상세 컨텐츠

본문 제목

갠드크랩(GandCrab) 랜섬웨어 CVE-2017-8570 취약점으로 유포 중

악성코드 분석 리포트

by 알약(Alyac) 2018. 5. 4. 11:12

본문



안녕하세요? 이스트시큐리티 위협인텔리전스 조직인 시큐리티대응센터(이하 ESRC)입니다.


지난 2016년 12월부터 유창한 한글 이메일로 한국에 집중적으로 유포했던 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 2018년 현재까지도 지속적인 공격을 수행하고 있습니다.


최근에는 갠드크랩(GandCrab) 랜섬웨어 시리즈가 유포에 주로 활용되고 있습니다.


그동안 공격자는 웹 디자인 분야에 종사하는 실존 디자이너나 작가를 교묘히 사칭해 이미지 파일에 대한 저작권법 위반 및 무단 도용에 대한 항의로 가장하거나, 특정 실명을 거론하며 마치 입사지원서로 사칭한 공격도 유행하고 있는 실정입니다.



※ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의

http://blog.alyac.co.kr/1660



ESRC에서 2018년 04월부터 05월 초까지 알약 행위기반 랜섬웨어 사전 차단기능으로 확인한 일부 갠드크랩 차단완료 경로는 다음과 같습니다.



[그림 1] 알약 랜섬웨어 행위기반 차단 기능으로 수집된 최근 로그 기록 일부



상기 통계 로그 외에도 다수의 경로와 파일명이 지속적으로 보고되고 있으며, 주로 EGG 압축 파일 내부에 바로가기(.LNK) 파일로 실행을 유도하고, 숨김 속성의 랜섬웨어 숙주(.EXE) 파일을 실행하는 수법이 사용되고 있습니다.


특히, 랜섬웨어에 감염될 경우 상대적으로 피해 범위가 클 수 있는 디자이너나 작가들이 주로 표적이 되고 있으며, 더불어 입사지원서를 사칭해 불특정 다수의 채용 담당자를 상대로 공격이 수행되고 있어, 기업 보안에도 보안강화가 요구되고 있습니다.


이런 수법은 알약 블로그를 통해 실제 사례를 여러차례 소개해 드린 바 있어, 많은 분들이 사전 예방에 활용을 하고 계십니다.


그런데 2018년 05월 04일 현재 'LNK+EXE' 형식이 아닌 DOC 취약점(CVE-2017-8570)을 통한 공격이 확인되었습니다.



[그림 2] DOC 취약점과 입사지원서로 사칭한 랜섬웨어 유포 이메일 화면



'입사지원서.doc' 파일은 서식 있는 텍스트(.RTF) 포맷으로 만들어져 있으며, 내부에 총 6개(0~5)의 OLE Stream 코드가 포함되어 있습니다.


'OLE Stream 2' 영역에는 실제 갠드크랩 랜섬웨어 파일이 오브젝트로 포함되어 있는 것을 알 수 있습니다.



[그림 3] '입사지원서.doc' 파일 내부에 숨겨져 있는 랜섬웨어 코드



'OLE Stream 4' 영역에는 'CVE-2017-8570' 취약점에 이용되는 클래스 코드 '{204774CF-D251-4F02-855B-2BE70585184B}'가 포함되어 있습니다.



[그림 4] 'CVE-2017-8570' 스크립트 코드 화면



갠드크랩 랜섬웨어는 현재 3.0 버전까지 업데이트가 이뤄지고 있으며, 지속적으로 변종이 제작되고 있어 이용자분들이 각별한 주의가 필요한 상태입니다.


랜섬웨어는 특정 호스트 등으로 접속을 시도하며, 감염 신호 등을 수집하고 추가 명령을 내릴 수 있습니다.



[그림 5] 갠드크랩 랜섬웨어가 네트워크 통신을 시도하는 화면



이처럼 한국을 상대로 1년 넘도록 랜섬웨어를 집중적으로 유포하는 공격 조직은 현재도 매우 활발하게 활동을 유지하고 있습니다.


우선 공격자는 나름 유창하고 정교한 한글 이메일을 사용한다는 점과 이메일 본문에 거의 마침표(.)가 존재하지 않는 다는 공통된 특징을 가지고 있으므로, 이와 유사한 보안위협에 노출되지 않도록 참고해 주시면 좋겠습니다.


공격에 이용된 문서파일의 속성을 살펴보면 회사명에 'KOMP'라는 정보가 존재합니다.



[그림 6] 워드 문서에 포함되어 있는 KOMP 회사명 화면



더불어 신뢰할 수 있는 보안 소프트웨어를 항시 최신상태로 유지하고, 기본적인 보안원칙을 수행하는 노력과 평상시 중요 자료들은 분리된 별도의 저장 매체에 수시로 백업하는 습관이 필요합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Ransom.GandCrab'으로 진단하고 있습니다. 



입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요





관련글 더보기

댓글 영역