메뉴 건너뛰기

오에스매니아

갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0


갠드크랩(GandCrab) 랜섬웨어가 연일 화제(?)다. 이번에는 파일리스(fileless) 형태의 갠드크랩 3.0 버전(이하 갠드크랩 v3.0)이 등장했다. 안랩 시큐리티대응팀(AhnLab Security Emergency response Center, 이하 ASEC)은 블로그를 통해 갠드크랩 v3.0에 관한 분석 정보를 공유하고 개인 사용자는 물론 기업 보안 관리자들의 각별한 주의를 당부했다. 

 

최근 매그니튜드(Magnitude) 익스플로잇 킷을 통해 파일리스 형태로 유포도니 갠드크랩 랜섬웨어가 발견됐다. 안랩은 지난 4월 갠드크랩 랜섬웨어 대응 방안을 발표하면서 파일리스 형태로 유포되는 갠드크랩(GandCrab v2.1) 랜섬웨어를 언급한 바 있다. 이번에 확인된 갠드크랩 v3.0도 앞선 버전과 마찬가지로 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태(files)로 유포 중이다. 

 

갠드크랩 v3.0의 또 다른 특이 사항은 감염 완료 후 랜섬노트를 보여주는 것은 기존과 동일하지만, 이전 버전과는 달리 [그림 1]과 같이 바탕화면을 변경한다.  

 

 1805098473427183.PNG 

[그림 1] 갠드크랩 v3.0 감염 후 변경된 바탕화면

 

갠드크랩 v3.0은 매그니튜드 익스플로잇 킷의 랜딩 페이지가 인코딩된 스크립트를 통해 유포되고 있다. 해당 스크립트를 통해 닷넷(.Net) DLL이 감염 시스템에 저장(drop)하는 대신 실행 중인 인터넷 익스플로러(iexplore.exe)의 메모리 상에서 동작한다. 스크립트에 의해 DLL이 실행되면 쉘코드(shellcode)가 쓰레드(thread)로 실행된다. 이때 쉘코드는 패킹된 DLL을 다운로드하고 실행하는 역할을 수행하며, 이렇게 다운로드된 DLL이 현재 동작 중인 프로세스(iexplore.exe)에 랜섬웨어를 인젝션(injection)한다. 

 

인젝션된 갠드크랩 랜섬웨어는 감염 시스템 내 파일을 암호화하고, 암호화를 완료하면 [그림 2]와 같은 랜섬노트를 노출한다. 이어 앞서 설명한 것처럼 바탕화면을 [그림 1]과 같이 변경한다. 

 

 1805098473565247.PNG 

[그림 2] 갠드크랩 v3.0 의 랜섬노트

 

피해 예방을 위해 애플리케이션 보안 업데이트 적용해야…

파일리스 형태로 동작하는 갠드크랩 랜섬웨어는 또한 개인키 확인을 어렵게 하는 기법을 적용하고 있다. 이는 보안 솔루션의 탐지를 방해하는 한편, 암호화 파일의 복구를 힘들게 하기 위한 것으로 보인다. 

 

‘랜섬웨어’라는 악성코드의 특성 상 한번 감염되고 나면 피해를 입은, 즉 암호화된 파일의 복구는 사실상 불가능하다. 암호화된 파일을 복호화를 하기 위해서는 공격자가 갖고있는 키(개인키)가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 불가능하기 때문이다. 대부분의 랜섬웨어가 마찬가지로, 결국 랜섬웨어에 의한 피해를 최소화하기 위해서는 사전에 감염 예방을 위한 노력이 반드시 필요하다.

 

또한 갠드크랩 v3.0은 알려진 스크립팅 엔진 메모리 손상 취약점(CVE-2016-0189)을 이용했다. 갠드크랩 v3.0 및 이와 유사한 방식 또는 동일한 취약점을 이용하는 랜섬웨어의 피해를 예방하기 위해서는 주요 웹 브라우저의 보안 업데이트를 반드시 적용해야 한다. 

 

갠드크랩 v3.0이 이용한 취약점(CVE-2016-0189)에 영향 받는 웹 브라우저는 인터넷 익스플로러(Internet Explorer, IE) 버전 9, 10, 11이며, 아래의 마이크로소프트 웹사이트에서 보안 패치가 적용된 최신 버전의 IE를 다운로드 할 수 있다.

► 마이크로소프트 사이트 바로가기 

 

갠드크랩 v3.0 유포 스크립트 및 동작 과정에 관한 보다 상세한 내용은 ASEC 블로그를 통해 확인할 수 있다. 

► ASEC 블로그 ‘갠드크랩 v3.0’ 관련 내용 바로가기​ 

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile

..

엮인글 :
profile

블루노트

2018.05.10 09:26
랜섬 지긋지긋 하군요;;
profile

엔냐

2018.05.10 11:02
랜섬은 최악이다..
다들 조심해요.
profile

무한해적

2018.05.10 12:09
좋은 정보 감사 합니다..
profile

묵향

2018.05.10 13:22
또 변종이 나왔군요.;;;
profile

프리네

2018.05.10 17:08
징그러운 놈들.....백업만이 살길이네요.
profile

lava

2018.05.10 23:11
랜섬웨어 만드는놈들...나쁜놈들..ㅜ
profile

비둘기는구

2018.05.10 23:50

언제쯤 랜섬웨어가 사라지는 날이 올까요 ㅠㅠ

profile

primus

2018.05.11 13:10
유용한 정보네요. ie11 재설치는 다운받아보니 영문버전인데 설치 하면 한글적용 되려나 모르겠습니다.
profile

아미짱

2018.05.11 14:17
정보 잘 보고 갑니다
profile

맨땅헤딩

2018.05.12 00:21
정보 감사합니다.
profile

호박꽃

2018.05.12 02:57
랜섬 짜증난다...정보 감사합니다.
profile

후달

2018.05.12 17:55
정보 감사합니다!
profile

탄생구

2018.05.17 21:54
정보 감사합니다
profile

FAKE

2018.05.20 21:21
랜섬웨어 유포자들 전부 사형을 시켜야
profile

세인향기

2018.05.24 10:21
아..랜섬웨어...ㅠ
List of Articles

윈도정보 Windows 10 Version 1803에 대한 누적 업데이트(KB4100403)

Cumulative Update for Windows 10 Version 1803 (KB4100403) : 17134.81 1803 for x64-based Systems (KB4100403) http://download.windowsupdate.com/d/msdownl...

  • 등록일: 2018-05-24

754

VIEWS

10

COMMENTED

윈도정보 "은행의 블록체인 사용, 예상보다 빠를 것"

"은행의 블록체인 사용, 예상보다 빠를 것" 탈중앙화한 분산 원장 기술인 블록체인(Blockchain)을 은행이 조만간 사용하고, 관련 사업에 뛰어들 것이라는 관측이 ...

  • 등록일: 2018-05-24

126

VIEWS

일반정보 해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의

해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의 드레이텍(DrayTek) 라우터에서 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수...

  • 등록일: 2018-05-24

122

VIEWS

유용정보 업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의!

업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의! 최근 업무 관련 제목으로 위장해 사용자의 웹 메일 계정 정보 탈취를 시도하는 피싱 메일이 유포되고 있다....

  • 등록일: 2018-05-24

85

VIEWS

2

COMMENTED

윈도정보 Windows 10 Version 1709에 대한 누적 업데이트(KB4103714)

Cumulative Update for Windows 10 Version 1709 (KB4103714) : 16299.461 1709 for x64-based Systems (KB4103714) http://download.windowsupdate.com/d/msdown...

  • 등록일: 2018-05-22

359

VIEWS

12

COMMENTED

유용정보 EasyDrv7 v7.18.508.1 (2018.05.17)오늘 나왔습니다 file

https://www.itsk.com/thread-387419-1-1.html 오늘 날짜로 나왔습니다 윈도우7 86비트 64비트 수정한것으로 봐서 정식 으로 나왔습니다 한글패치 구하신 분들은 ...

  • 등록일: 2018-05-17

2719

VIEWS

29

COMMENTED

윈도정보 Windows RS5 Inside Preview 17672 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-05-17

355

VIEWS

1

COMMENTED

윈도정보 Windows RS5 Inside Preview 17666 공개되었습니다.

한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다.  CLIENTCLOUDE  Lean 버전  CLIENTCORE  Home 버전  CLIENTEDUCATION  Education 버전  CL...

  • 등록일: 2018-05-10

906

VIEWS

25

COMMENTED

윈도정보 갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0

갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0 갠드크랩(GandCrab) 랜섬웨어가 연일 화제(?)다. 이번에는 파일리스(fileless) 형태의 갠드크랩 3.0 버...

  • 등록일: 2018-05-10

907

VIEWS

15

COMMENTED

윈도정보 5월 9일 Adobe Flash Player Update (KB4103729)

Security Update for Adobe Flash Player for Windows 10 Version 1803 (KB4103729) [x64]  http://download.windowsupdate.com/c/msdownload/update/software/se...

  • 등록일: 2018-05-09

404

VIEWS

8

COMMENTED

윈도정보 5월 9일 Windows 10 누적 업데이트입니다.

1. Cumulative Update for Windows 10 Version 1803 (KB4103721) : 17134.48 1803 for x64-based Systems (KB4103721) http://download.windowsupdate.com/c/msdo...

  • 등록일: 2018-05-09

913

VIEWS

17

COMMENTED

IT정보 녹투아 noctua NF-A12x25 신형 팬 판매 시작~ file

녹투아에서 정말 오랜만에 신형팬이 나왔습니다. 모델 : NF-A12x25 소개 영상 https://www.youtube.com/watch?v=mOKrM4bX6GY 아마존 링크 https://www.amazon.com...

  • 등록일: 2018-05-04

748

VIEWS

10

COMMENTED

MS소식 [ 윈도우10, 구글 크롬 버그 수정판 8일 배포 ]

윈도우10, 구글 크롬 버그 수정판 8일 배포 /사진제공=MS 마이크로소프트(MS)가 지난 4월 말 발표한 윈도우10 업데이트에서 발생한 버그수정 패치를 오는 8일(현...

  • 등록일: 2018-05-04

1178

VIEWS

26

COMMENTED

윈도정보 Windows10 RS4 1803에서 더 이상 사용되지 않는 기능과 제거 된 기능

Windows10(윈도우 10)버전 1803부터 교체할 기능이 제거되거나 계획되어 있음 적용 대상:Windows10, 버전 1803 Windows10(윈도우 10)의 각 릴리스에는 새로운 기...

  • 등록일: 2018-05-01

3010

VIEWS

40

COMMENTED

윈도정보 Windows 10 RS4 배포가 시작되었습니다. file

버그 때문에 배포가 중지되었던 Windows 10 RS4 April Update 배포가 시작되었습니다. 윈도우10의 윈도우 업데이트 메뉴를 이용해서도 업데이트가 가능합니다.

  • 등록일: 2018-05-01

1372

VIEWS

28

COMMENTED

위로