치열한 갠드크랩 랜섬웨어 추격전! 암호화 차단에 변종으로 맞불

모든 이들을 지치게 하는 기록적인 무더위가 계속되고 있는 가운데, 악성코드 분석가들은 3주 가까이 밤낮 없이 치열한 시간을 보내고 있다. 갠드크랩(GandCrab) 랜섬웨어가 다시 나타났기 때문이다.

주요 보안 업체의 추적을 따돌리려는 듯 매주 새로운 변종이 나타나고 있다. 열대야가 무색하리만큼 치열하게 이어지고 있는 안랩과 갠드크랩 랜섬웨어 제작자의 추격전을 공개한다.

(*이미지 출처:  shutterstock.com)
 

Episode 1. 갠드크랩 무력화 킬스위치(Kill-Switch) 및 암호화 방지 툴 공개 - 2018. 7. 13.

지난 7월 9일, 해외 보안 업체 포티넷(Fortinet)은 블로그를 통해 갠드크랩 랜섬웨어 v4.0에 대한 암호화 차단 방법을 공유했다.  이 정보를 토대로 최근 국내에서 유포되고 있는 갠드크랩 v4.1 및 v4.1.1의 암호화를 방지하는 툴을 개발, 블로그를 통해 무료로 배포했다.

국내에서 유포되고 있는 v4.x대의 갠드크랩 랜섬웨어는 주로 가짜 이력서 파일과 입사 지원으로 위장한 메일이나 워드 프로그램, 유명 게임 등의 이름으로 위장한 실행 파일을 이용하고 있다. 또한, v4.1 및 v4.1.1 등 v4.x 대의 갠드크랩 랜섬웨어는 네트워크 공유폴더의 파일까지도 암호화한다. 즉, 기업 및 기관의 경우 네트워크 연결을 통해 피해가 확산될 수 있어 더 큰 피해가 우려된다.

시큐리티대응팀(이하 ASEC) 블로그를 통해 관련 내용을 상세히 공유하는 한편, v4.x대의 갠드크랩 랜섬웨어의 암호화를 방지하는 툴(GandCrab_v4.x_Kill_Switch.zip)을 제공하고 있다.

► [ASEC Blog] ‘GandCrab v4.x 암호화 차단 방법(Kill-Switch)’ 바로가기

Episode 2. 추적 의식한 변종 등장 vs. 무력화 툴 업데이트 - 2018. 7. 17

포티넷이 갠드크랩 v4.1.1의 암호화를 차단하는 방법을 공개하자 랜섬웨어 제작자는 곧 새로운 변종을 제작했다. 지난 7월 17일, 갠드크랩 v4.1.2가 확인된 것.

특히 이 변종의 코드 내부에서 [그림 1]과 같이 안랩(AhnLab)과 포티넷(Fortinet)을 의미하는 문자열(보라색 표시 부분)이 확인되었다. 갠드크랩 랜섬웨어 제작자가 안랩과 포티넷의 추적을 의식하고 있음을 확인할 수 있는 대목이다.

[그림 1] 갠드크랩 v4.1.2의 코드 내부에서 확인된 안랩(AhnLab) 이름
(*이미지 출처: 해외 보안 업체 분석가 Marcelo Rivero 트위터, twitter.com/MarceloRivero)

또한 v4.1.2에는 보안 업체 이름의 문자열이 추가된 것 외에도 암호화를 방지하는 것과 관련된 *.lock 파일명 생성 알고리즘이 복잡하게 변경되었다. 해당 알고리즘을 분석한 결과, 또 다시 암호화를 차단할 수 있는 방법(Kill-Switch)을 확인했다. 암호화 차단 툴을 업데이트한  ASEC 블로그를 통해 v4.1.2 암호화 차단 툴을 무료로 배포했다.

갠드크랩 v4.1.2의 암호화를 차단하는 툴의 자세한 사용 방법은 ASEC 블로그를 통해 확인할 수 있다.

► [ASEC Blog] ‘GandCrab v4.1.2 암호화 차단 방법(Kill-Switch)’ 바로가기

Episode 3. 도발하는 또 다른 변형 등장 - 2018. 7. 20

악성코드 분석가들이 갠드크랩 랜섬웨어의 동향을 예의 주시하고 있던 가운데 지금까지 확인된 유형과는 조금 다른 형태의 v4.1.2가 포착됐다. 코드 내부에 해외 보안 업체 포티넷의 이름이 보였던 기존 4.1.2와 달리, 특정한 뮤텍스 생성 시 사용하는 문자열(string)에 안랩(AhnLab) 이름만 보인다.

[그림 2] 안랩(AhnLab)의 이름만 보이는 갠드크랩 v4.1.2 변형

또한 안랩의 이름이 들어간 문자열에 포함된 URL에 접속하면 [그림 3]과 같은 이미지가 나타난다. 이 이미지에 보이는 러시아어 문구는 모욕적인 표현으로 확인되었다.

[그림 3] 갠드크랩 v4.1.2 변종의 코드 내부 URL 접속 시 나타는 이미지

또한 이 갠드크랩 v4.1.2의 변형은 암호화 차단을 위한 킬스위치와 관련된 코드가 존재하지 않는다.

Episode 4. 가상머신 탐지 우회하는 갠드크랩 v4.2 등장 - 2018. 7. 24

v4.0, v4.1, v4.1.2, v4.1.3 등 갠드크랩 랜섬웨어 변종이 나타날 때 마다  이에 대한 암호화 차단 툴(Kill-Switch) 배포로 대응하자 공격자는 새로운 기능을 탑재한 v4.2를 제작하고 유포 방식 또한 변경했다.

지난 7월 24일 확인된 갠드크랩 랜섬웨어 v4.2는 리그 익스플로잇킷(Rig Exploit Kit, 이하 RigEK)을 통해 유포됐다. 잘 알려져 있는 악성코드 제작•유포 툴인 RigEK는 지난 4월경 갠드크랩 v2.x와 v3.x을 유포할 때 사용된 바 있다. 그러나 이후 최신 버전의 갠드크랩 랜섬웨어를 유포할 때는 사용되지 않았으며, 최신 버전의 갠드크랩 랜섬웨어 중 RigEK를 통해 유포된 것이 확인된 것은 v4.2가 처음이다.

최신 버전의 갠드크랩 랜섬웨어는 가상머신(Virtual Machine) 기반의 탐지를 우회하는 안티VM(Anti-VM) 기능이 추가됐다. 또한 감염된 시스템의 CPU 개수와 디스크 사용량 등을 확인해 특정한 환경일 경우 암호화 작업을 실행하는 것으로 확인되었다.

최신 갠드크랩 랜섬웨어 v4.1.2에 관한 보다 상세한 내용은 ASEC 블로그에서 확인할 수 있다.

► [ASEC Blog] ‘새롭게 등장한 GandCrab v4.2 (안티VM + RigEK)’ 바로가기

한편, 갠드크랩 랜섬웨어 v4.1.2는 플래시 플레이어 취약점('CVE-2018-4878)'을 이용해 유포되고 있다. 갠드크랩 랜섬웨어 v4.1.2는 취약한 플래시 플레이어 파일(swf)에서 [그림 4]와 같은 커맨드 명령을 통해 쉘코드를 실행한다.

[그림 4] 플래시 파일 내부의 갠드크랩 랜섬웨어 v4.1.2 쉘코드

최신 버전의 갠드크랩 랜섬웨어에 의한 피해를 예방하기 위해서는 플래시 플레이어를 최신 버전으로 업데이트해야 한다. V3 제품군에서는 갠드크랩 랜섬웨어 v4.1.2 및 관련 플래시 파일(swf)을 아래와 같은 진단명으로 탐지하고 있다.

- Malware/MDP.DriveByDownload
- SWF/Cve-2018-4878.Exp.3
- Malware/MDP.Ransom
- Trojan/Win32.Gandcrab

지금까지 살펴본 바와 같이 갠드크랩 랜섬웨어 제작자는  보안 업체의 분석에 민감하게 반응하며 공격 방식 및 유포 방식을 계속해서 변경하고 있다.  악성코드 분석가들은 새로운 갠드크랩 랜섬웨어 변종이 나타나지 않는지 면밀하게 모니터링하고 있으며, 새로운 정황이 포착되면 ASEC 블로그 등을 통해 관련 내용을 신속히 공유할 예정이다.

한편, 주요 보안 업체의 노력으로 일부 갠드크랩 랜섬웨어 변종에 대한 암호화 차단 툴은 확보했지만, 랜섬웨어의 특성 상 모든 랜섬웨어의 예방 툴을 확보할 수 있는 것은 아니다. 또한 일단 랜섬웨어에 감염되면 대부분 복구가 불가능하기 때문에 사용자들의 각별한 주의가 필요하다.  ​