Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보디자이너를 사칭한 메일로 유포되는 GandCrab Version 3
작성일 2018-05-15 조회 230

 

 

 

 

 

 

 

 

2017년 5월, GandCrab 3 버전은 디자이너를 사칭한 메일로 유포되고 있습니다. 실제 저작권에 대한 이야기를 통해 메일을 받은 사람으로 하여금 궁금증 및 공포감을 조성하여 첨부파일을 실행할 수 있도록 유도하는 메일입니다.

 

 

[그림] GandCrab이 첨부된 스팸메일

 

 

 

첨부파일의 압축 해제 시 jpg 및 doc 파일 확장자 파일 3개를 확인할 수 있습니다. 하지만 문제는 이 파일의 진짜 확장자는 바로가기 (.lnk) 파일이라는 점입니다. 사람들의 눈을 속이기 위하여 확장자가 보이지 않는 .lnk로 사람들로 하여금 의심 없이 클릭하게 만드는 역할을 하고 있습니다.

 

 

그리고 매우 많은 사람들이 이러한 방식을 의심하지 못하고 클릭하여 감염이 되고 있는 상황입니다.

 

[그림] 바로가기 파일

 

 

 

실제 파일의 이름은 아래와 같습니다.

 

[그림] .lnk 확장자를 가진 파일

 

 

 

이런한 방식은 2017년 등장한 VenusLocker와 동일합니다. 처음 등장 이후 다양한 악성코드에서 VenusLocker 방식을 벤치마킹 하기 시작하였습니다. 많은 공격자들이 벤치마킹하는 방식이라면, 효과가 굉장했다는 것을 유추할 수 있을 것 같습니다.

 

* 참고 블로그

VenusLocker 악성코드, Monero Miner 변종으로 등장
 - http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=781

 

디자이너 사칭한 이메일 갠드크랩(GandCrab) 국내 유포

 - http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=910

 

 

 

 

이번 GandGrab 버전 3에서도 VenusLocker 방식 그대로 사용하였습니다. 사용자는 그림파일 혹은 문서 파일라고 생각하고 클릭한다면 내부 저장되어 있는 명령어 경로에 따라 악성코드가 실행이 됩니다.

 

[그림] 바로가기 파일 대상

 

 

 

 

아래와 같은 명령어를 통해 'who.exe' 파일을 실행합니다.

 

C:_Windows_System32_cmd.exe /c who.exe

 

 

 

 

VenusLocker의 형식 뿐 아니라 그때 당시 사용되던 파일을 그대로 사용했을 가능성도 존재합니다. 파일 내 확인 가능한 VenusLocker 문자열은 언제쯤 사라질까요? 해당 문자열은 VenusLocker의 형식을 벤치마킹한 모든 악성코드에서 발견이 됩니다.

 

[그림] VenusLocker 문자열

 

 

 

 

동일 경로에 존재해야하는 'who.exe'는 숨김파일로 감춰져 있습니다. 대부분 사용자들이 숨김파일이 보이지 않을 것이라 생각됩니다. 왜냐면 안보니는 것이 기본 값이니까요.

 

[그림] 숨김 파일 표시

 

 

 

숨김 파일 표시로 옵션을 변경하면 숨겨져있는 악성코드를 확인할 수 있습니다.

 

[그림] 숨김 파일로 감춰진 who.exe

 

 

 

 

[악성코드] GandCrab Ransomware Version 3

 

행위: Ransomware
이름: who.exe
크기: 246,281 bytes
SHA256: 36a85e55056173da348b80438c8c85b051ae45945d32517ade1465e8b70ef2e2
확장자: GRAB
랜섬노트: CRAB-DECRYPT.txt
C2 
- wowservers[.]ru
- carder[.]bit 
- ransomware[.]bit 

 

 

 

새로운 DNS 서버 및 C2에 대한 DNS 쿼리 이후 악성 C2로 정보를 전달합니다. 해당 C2가 접속이 되지 않을 시 랜섬웨어 행위는 진행하지 않습니다. 

 

[그림] DNS 쿼리

 

[그림] 악성 C2 통신

 

 

 

 

정상적인 암호화 행위가 완료되면 자동적으로 재부팅이 진행됩니다.

 

[그림] 재부팅 화면

 

 

암호화가 정상적으로 완료가 되면 Tor 브라우저 설치 화면이 생성되어, 친절(?) 하게 결제 할 수 있는 방식을 알려줍니다.

 

[그림] 토르 브라우저 설치 페이지

 

 

 

또한 'CRAB' 확장가 추가된 파일명으로 변경되며, 랜섬노트 및 변경된 바탕화면을 확인할 수 있습니다.

 

[그림] 암호화 확장자

 

 

[그림] 랜섬노트

 

 

[그림] 배경화면 변경

 

 

 

 

랜섬웨어나 Wiper 처럼 파일의 암호화 / 삭제하는 악성코드의 대처 방법은 자료의 주기적인 백업입니다. 백업본은 망분리 혹은 비 네트워크 상태로 보호하는 것이 현명하며, 사용하시는 백신을 최신상태로 유지하여 최신 악성코드에 대한 대처를 할 수 있기를 바랍니다.

 

 

 

[Sniper 대응]

 

 - [4297] Win32/Ransomware.GandCrab3.249865

 - [4298] Win32/Ransomware.GandCrab3.246281

 - [4299] Win32/Ransomware.GandCrab3.237577

 - [4300] Win32/Ransomware.GandCrab3.Connection

 - [4301] Win32/Ransomware.GandCrab3.Connection.A

 - [4302] Win32/Ransomware.GandCrab3.Connection.B

 

 
첨부파일 첨부파일이 없습니다.
태그 GandCrab  RaaS  VenusLocker