본문 바로가기

악성코드 정보

워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용)

안랩 ASEC은 2019년 3월 19일 Gandcrab 랜섬웨어 유포방식의 변화를 확인하였다. 워드문서(ex) 소환장.doc, 알리미.doc) 실행 시 내부 매크로 코드에 의해 Windows Script Component(.sct) 형태의 파일이 Pastebin 사이트를 통해 다운로드되며, 이를 통해  실행파일 형태의 GandCrab 랜섬웨어가 생성 및 실행되는 방식이다.


현재까지 확인된 유포방식은 1)워드 문서파일이 실행 파일을 다운로드하거나, 2)이력서로 가장하여 Gandcrab 실행("입사지원서.doc (공백) .exe")을 유도하거나, 3)구글 검색시 노출되는 웹 페이지를 통해 자바스크립트 형태("*.js")로 유포되고 있었다.


1) https://asec.ahnlab.com/1178 (제목: 이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))

2) https://asec.ahnlab.com/1200 (제목: GandCrab 랜섬웨어 v5.2 국내 유포 중 (복구불가))

3) https://asec.ahnlab.com/1156 (제목: 구글 한국어 웹 검색 시 노출되는 GandCrab 유포 자바스크립트)


그러나, 오늘 발견된 샘플의 경우 MS워드 문서 내 콘텐츠 사용을 클릭 시, 윈도우 정상 파일인 "cmstp.exe"을 이용해서 http[:]//pastebin.com/raw/6eG???Nm 사이트로 접속하며 인코딩 된 Gandcrab PE파일을 가지고 있는 *.sct 파일을 다운로드 받아 실행하여 감염되게 하는 형태로 변경되었다.


[그림 1] 워드 문서


cmd 명령어를 이용하여 *.INF 형식인 [그림 3]과 같은 [랜덤숫자].txt를 생성하여 실행하면, AppLocker 정책과 UAC(User Account Control)를 우회 할 수 있어 공격자는 이러한 방법을 사용한 것으로 보인다.


[그림 2] 매크로 코드에 의해 실행되는 명령어 (일부)


[그림 3] [그림 2]를 통해 만들어지는 INF형식의 파일



cmstp.exe  /s /ns "C:\Users\vmuser\AppData\Roaming\Microsoft\Templates\[랜덤숫자].txt"

[표 1] "cmstp.exe" 를 이용하여 실행


[랜덤숫자].txt 파일을 실행 시, "http[:]//pastebin.com/raw/6eG???Nm" 사이트에 접속하여 인코딩 된 Gandcrab PE를 가지고 있는 sct 파일이 동작하며, 최종 C:\Users\vmuser\AppData\Roaming\Microsoft 경로에 Gandcrab PE 파일을 디코딩하여 생성 및 실행한다. 확인된 Gandcrab 버전은 GANDCRAB V5.2이다.


[그림 4] 인코딩 된 Gandcrab PE파일을 가지고 있는 윈도우 스크립트 컴포넌트 파일(*.sct 형식)


현재 V3에서는 아래와 같이 진단하고 있다.

  • W97M/Downloader (2019.03.19.04)
  • JS/GandCrab.S6 (2019.03.17.00)
  • Trojan/Win32.Gandcrab.C3107746 (2019.03.19.04)