최근 웹 익스플로잇 킷을 통해 국내에 유포되는 대표적인 랜섬웨어는 매그니베르 랜섬웨어이다. 하지만 최근 그랜드소프트(GrandSoft) 익스플로잇 킷을 통해 갠드크랩 랜섬웨어도 유포되기 시작했다. 그랜드소프트 익스플로잇 킷은 랜섬웨어를 유포하는데 웹사이트 취약점(CVE-2018-8174) 을 사용한다. 따라서 Internet Explorer 버전이 취약한 경우, 웹 사이트 접속하는 것 만으로 랜섬웨어에 감염될 수 있다.


[그림 1] 그랜드소프트(GrandSoft) 익스플로잇 킷 취약점 스크립트


[그림 1]은 그랜드소프트(GrandSoft) 익스플로잇 킷의 취약점 스크립트이다. CVE-2018-8174 취약점을 사용하여 스크립트 내 포함된 쉘코드를 실행시킨다.




[그림 2] 쉘코드 기능 (PE 다운로드)


[그림 2]와 같이 쉘코드는 웹 서버에 접속하여 인코딩된 PE를 다운로드 한다. 다운로드에 사용하는 API는 아래와 같다.


  • winhttp.winhttpcrackurl
  • winhttp.winhttpopen
  • winhttp.winhttpConnect
  • winhttp.winhttpopenrequest
  • winhttp.winhttpSendRequest
  • winhttp.winhttpReceiveReponse
  • winhttp.winhttpQueryHeaders

  • 이후 받아온 데이터를 디코딩하여 [그림 3] 과 같이 %temp% 경로에 "[랜덤숫자].tmp" 형식의 이름으로 파일을 생성하여 저장한다. 


     

    [그림 3] 쉘코드 기능 (파일로 저장)


    쉘코드는 마지막으로 저장된 "[랜덤숫자].tmp" 파일을 [그림 4]와 같이 실행한다. 쉘코드를 통해 실행된 "[랜덤숫자].tmp" 파일은 최종적으로 갠드크랩 랜섬웨어를 다운로드하여 실행시킨다.




    [그림 4] 쉘코드 기능 (PE 실행)


    최종적으로 실행된 갠드크랩 랜섬웨어는 파일 암호화를 수행하고, 감염이 완료되면 [그림 5]와 같이 바탕화면이 변경된다.



     

    [그림 5] 갠드크랩 v3.0 감염 후 변경된 바탕화면



    현재 안랩 제품에서는 GrandSoft EK를 통해 유포되는 갠드크랩 랜섬웨어를 다음과 같이 진단하고 있다.

    • 파일 진단: Trojan/Win32.GandCrab(2018.06.20.00)
    • 행위 진단: Malware/MDP.Execute.M1509



    Posted by 분석팀