본문 바로가기

악성코드 정보

'GandCrab' 랜섬웨어와 'Amadey' 봇의 은밀한 관계

안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다.

ASEC블로그 GandCrab 랜섬에어 관련 글
[주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도

다음은 지난 4월 15일  수집 된 Amadey 샘플이다.

C:\ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능은 크게 변하지 않았다. C&C 서버에 HTTP 통신으로 시스템ID를 비롯해 OS 버전, 백신설치 여부 등 사용자 정보 일부를 전송하는 것도 같았다. 그러나 여기서 주목할 점은 C&C 서버와 통신할 때 POST 응답으로 받아오는 데이터이다. 

 

 

수신 데이터는 이전까지 알려지지 않았지만 안랩 ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과, 샘플이 추가로 접속할 URL 주소인 것이 확인되었다. URL 주소에는 정보 유출 Password Stealer 류 외에 GandCrab 랜섬웨어 유포지가 포함되어 있었으며 일정 시간이 지나면 전송하는 데이터(URL 주소)를 변경하였다. 이는 실시간으로 파일을 교체하기 위한 목적으로 보인다. 그리고 전송하는 시스템ID 등을 체크하여 특정 시스템에는 더는 URL을 포함한 응답 데이터를 보내지 않는 것도 이번에 확인되었다. 

Amadey가 URL 주소에 접속하여 데이터를 수신한 이후에는 이를 %Temp% 경로에 파일로 생성하고 실행한다. 즉, Amadey는 C&C 서버에 시스템 정보를 전송한 이후 추가 파일을 다운받는 다운로더 역할을 하였고 다운된 파일에는 정보 유출 형 악성코드와 GandCrab 랜섬웨어가 포함되어 있었다.

 

Amadey 악성코드가 GandCrab 랜섬웨어를 다운받는 것 외에도 악성코드의 파일 외형이 매우 유사한 점도 특징적이다. 최근 확인되는 Amadey 와 GandCrab 은 UPX 로 팩 되어 있다. 두 유형 모두 언팩 이후에 PE 파일이 비정상적으로 많은 Export Function 정보 (10만 개 이상의 Function) 가 있으며, WinMain 코드의 독특한 시작 패턴과 이후 호출되는 디코딩 루틴이 같다. 

 

GandCrab 랜섬웨어와 Amadey 봇은 기능상 다른 악성코드이지만 다운로드 관계 및 파일의 코드 관점으로 보았을 때 긴밀히 연관된 악성코드로 보인다. 또한 기존의 ASEC블로그에서 수차례 언급된 내용을 보면 주로 국내 사용자를 대상으로 타겟으로 하고 있는 악성코드라는 점 또한 동일하다.

 

위에 언급한 Amadey는 현재 V3 에서 다음과 같이 진단하고 있다.

- 파일 진단: Tojan/Win32.Amabot (2019.04.15.05)

- 행위 진단: Malware/MDP.Behavior.M2179 외