국내 기업 대상의 귀신(Gwisin) 랜섬웨어

최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다.

이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL 파일은 윈도우 정상 프로세스에 인젝션하여 동작하고 있으며, 대상 프로세스는 피해 고객사마다 다른 특징을 갖는다.

아래는 현재까지 파악된 Gwisin 랜섬웨어 동작 방식의 특징이다.

(1) MSI 설치 파일 형태로 유포
(2) MSI 실행 시 사용한 인자 값을 통해 내부 DLL 구동에 사용
(3) 윈도우 시스템 프로세스에 인젝션하여 랜섬웨어 행위
(4) DLL 내부에 감염 대상 기업 정보 존재 (랜섬노트에 표시)

(5) 안전 모드에서 파일 암호화 기능 지원

MSI 파일이 실행되면 내부의 랜섬웨어 DLL의 익스포트 함수 update()를 호출한다. update() 함수에서는 실행 시의 인자를 검사하며 비정상적일 경우에는 동작하지 않는다.

[그림 1] MSI 실행 시 인자를 검증하는 루틴

암호화 시점에서 귀신 랜섬웨어는 다음과 같은 인자로 실행되었다. (인자 중 일부는 블라인드(*) 처리)

> msiexec /qn /i C:\ProgramData\*****.msi SERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=***

참고로 귀신 랜섬웨어 실행에 필요한 인자 중 SMM은 0 또는 1의 값을 갖을 수 있다. 일반적인 파일 암호화 행위는 0인 경우에 진행되는 루틴이며, 만약 SMM이 1이라면 안전 모드에서 동작하도록 랜섬웨어를 설치한다. 먼저 자신을 ProgramData의 특정 경로에 복사한 후 서비스에 등록한다. 이후 bcdedit을 이용해 부팅 옵션을 안전 모드로 설정한다. 마지막으로 5초 후에 강제 재부팅하며 안전 모드로 부팅된 후에는 등록한 서비스가 동작하여 파일 암호화를 진행한다.

서비스 이름명령
a35f23725b5feab2msiexec /qn /i C:\ProgramData\*****.msi SERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=***
등록된 서비스

인자 검증 과정이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화한다. 그리고 정상 프로그램인 “certreq.exe“를 실행한 후 복호화한 쉘코드를 인젝션한다. 인젝션된 쉘코드는 최종 귀신 랜섬웨어를 복호화하여 메모리 상에서 실행하는 기능을 담당한다. (“certreq.exe” 외에도 다양한 윈도우 정상 프로세스가 랜섬웨어 행위주체로 이용되고 있음)

[그림 2] 귀신 랜섬웨어 프로세스 트리

귀신 랜섬웨어는 파일을 암호화한 이후 확장자를 변경하는데 확장자는 대상 기업의 이름을 따온 것이 특징이다.

[그림 3] 암호화된 파일들

암호화 대상 폴더에는 랜섬노트를 생성하는데 랜섬노트 텍스트 파일의 이름도 “!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT” 처럼 확장자 문자열이 포함되어 있다. 랜섬노트에는 기업 내에서 탈취한 정보들의 목록과 함께 연락처가 존재한다.

[그림 4] 귀신 랜섬웨어 랜섬노트
[그림 5] 랜섬웨어 감염 이후 변경되는 바탕화면

피해 사례를 보면 랜섬웨어 감염 전에 사용 중인 백신 프로그램이 무력화된 것을 알 수 있다. V3 제품에서는 이러한 동작 방식의 Gwisin 랜섬웨어를 행위 기반 탐지를 통해 인젝션 단계에서 사전 차단하고 있음으로 ‘행위 기반 진단 사용’ 옵션을 활성화하는 것이 필요하다.

또한, Gwisin 랜섬웨어 감염은 사전에 내부 시스템에 대한 장악이 완료된 상태에서 다수 시스템에 대한 랜섬웨어 설치 및 실행이 진행되고 있음으로 어떻게 내부 시스템에 대한 장악과 전파가 진행 되었는지를 분석하는 작업이 반드시 필요하다. 피해 발생 후에 이러한 작업을 통해 원인 분석이 진행되지 못하면, 또 다른 종류의 랜섬웨어로 교체되어 유사한 피해가 재 발생할 수 있다.

[파일 진단]
– Ransomware/Win.Gwisin.C5214965 (2022.07.27.03)

[행위 진단]
– Injection/MDP.Event.M4387 (2022.07.28.00)

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

3 2 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
홍길동
홍길동
17 days ago

오타 발견! 또 다른 종료의 -> 종류
재밌게 잘봤습니당~!