포스팅 내용

악성코드 분석 리포트

갠드크랩(GandCrab) 랜섬웨어 제왕의 변천사


안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


이스트시큐리티는 2018년 갠드크랩(GandCrab) 랜섬웨어 History에 대해 정리하였습니다. 


‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)은 서비스형 랜섬웨어(RaaS)로, 2018년도를 대표하는 랜섬웨어라고도 말할 수 있습니다.


공개키 방식으로 파일을 암호화하는 랜섬웨어인 GandCrab은 스팸 메일과 익스플로잇 킷을 통해 처음 등장하였으며, 최근에는 변종들까지 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 특징을 가집니다.


GandCrab의 구매자는 랜섬 수익을 6대 4로 나누는 ‘파트너 프로그램’ 조항에 동의해야하며, 대형 구매자는 수익의 70%까지 요구할 수 있습니다. 


GandCrab은 구매자에게 지속적인 기술지원과 업데이트를 제공하고 있습니다. 독립국가연합(러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카자흐스탄, 키르기스스탄, 타지키스탄, 우크라이나, 투르크메니스탄)을 공격하기 위한 용도로는 구매가 불가능하며, 이 정책을 위반하면 계정이 삭제됩니다.


GandCrab의 역사는 다음과 같습니다.



GandCrab v1


2018.01 러시아 해킹 커뮤니티에서 새로운 랜섬웨어, GandCrab이 발견되었습니다. 랜섬웨어를 유포한 사이버 범죄조직은 RIG 및 GrandSoft EK를 이용해 랜섬웨어를 유포했습니다.



GandCrab v2


2018.03 GandCrab v2가 발견되었습다. 여전히 .Crab 확장자를 사용하고 있었으며 일부 내용만 변경되었습니다.


2018.03 디자이너 명의를 사칭한 GandCrab이 발견되었습니다.


2018.04 GandCrab v2.1이 발견되었습니다. '창작물 무단 이용에 대한 이미지 파일을 확인'이라는 내용으로 첨부 파일 실행을 유도했습니다.


2018.05 입사지원서로 위장한 갠드크랩이 발견되었습니다.


2018.05 취약점(CVE-2017-8570)으로 유포되는 갠드크랩 발견되었습니다.


2018.05 유명 취업사이트의 채용공고 지원문의로 위장한 갠드크랩이 발견되었습니다. 


2018.05 합법적인 웹사이트에 숨어있는 갠드크랩이 발견되었습니다. 당시 해당 웹사이트는 최신 업데이트를 하지 않아 보안에 취약한 상태였습니다.


2018.05 매크로 기반으로 유포되는 갠드크랩이 발견됩니다. 한국어를 구사하는 랜섬웨어 유포자가 매크로 기반의 갠드크랩을 유포했습니다.



GandCrab v3


2018.05 GandCrab v3이 Bondat 웜 변종을 통해 유포되었습니다. Bondat 웜은 이동식 디스크를 통해 유포되며 감염 PC를 좀비 PC로 만들 뿐만 아니라 브라우저 시작 페이지 변경하고 모네로를 채굴하는 등의 악성행위를 저질렀습니다.


2018.05 국내 대학을 대상으로 갠드크랩 랜섬웨어가 유포됩니다. 국내 대학을 대상으로 갠드크랩 랜섬웨어를 다운로드할 수 있는 악성메일이 발송되었습니다. 메일은 'Greetings to you an extract!' 라는 제목으로, 본문은 '여보세요!'로 시작했습니다. 공격자는 부채를 알린다며 첨부파일 실행을 유도했습니다.


2018.06 국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 갠드크랩 랜섬웨어가 유포되었습니다. 이메일은 소환장 통지 내용으로 '여기서 소환 공지 다운로드'라고 적혀있는 URL 링크 클릭을 유도했습니다. 


2018.06 특정인 지칭과 상품 주문 제안 내용으로 위장한 악성 메일을 통해 갠드크랩 랜섬웨어가 유포되었습니다. 메일은 특정인 이름 및 상품 제안 내용에 하이퍼텍스트(참조)로 악성 URL을 연결하는 방식으로 되어 있었습니다.


2018.06 '이미지 저작권 침해 확인 내용'의 내용이 담긴 악성 메일로 갠드크랩 랜섬웨어가 유포되었습니다. 이 메일에는 개인 작가의 이미지를 무단으로 침해했다는 애용이 담겨있으며, 이미지 확인을 위해 첨부 파일(.egg)실행을 유도합니다.


2018.06 문자가 깨진 악성 메일을 통해 갠드크랩 랜섬웨어가 유포되었습니다. 이 메일은 이력서인 것처럼 보이는 첨부파일과 메일 제목과 첨부파일 제목의 문자가 깨져 있는 점이 특징입니다.



GandCrab v4


2018.07 암호화한 파일에 새로운 .KRAB 확장자를 붙이는 GandCrab v4가 발견되었습니다. 새로운 버전은 이전 버전과 달리 Salsa20 암호화 알고리즘을 적용했으며, '.KRAB' 확장자를 붙이고, 랜섬노트 이름이 'KRAB-DECRYPT.txt'로 변경되었습니다. 지불은 “gandcrabmfe6mnef.onion”라는 주소를 가진 TOR 사이트를 사용했습니다.


2018.07 GandCrab v4.1이 다운로드 사이트로 보이는 해킹 된 웹사이트들을 통해 배포 되었습니다. 최신 버전인 4.1의 코드에는 악성코드가 감염 된 기기와 관련 된 데이터를 보내는 웹사이트 목록이 포함 되어 있었습니다. 또 GandCrab은 이 새로운 버전에서 이전 버전에서 볼 수 없었던 네트워크 통신 전략을 추가했습니다.


2018.07 국내에 입사 지원서로 위장한 악성메일로 GandCrab 랜섬웨어가 유포되었습니다. 메일에는 경력직 입사 지원 내용이 담겨 있으며, 이력서로 위장한 악성 파일 실행을 유도합니다.


2018.08 GandCrab 랜섬웨어의 제작자가 이 랜섬웨어에 대한 백신을 공개한 한국 보안 회사인 안랩에 보복을 시도했습니다..


2018.08 공정거래위원회를 사칭한 악성 메일로 GandCrab 랜섬웨어가 유포되었습니다. 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 관련 조사통지서' 내용으로 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.


2018.09 전자상거래 위반행위 조사 내용이 담긴 공정거래위원회 사칭 악성 메일을 통해 국내에 GandCrab 랜섬웨어가 유포되었습니다. 최신 공정위 CI 로고를 사용하였다는 점이 특징입니다.


2018.09 GandCrab v4.3은 Tomcat 서버의 취약한 비밀번호를 이용하여 침투하였습니다. 침투에 성공한 후, C2서버에서 랜섬웨어와 채굴 악성코드를 내려받았습니다.


GandCrab v5


2018.09 추석 연휴동안 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용하는 GandCrab v5가 발견되었습니다. 기존의 GandCrab v4.x와 비교하였을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점입니다.


2018.10 기존 복호화 툴로 복구 불가능한 GandCrab 5.0.5 변종이 됩니다. 백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요했었습니다. 이 때 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다. 파일들을 암호화 한 후 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt형식의 랜섬노트를 사용했습니다. 갠드크랩 5.0.5버전은 이전과 동일한 특성을 갖고 있음에도 비트디펜더가 공개한 복호화 툴로는 아래와 같이 더 이상 복호화는 불가능했었습니다.


2018.10 GandCrab 랜섬웨어 v5.0.1, v5.0.2 변종이 발견되었습니다. GandCrab v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용했고, 랜섬노트가 ‘.TXT’형식으로 변경되었습니다.


2018.10 GandCrab v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 두 개를 드롭합니다. 드롭된 이미지 파일은 실제로 하는 역할은 없으며, 해당 갠드크랩 랜섬웨어 변종이 공격 타겟으로 삼고 있는 인물로 추정되었습니다.


2018.11 비너스락커(VenusLocker) 랜섬웨어 조직이 활동을 본격화해 갠드크랩을 한국에 집중 유포하였습니다.

11월 20일 오전부터 이력서 사칭에서 이미지 무단 사용 관련 협박 내용을 추가했고, 오후에는 임금체불 관련 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포했습니다.


2018.11 해커 조직이 파일공유 서버를 구축해 갠드크랩 V5.0.4 변종 유포했습니다. 과거 비너스락커 랜섬웨어를 유포한 조직이 한국에서 개발된 'Berryz WebShare' 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있습니다.


2018.11 MS 오피스 워드의 매크로 기능을 악용하는 '갠드크랩(GandCrab) V5.0.4'이 국내 사용자를 대상으로 급속히 확산되고 있습니다. 해당 갠드크랩 5.0.4 버전은 218년 11월 15일 오전에 한국어 기반의 환경에서 제작되었고, 제작된 악성 문서의 VBA 매크로 코드는 분석을 방해하기 위해 대부분 난독화되어 있는 상태입니다.


2018.11 이력서로 위장하여 GandCrab이 국내에 지속적으로 유포되고 있습니다. 해당 메일에는 악성 알집 파일이 첨부되어 있었고, 파일을 실행하면 해당 파일이 매크로를 실행시키는 방식으로 랜섬웨어를 다운로드했습니다.


2018.11 글로벌 기업의 상표명으로 위장하거나 국내 기관을 사칭한 이메일을 통해 유포되어온 GandCrab 랜섬웨어가 발견되었습니다. 발견된 랜섬웨어는 GandCrab V5.0.3으로, 파일 속성의 저작권과 등록상표를 해외 유명 백신업체로 위장했습니다. 하지만 해당 버전의 갠드크랩은 복호화 툴이 공개되어 복구가 가능합니다.


2018.12 GandCrab 랜섬웨어 v5.0.9가 등장했습니다. 해당 GandCrab은 기존 GandCrab 랜섬웨어와는 다르게 사용자화면에 "We will become back very soon! ;)"이라는 팝업창을 띄웁니다. 사용자가 확인버튼을 클릭한다면 기존의 GandCrab 랜섬웨어와 동일하게 파일을 암호화시키며, 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하고, txt형식의 랜섬노트를 사용합니다. 


2018.12 최근 '이미지 무단사용 안내메일'이라는 내용으로 GandCrab 랜섬웨어를 유포하는 시도가 발견되었습니다. 해당 GandCrab의 경우 내부 '바로가기' 파일(LNK)를 새롭게 변경했는데, 이전부터 제작한 LNK파일을 1년 넘게 사용해오다가 최근 해당 LNK파일에 대한 탐지율이 높아져 감염율이 낮아지면서 12월 2일에 LNK파일을 새로 변경한 것으로 확인되었습니다. 


2018.12 GandCrab이 연말정산 시즌을 겨냥해 국세청 홈텍스를 사칭, 악성 메일을 통해 랜섬웨어를 유포했습니다. 첨부 파일 ‘2018년 연말정산 안내.alz’에는 2개의 LNK 파일과 1개의 DOC 파일이 담겨 있었습니다. 사용자가 LNK 파일을 클릭하면, GandCrab 랜섬웨어가 실행되어 바탕화면이 변경되고 주요 데이터가 암호화됩니다. 


2019.01 악성광고 캠페인을 통해 Vidar 인포스틸러 와 GandCrab 랜섬웨어가 결합된 형태로 배포되었습니다. 


2019.01 컴퓨터 백신 프로그램을 무력화하는 GandCrab 랜섬웨어의 변종이 발견되었습니다. 해당 변종 랜섬웨어가 실행되면 Sleep() 함수를 이용해 15분간 동작을 지연시키고, 디코이 폴더를 우회하도록 시도합니다. 


2019.01 입사지원서로 위장한 갠드크랩 랜섬웨어 v5.1이 발견되었습니다. 바탕화면 변경 파일의 파일명이 pidor.bmp에서 bxmeoengtf.bmp로 변경되었습니다.



티스토리 방명록 작성
name password homepage