본문 바로가기

갠드크랩2

'GandCrab' 랜섬웨어와 'Amadey' 봇의 은밀한 관계 안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다. ASEC블로그 GandCrab 랜섬에어 관련 글 [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도 다음은 지난 4월 15일 수집 된 Amadey 샘플이다. C:\ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능.. 2019.04.22
GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (3) 안랩 ASEC은 Gandcrab v5.2이 동적 분석을 우회하기 위해 계속해서 패치하고 있음을 포착하였다. - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (2) https://asec.ahnlab.com/1213 (2019.03.27) - GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 https://asec.ahnlab.com/1202 (2019.02.27) 기존에 소개된 윗글에선 SetTimer(), GetCaretPos()등 과 같이 특정 API를 사용하였다면 최근엔 API가 아닌더미 코드를 이용하여 동적 분석 시간을 지연시킨다. 확인된 악성코드는 아래와 같이 콜백 함수(EnumChildWindows)를 이용하여 .data 섹션에 있는 코드가 실행된다. 콜백 함수가.. 2019.04.17