포스팅 내용

악성코드 분석 리포트

멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

최근 해외 성인광고 서버를 통해 Fallout Exploit Kit이 유포 되어 최신 보안업데이트가 제대로 이루어지지 않은 PC에서 해당 웹사이트를 방문 할 시갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드에 감염 될 수 있는 내용이 쓰렛인사이드(Threat Inside)를 통해 확인 되어 주의를 당부 드립니다.


[그림 1] 성인광고 페이지 이미지

 


이번에 발견 된 멀버타이징에 사용 된 Fallout Exploit Kit은 사용자의 브라우저 프로필을 검사하여 조건에 부합 할 경우 악성 콘텐츠로 연결하게 됩니다.

조건에 맞는 사용자에게는 302 리다이렉션을 통해 광고 페이지가 아닌 Fallout Exploit Kit 랜딩 페이지로 접속 합니다.


[그림 2] Fallout Exploit 접속 URI 이미지



Fallout Exploit Kit에 접근 한 사용자는 CVE-2018-8174(VBScript 엔진 원격 코드 실행) 취약점을 이용하여 갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드에 감염 될 수 있습니다.


[그림 3] Fallout Exploit Kit + CVE-2018-8174 코드 이미지

 


갠드크랩(GandCrab) v5.0.3 랜섬웨어에 대한 상세한 분석정보는 사이버위협 인텔리전스(CTI) 플랫폼인 쓰렛인사이드(Threat Inside)에서 확인이 가능합니다.


[그림 4] 쓰렛인사이드(Threat Inside)을 통해 분석 완료 된 갠드크랩 이미지

 


통합 백신 알약에서는 관련 악성코드를 Trojan.Ransom.GandCrab 으로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage