이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) Posted By ASEC , 2020년 1월 2일 갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다. 대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 이에 대해 적극적인 공격을 시도했다. 초기 버전은 단순 문자열을 언급하는 정도였으나 점차 V3 제품 취약점 공개, 제품 삭제 등의 기능으로 진화했다. 한편 안랩 또한 갠드크랩 랜섬웨어의 킬스위치를 공개하는 것을 시작으로 V3 제품을 공격하는 기능이 새롭게 확인될 때마다 이를 보완하기 위해 빠르게 대응했다. 유포 기간 내내 지속된 안랩과 갠드크랩 랜섬웨어 제작자와의 긴 싸움은 국내외 IT 언론을 통해 몇 차례 보도된 바 있지만 지금까지 공개되었던 내용은 극히 일부이다. 이번 ASEC리포트 보고서에는 ASEC 분석팀이 추적•분석한 내용을 바탕으로 그동안 민감 정보라는 이유로 공개되지 않았던 안랩과 갠드크랩 간의 사투를 시간순으로 면밀히 살펴보고자 한다. ASEC리포트 Vo.97 PDF https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.97.pdf ASEC리포트 https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=28878
‘GandCrab’ 랜섬웨어와 ‘Amadey’ 봇의 은밀한 관계 Posted By ASEC , 2019년 4월 22일 안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다. ASEC블로그 GandCrab 랜섬에어 관련 글 [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도 다음은 지난 4월 15일 수집 된 Amadey 샘플이다. C:ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능은 크게 변하지 않았다. C&C 서버에 HTTP 통신으로 시스템ID를 비롯해 OS 버전, 백신설치 여부 등 사용자 정보 일부를 전송하는 것도 같았다. 그러나 여기서 주목할 점은 C&C 서버와 통신할 때 POST 응답으로 받아오는 데이터이다. 수신 데이터는 이전까지 알려지지 않았지만 안랩 ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과, 샘플이 추가로 접속할 URL 주소인 것이 확인되었다. URL 주소에는 정보 유출 Password Stealer 류 외에 GandCrab 랜섬웨어 유포지가 포함되어 있었으며 일정 시간이 지나면 전송하는 데이터(URL 주소)를 변경하였다. 이는 실시간으로 파일을 교체하기 위한 목적으로 보인다. 그리고 전송하는 시스템ID 등을 체크하여 특정 시스템에는 더는 URL을 포함한 응답 데이터를 보내지 않는 것도 이번에 확인되었다. Amadey가 URL 주소에 접속하여 데이터를 수신한 이후에는 이를 %Temp% 경로에 파일로 생성하고 실행한다. 즉, Amadey는 C&C 서버에 시스템 정보를 전송한 이후 추가 파일을 다운받는 다운로더 역할을 하였고 다운된 파일에는 정보 유출 형 악성코드와 GandCrab 랜섬웨어가 포함되어 있었다. Amadey 악성코드가 GandCrab 랜섬웨어를 다운받는 것 외에도 악성코드의 파일 외형이 매우 유사한 점도 특징적이다. 최근 확인되는 Amadey 와 GandCrab 은 UPX 로 팩 되어 있다. 두 유형 모두 언팩 이후에 PE 파일이 비정상적으로 많은 Export Function 정보 (10만 개 이상의 Function) 가 있으며, WinMain 코드의 독특한 시작 패턴과 이후 호출되는 디코딩 루틴이 같다. GandCrab 랜섬웨어와 Amadey 봇은 기능상 다른 악성코드이지만 다운로드 관계 및 파일의 코드 관점으로 보았을 때 긴밀히 연관된 악성코드로 보인다. 또한 기존의 ASEC블로그에서 수차례 언급된 내용을 보면 주로 국내 사용자를 대상으로 타겟으로 하고 있는 악성코드라는 점 또한 동일하다. 위에 언급한 Amadey는 현재 V3 에서 다음과 같이 진단하고 있다. – 파일 진단: Tojan/Win32.Amabot (2019.04.15.05) – 행위 진단: Malware/MDP.Behavior.M2179 외
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (3) Posted By ASEC , 2019년 4월 17일 안랩 ASEC은 Gandcrab v5.2이 동적 분석을 우회하기 위해 계속해서 패치하고 있음을 포착하였다. – GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) https://asec.ahnlab.com/1213 (2019.03.27) – GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 https://asec.ahnlab.com/1202 (2019.02.27) 기존에 소개된 윗글에선 SetTimer(), GetCaretPos()등 과 같이 특정 API를 사용하였다면 최근엔 API가 아닌더미 코드를 이용하여 동적 분석 시간을 지연시킨다. 확인된 악성코드는 아래와 같이 콜백 함수(EnumChildWindows)를 이용하여 .data 섹션에 있는 코드가 실행된다. 콜백 함수가 호출되면 아래와 같이 코드와 같다. 해당 코드는 더미 코드로 실행 흐름에 영향을 미치지 않는 코드이다. 이 더미 코드와 불필요한 연산 코드를 사용해 악성 행위를 지연 시킨다. 해당 랜섬웨어에서 사용하는 대표적인 시간 지연 코드 종류는 아래 이다. 해당 코드는 특정 값이 일치할 때까지 XOR 연산 및 산술 연산을 하며, 사진에 소개된 코드는 (좌)201,583,397번 수행, (우)18,856번을 수행한다. 이와…
