포스팅 내용

악성코드 분석 리포트

한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중



안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다.


2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다.


동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다.


그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다.


아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관련 안내 메일처럼 교묘하게 만들어져 있는 것을 알 수 있습니다.



[그림 1] 특정 택배 배송팀으로 위장한 악성 이메일 화면



이메일에 첨부되어 있는 '한진택배.egg' 압축 파일 내부에는 '배송장_386572.doc', '영수증_386572.doc' 등 MS Word 파일이 포함되어 있습니다.



 [그림 2] 압축 파일 내부에 포함된 워드 파일 화면



이름이 다른 2개의 파일은 실제로는 동일한 파일이며, 워드 파일을 실행하면 다음과 같이 보안 경고 창과 매크로 실행 유도화면을 보여주게 됩니다.



[그림 3] 워드 파일 실행 후 보여지는 매크로 실행 유도 화면



만약, [콘텐츠 사용] 버튼을 클릭해 매크로 기능을 활성화시키면, 내부 매크로 코드 명령에 의해 한국의 특정 언론사 웹 사이트로 접속해 다음과 같은 이미지를 보여주게 됩니다.





해당 이미지는 실제 다음과 같은 뉴스에 포함되어 있습니다.





그리고 'Yeah' 내용의 메시지 창을 띄우게 됩니다.




[그림 4] 매크로 실행 후에 보여지는 화면



이용자가 여기서 [확인]버튼을 클릭하면 매크로 기능에 의해 명령제어(C2) 서버로 연결되어 'ha.exe' 파일을 다운로드 합니다.



[그림 5] 특정 서버에서 갠드크랩 랜섬웨어(ha.exe)를 다운로드하는 패킷 화면



해당 서버에 등록되어 있는 갠드크랩(GandCrab) 랜섬웨어는 공용폴더(C:\User\Public)에 'putty.exe' 파일명으로 생성되고 실행됩니다.



[그림 6] 생성된 갠드크랩 랜섬웨어 화면



공격자가 구축해 둔 명령제어(C2) 서버에는 지속적으로 새로운 변종 랜섬웨어가 등록되어지고 있는 것을 확인했습니다.


ESRC에서는 한국인터넷진흥원(KISA)과 긴밀히 협력해 국내에서 해당 서버로의 접속을 차단해 랜섬웨어 전파를 최소화할 수 있도록 진행 중입니다.



[그림 7] 랜섬웨어 유포에 악용되고 있는 서버 화면



공격자의 서버에는 다수의 악성파일이 은밀하게 숨겨져 있으며, 'HJ_invoice.pdc' 파일은 기존 갠드크랩 랜섬웨어 유포에 이용된 바 있는 CVE-2017-8570 취약점을 이용한 MS Word기반 악성파일도 발견이 되었습니다.



[그림 8] CVE-2017-8570 취약점을 이용한 HJ_invoice.doc 파일 코드 화면



'HJ_invoice.doc' 문서는 택배관련 내용으로 유포한 것과 동일한 이미지를 포함하고 있는데, 일부 편집한 흔적이 존재합니다.



[그림 9] 공격자 서버에서 발견된 악성 문서의 실행된 화면



'HJ_invoice.doc' 문서의 취약점이 실행되면, 임시폴더(Temp) 경로에 'decoy.doc' 파일이 생성됩니다.


이 파일이 실행되면 다음과 같이 공격자가 테스트한 것으로 추정되는 한글 문구를 확인할 수 있으며, 기존 CVE-2017-8570 취약점 공격에 이용했던 문서와 동일한 회사명 'KOMP' 표현이 포함된 것을 볼 수 있습니다.



[그림 10] 'decoy.doc' 문서 파일에 포함된 내용과 속성 정보 화면



현재 알약에서는 관련 악성파일들을 'Trojan.Ransom.GandCrab', 'Trojan.Downloader.VBA.gen' 등으로 진단하고 있습니다.


최근 한국 맞춤형 갠드크랩 랜섬웨어 이메일이 국내에 지속적으로 유포되고 있으며, 매우 다양한 형태로 진화하고 있으므로, 아래 사례들을 참고해 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요합니다.

 


 유명 취업사이트 채용공고 지원문의로 위장된 랜섬웨어 피해 속출


 갠드크랩(GandCrab) 랜섬웨어 CVE-2017-8570 취약점으로 유포 


 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요





티스토리 방명록 작성
name password homepage