세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
인터넷 접속만으로 감염! 갠드크랩 랜섬웨어 더 강해졌다
  |  입력 : 2018-04-12 13:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
11일부터 드라이브 바이 다운로드 형태로 갠드크랩 랜섬웨어 유포
순천향대 SCH사이버보안연구센터, 마이랜섬 랜섬웨어와의 유사성 포착


[보안뉴스 권 준 기자] 인터넷 접속만으로 감염될 수 있는 드라이브 바이 다운로드(Drive-By-Downloads) 유포 방식으로 무장한 ‘갠드크랩(GandCrab)’ 랜섬웨어가 활동을 재개한 것으로 드러났다.

▲드라이브 바이 다운로드 유포방식[자료=SCH사이버보안연구센터]


순천향대 SCH사이버보안연구센터(센터장 염흥열 교수, 이하 센터)에 따르면 11일부터 갠드크랩 랜섬웨어가 드라이브 바이 다운로드 유포 방식으로 새로 활동을 개시하고 있다. 또한, 갠드크랩 랜섬웨어가 기존 마이랜섬(매그니베르)과 유사한 특성을 가지고 있어 두 랜섬웨어 제작자 간의 관계가 있을 가능성도 제시했다. 센터는 2017년 10월 17일 국내 최초로 지금까지와는 형태가 다른 랜섬웨어를 발견해 ‘마이랜섬(MyRansom)’이라 명명한 바 있다.

갠드크랩 랩섬웨어 v2.0은 지난달 국내 디자이너의 실명과 프로필 등을 사칭하여 관련 종사자들에게 배포하는 공격방식과 지원서 및 정상 유틸리티로 위장하거나, 악성 메일을 통하여 유포되고 있다고 알려졌다. 하지만 이전 버전의 갠드크랩 랜섬웨어는 드라이브 바이 다운로드 방식으로 유포된 사례가 보도된 적은 없었다.

SCH사이버보안연구센터에서 11일 발견한 버전 2.1의 갠드크랩 랜섬웨어는 센터가 운영하는 웹 크롤러에서 탐지됐으며, 불특정 다수를 노리는 드라이브 바이 다운로드 방식으로 취약한 사이트에서 유포되고 있는 것이 확인됐다. 해당 유포 방식은 특정 웹사이트 접속만으로 악성코드가 다운로드 되어 실행되기 때문에 사용자가 인식하기가 어렵고, 불특정 다수를 노려 감염 영역을 확장하려는 의도도 보인다는 게 센터 측의 설명이다.

해당 악성코드는 감염 당시 사용자 PC를 재부팅하는 행위가 추가됐으며, 이로 인해 감염 PC가 바로 재부팅되면서 악성코드 분석가들이 네트워크 패킷(악성코드 감염 및 이후 동작)을 확인하기 어렵게 만드는 것으로 분석됐다.

갠드크랩 랜섬웨어는 암호화되는 사용자 파일들의 이름이 ‘FileName.CRAB’으로 변경된다. 2.0 버전에서는 타깃 파일을 암호화하고 파일명을 변경했지만, 이번에 탐지된 2.1 버전에서는 타깃 파일명을 먼저 변경하고 암호화한다는 차이점도 존재한다. 또한 ‘.hwp’파일도 암호화시키고 있으며, 이는 국내 인터넷 서비스 사용자도 주 감염 대상이 될 수 있음을 나타내고 있는 것이다.

▲랜섬웨어 랜섬노트[자료=SCH사이버보안연구센터]


이후에는 몸값을 요구하는 ‘CRAB-DECRYPT’라는 이름의 랜섬노트를 남긴다. 해당 랜섬노트에서는 갠드크랩 버전을 명시하고 있으며 암호화 된 파일을 복호화하는 절차를 설명하고 있다.

▲악성코드 내부 더미 값[자료=SCH사이버보안연구센터]


SCH사이버보안연구센터에서 탐지한 샘플은 60MB 이상으로 악성코드 내부에 더미 값을 반복적으로 집어넣고 악성코드를 대용량으로 만드는데, 이는 일부 백신들을 우회하기 위한 행위라고 할 수 있다.

또한 내부 루틴과 행위를 제외하더라도 파일의 저작권을 뜻하는 Copyright에 대한 정보 또한 ‘Copyright(C)2017,fakertaubo’(MyRansom), ‘Copyright(C)2017,fakertoub’(GandCrab)으로 유사한 것으로 보아 동일한 공격자에 의해 제작됐을 가능성이 있다고 센터 측은 판단했다. 그리고 악성행위를 시작하는 파일을 생성하기 전까지는 마이랜섬과 매우 유사한 형태를 가지고 있는 것을 확인했다.

▲마이랜섬(왼쪽)과 갠드크랩(오른쪽) 랜섬웨어와의 유사성 1. 유사한 버전정보[자료=SCH사이버보안연구센터]


▲마이랜섬(왼쪽)과 갠드크랩(오른쪽) 랜섬웨어와의 유사성 2. WinMain 루틴[자료=SCH사이버보안연구센터]


▲마이랜섬(왼쪽)과 갠드크랩(오른쪽) 랜섬웨어와의 유사성 3. 악성코드 실행 흐름
[자료=SCH사이버보안연구센터]


버전 업그레이드와 드라이브 바이 다운로드 유포 방식으로 활동을 시작한 것은 이후에도 지속적으로 활동을 할 것으로 예측되는 대목이다. 갠드크랩 랜섬웨어가 최근 감염 랜섬웨어 비율 중 1위를 차지했던 마이랜섬과의 관계를 아직은 확정지을 수 없지만 유사한 부분이 많아 향후 이 두 랜섬웨어가 어떻게 변화될지 주의 깊게 관찰해야 할 필요가 있다는 지적이다.

SCH 사이버보안연구센터 김예준 연구생은 “다시 등장한 갠드크랩 랜섬웨어가 버전을 업그레이드해 드라이브 바이 다운로드 유포 방식으로 다양하게 유포되고 있어 더 많은 피해자를 양산할 수 있다”며 “인터넷 이용 시 자신도 모르게 감염될 수 있다며 각별히 주의를 해야 하며, 혹시나 모를 랜섬웨어에 대한 피해를 줄이기 위한 자료 백업이 중요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)