Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보GandCrab의 한국 사랑, 북한 폰트 파일로 유포되는 GandCrab4 (1)
작성일 2018-07-11 조회 211

 

 

 

갠드크랩 (GandCrab) 랜섬웨어는 국내를 타겟으로 유창한 한국어로 된 스팸메일이 유포된 사건들이 다수 존재했습니다. 특히 갠드크랩 버전3은 국내 디자이너를 사칭해 유포되어 국내에서 많은 이슈를 발생시켰으며, 다양한 한국어로 위장한 메일을 유포하여 한국에 대한 사랑을 보여주는 랜섬웨어였습니다.

 

물론 서비스형 랜섬웨어(RaaS : Ransomware as a Service)통해 유포하는 수많은 사람 중에 한 명이겠지만 말이죠.

 

Link : 디자이너를 사칭한 메일로 유포되는 GandCrab Version 3

 

 

최근 갠드크랩 버전 4가 등장하면서 일반적으로 스팸 메일로 유포되던 방식과는 다르게 해킹된 사이트의 피싱 링크로 유포하는 방식에 대해 다룬 적이 있었습니다.

 

Link : 또 다시 등장한 GandCrab 시리즈, Version 4 - 유포 방식(HTML) 편

Link : 또 다시 등장한 GandCrab 시리즈, Version 4 - 악성코드 편

 

 

 

 

상기 방식과 동일한 형식에 유포지가 발견되었습니다. 기존 방식과 다른 점은 해당 유포지가 한글로 되어 있다는 것입니다. 주제는 '북한 폰트 다운로드'. 도대체 왜 이런 주제를 선정했는지 알 수 없지만 그저 엿장수 마음이겠지요.

 

 

 

역시나. 한국어로 유포되는 갠드크랩

 

 

 

구글 검색 시 상단에 위치한 사이트입니다. 물론 북한 폰트를 다운로드 하는 사람이 있겠냐만은 좋은 시도라고 생각합니다. 내부 내용은 구글 번역이라도 돌린 듯 어순 어법 모두 맞지 않은, 그냥 한글로만 되어있는 사이트입니다.

 

[그림] 구글 검색 '북한 폰트 다운로드'

 

 

 

이전과 마찬가지로 기존 사이트가 정상이므로 바이러스 토탈에 아무 결과가 존재하지 않습니다.

 

[그림] 바이러스 토탈 결과

 

 

 

사이트 접속하면 '북한 폰트 다운로드' 할 수 있는 링크가 보입니다. 기존에 Crack 버전의 소프트웨어의 피싱 사이트보다는 많이 부족한 부분이 있지만 그래도 그럴듯 한 컨셉인 것 같습니다. 물론, 이 대화를 보고 폰트를 다운로드 하고 랜섬웨어의 감염되는 것이 더 어려울 것(?) 같은 내용입니다.

 

[그림] 악성코드 유포지

 

 

 

 

해킹된 블로그는 두 개의 페이지로 구성되어 있습니다. 두 페이지 모두 해커에 의해 작성되었을 가능성이 높습니다.

 

 1. 일반적인 폰트 소개 페이지

 2. 일반적인 폰트 소개 페이지 + 다운로드 링크

 

 

최초 접속 시 2번 페이지가 생성되는데 생성되는 코드는 아래와 같습니다.

1번 또한, 해킹된 페이지이긴 하나 악성코드를 유포하지 않은 일반적인 설명 페이지이기 때문에 이하 정상페이지라고 정의하겠습니다.

 

 

 

 

 

'?a60e6b4=62602' 코드에서 정상 페이지에서 악성코드유포 페이지를 보여주는 방식은 BODY와 HTML 을 제외한 모든 Tag를 삭제합니다.

 

[그림] Tag 삭제 코드 및 유포지 HTML

 

주요 코드는 아래와 같습니다.

 

[그림] Tag 삭제 코드

 

 

 

삭제 후 아래의 코드를 삽입하여 악성코드를 다운로드 할 수 있도록 합니다. 댓글로 확인했던 글들과 랜섬웨어를 다운로드하는 URL도 확인할 수 있습니다.

 

[그림] 악성코드 유포 페이지 HTML

 

 

 

링크 클릭 시 GandCrab 4를 다운로드 할 수 있습니다. 현 블로그 작성 시점에도 아직까지 C2가 살아있어 다운로드 가능합니다.

 

 

 

[악성코드 다운로드 C2]

 

hxxp://plainsightpictures[.]com/test.php?ulgovgejywzeu=ebb681ed959c5fed8fb0ed8ab82e65786

 

 

[그림] 악성코드 다운로드 패킷

 

 

 

악성 페이지를 방문하면 Tag 삭제 코드가 사라지게 됩니다.

 

[그림] 악성페이지 유도 코드 삭제

 

 

 

삭제된 코드로 인해 재 접속 시 악성코드 페이지가 아닌 정상 페이지로 접근이 됩니다. 아 물론, 정상페이지의 한국어 능력은 형편없습니다.

 

 

이 곳 또한, 아무일도 없었다는 듯

 

 

[그림] 정상 페이지 접속

 

 

 

 

 

GandCrab v4 악성코드 유포방식을 통해 소프트웨어는 공식 사이트에서 다운로드 해야 한다는 사실을 한 번 더 상기 시킬 수 있는 기회가 될 것입니다.

 

 

 

Sniper 제품 대응 방안

 - Win32/Ransomware.GandCrab4.204800

 

 

 

Source

http://hummingbird.tistory.com/6697

첨부파일 첨부파일이 없습니다.
태그 랜섬웨어  GandCrab