도록 유도한다. 

 

  

[그림 1] 구글 검색 결과 페이지 상단에 위치한 갠드크랩 유포 사이트

 

[그림 1]에 빨간색으로 표시된 페이지에 접속하면 사용자가 검색한 프로그램의 설치 파일로 위장한 파일을 다운로드하는 링크가 보인다. 사용자가 해당 링크를 클릭하면 또 다른 웹사이트로 연결되고 zip 형식의 압축 파일이 다운로드된다. 이렇게 다운로드된 압축 파일 내부에는 [그림 2[와 같은 자바스크립트(js) 파일이 존재하는데, 바로 이 파일이 파워쉘을 통한 갠드크랩 랜섬웨어 v4.3을 다운로드하고 V3 Lite 삭제를 유도하는 역할을 한다. 

 

 

[그림 2] 압축 파일 내부의 악성 자바스크립트(js) 파일

 

 

사용자가  [그림 2]의 자바스크립트 파일을 본인이 검색한 프로그램의 설치 파일로 생각하여 실행하면 이 스크립트는 V3 Lite 제거 프로그램(Uninstaller) 경로를 찾아 이를 실행한다. V3 Lite의 언인스톨러 프로그램이 실행되면 최대 60초까지 V3 Lite가 제거되었는지 확인하는데, 만일 사용자가 60초 이내에 V3 Lite 제거 프로그램의 알림창에서 ‘제거’ 버튼을 클릭하면 갠드크랩 랜섬웨어 v4.3이 즉시 실행된다. 

 

  

[그림 3] V3 Lite 제거 프로그램

 

V3 제품은 해당 자바스크립트 파일을 행위 기반으로 차단하며, 아래와 같은 진단명으로도 탐지하고 있다. 

<V3 제품군 진단명>

JS/GandCrab.S1

 

한편, V3 Lite의 삭제를 유도해 진단되는 것을 방지하려는 갠드크랩 랜섬웨어를 유포하는 스크립트는 위의 예시 외에도 ▲윈도우 10 스토어 오류 해결 ▲무료 ppt 템플릿 ▲오토캐드 2014 키젠 등 다양한 문서와 프로그램 이름으로 위장하고 있다. 이러한 갠드크랩 랜섬웨어 변종에 의한 피해를 예방하기 위해서는 무엇보다 가급적 제조사의 공식 웹사이트를 통해 프로그램을 다운로드하는 것이 바람직하다. 또 위에서 살펴본 것처럼 다운로드했을 때 js 파일만 존재한다면 악성코드일 가능성이 있는 만큼 실행하지 않아야 한다. 

 

파워쉘을 이용한 갠드크랩 v4.4와 무력화 킬스위치

지난 8월 말 2개의 갠드크랩 랜섬웨어 변종이 유포됐다. 이들 두 버전은 랜섬웨어를 실행하는 방식에 차이가 있는데, v4.3은 내부에 암호화된 스크립트를 포함한 형태인 반면 v4.4는 파워쉘을 이용해 파일리스 방식으로 다운로드되어 동작하는 형태다. 안랩은 지난 9월 3일, 자사 블로그(http://asec.ahnlab.com)를 통해 v4.4 버전의 상세한 분석 내용과 함께 킬스위치를 공개했다. 

 

갠드크랩 랜섬웨어 v4.4는 파일리스(Fileless) 방식으로 동작한다는 것 외에는 기존의 갠드크랩 랜섬웨어와 전체적으로 유사하다. 특이한 점은 8월 말에 배포된 v4.4에 기존 갠드크랩 랜섬웨어 변종에 있었던 lock 파일의 존재 여부를 확인하는 코드가 다시 나타났다는 점이다. 

 

해당 코드가 파일 암호화를 무력화하는 킬스위치(Kill Switch)에 이용된다. 갠드크랩 v4.4는 파일을 암호화하기 전에 lock 파일의 존재 여부를 확인한다. 따라서, 각 드라이브 루트 경로에 lock 파일이 있을 경우, 파일 내용에 상관 없이 암호화가 진행되지 않는다. 

 

단, 이번에는 해당 코드를 킬스위치로 이용하기 위해서는 기존과 달리 매일, 날짜별로 lock 파일의 이름을 변경해야 한다. 갠드크랩 v4.4는 감염 시스템의 시간 정보를 참고해 lock 파일의 파일명을 정하기 때문이다. 

 

  

[그림 4] 시스템의 시간 정보에 따라 생성되는 갠드크랩 v4.4의 lock 파일명

 

지난 9월 3일부터 V3의 엔진 버전을 최신으로 유지하고 있을 경우, 해당 갠드크랩 랜섬웨어 변종은 아래와 같은 진단명으로 탐지된다. 

<V3 제품군 진단명>  

JS/Gandcrab, JS/GandCrab.S1

Trojan/Win32.Gandcrab 

Malware/MDP.Ransom.M1171

Malware/MDP.Ransom.M1947

 

탐지를 따돌리기 위해 인증서 서명 관련 배치 파일로 위장한 갠드크랩 

지난 9월 6일, 안랩은 배치 파일(*.bat) 형태로 유포된 갠드크랩 랜섬웨어 v4.3을 확인했다. 이 배치 파일은 보안 솔루션의 탐지를 어렵게 하기 위해 윈도우 시스템의 명령어를 이용해 동작하는 것으로 확인됐다.

 

특정 url을 통해 배치 파일이 다운로드되는데, 해당 파일은 서명(Certificate) 파일인것처럼 위장해 BASE64 코드로 인코딩되어 있다. 따라서 윈도우 시스템의 인증서 관련 유틸리티인 Certultil 관련 기본 명령어(command line)를 이용해 갠드크랩 랜섬웨어를 실행한다. 

 

또한 이번 갠드크랩 변종은 기존 변종이 주로 사용하던 마이크로소프트 비주얼 컴파일러(Microsoft Visual Cpp 8.0/9.0)가 아닌 널소프트 인스톨러(NullSoft Installer) 형태로 인젝션하여 동작하는 등 기존 변종들과는 다른 특징을 보인다. 

 

V3 제품군에서는 배치 파일 등 이번 갠드크랩 랜섬웨어 변종과 관련된 파일들을 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명> 

BAT/Gandcrab (2018.09.07.00)

BinImage/Gandcrab (2018.09.07.00)

Trojan/Win32.Gandcrab.C2698070 (2018.09.06.06)   

Malware/MDP.Ransom.1785

 

지금까지 살펴본 바와 같이 갠드크랩 랜섬웨어 제작자는 안랩 등 보안 업체의 대응을 따돌리기 위해 공격 방식 및 유포 방식을 계속해서 변경하고 있다. 

 

갠드크랩 랜섬웨어 변종에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다. 갠드크랩 랜섬웨어 제작자가 빠른 속도로 공격과 유포 방식을 바꿔가며 잇따라 변종을 유포하는 만큼 안랩은 갠드크랩 랜섬웨어 동향을 면밀하게 모니터링하고 있다. 또한 새로운 정황이 포착될 때마다 자사 ASEC 블로그 등을 통해 관련 내용을 신속히 공유하고 있다. 

‘ASEC 블로그’ 바로가기  

 

갠드크랩을 비롯한 랜섬웨어의 피해를 예방하는 첫걸음은 ‘감염’되지 않도록 주의하는 것이다. 랜섬웨어 특성상 일단 감염되면 대부분 복구가 불가능하기 때문이다. 랜섬웨어에 감염될 가능성을 최소화하기 위해서는 운영체제(OS) 및 주요 소프트웨어의 최신 패치를 빠짐없이 적용하고, V3의 엔진 버전을 최신 상태로 유지하는 것이 필요하다. 또 위에서 살펴본 것처럼 소프트웨어는 공식 사이트를 통해 이용하고, 의심스러운 메일이나 파일은 열어보지 않는 것이 좋다. 

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.