Home > 전체기사
갠드크랩 랜섬웨어, 무료폰트와 이력서 위장으로 활개
  |  입력 : 2018-11-22 11:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갠드크랩, 백신 체크부분 제거되고 악성코드 실행 변화....새로운 파일리스 유포
지난 7월 등장한 무료 폰트 ‘네봄이’ 재등장해 갠드크랩 감염 유도
피싱, 이메일, 감염된 프로그램 설치 등으로 랜섬웨어 감염...백업, 복구 등 여전히 미흡


[보안뉴스 김경애 기자] 갠드크랩(GandCrab) 랜섬에어가 최근 활개를 치고 있어 감염피해를 입지 않도록 이용자들의 각별한 주의가 필요하다.

[이미지=iclickart]


서비스형 랜섬웨어로 국내 집중 유포
지난 11월 15일 ‘장윤성 입사지원서’로 위장해 DOC 워드 문서의 매크로 기능을 이용해 갠드크랩 랜섬웨어가 유포되는가 하면, 지난 19일에는 ‘박혜윤’ 이력서 내용과 이메일 본문에 악성 EXE 파일 링크로 유포한 정황도 포착된 바 있다. 게다가 최근에는 홈페이지를 통해 갠드크랩 랜섬웨어가 유포되는가 하면, 무료 폰트를 다운로드할 수 있는 미끼로도 유포되는 등 다방면에서 갠드크랩 랜섬웨어가 활개를 치고 있다.

▲갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면[이미지=이스트시큐리티]


이와 관련 이스트시큐리티는 “지난주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있다”며 “이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있다”고 분석했다.

갠드크랩 랜섬웨어 악성코드 실행부분 변화

[이미지=제로써트]


위협정보를 공유하는 제로써트에 따르면 “홈페이지를 통한 갠드크랩 랜섬웨어 유포가 새로운 형태로 변화됐다”며, “지난 9월 10일 랜섬웨어 실행 전 사용자 PC에 설치된 어베스트 백신 설치유무를 체크하는 부분이 추가됐는데, 21일 발견된 갠드크랩은 백신을 체크하는 부분이 제거되고 악성코드 실행부분이 변화됐다. 새로운 파일리스 유포 방식의 테스트 단계”라고 분석했다. 제로서트는 갠드크랩이 공격의 효과성을 검증한 후 백신 설치 유무 등 탐지 우회하는 부분이 추가할 것으로 예상하며, 출처가 불분명한 링크를 클릭하거나 파일을 열람하는 등 랜섬웨어에 감염될 행위를 하지 말 것을 당부했다.

무료 폰트 ‘네봄이’ 재등장해 갠드크랩 감염 유도
특히 최근에는 한국을 타깃으로 한 갠드크랩이 또 다시 유포하기 시작했다. 바로 지난 2018년 7월 ‘북한 폰트 다운로드’란 제목으로 ‘네봄이’를 다운로드하도록 가장했던 유포방식이 이번에도 발견된 것. 이번에도 이전과 똑같이 ‘네봄이’를 사칭하고 있으며, 기존에 ‘북한폰트’에서 ‘무료 ppt 템플릿 다운로드’로 제목이 바뀌었다.

지난 21일 윈스는 “갠드크랩 랜섬웨어가 최근 다시 유포가 되고 있다”며 “이전과 동일한 피싱 사이트 방식으로 소프트웨어 다운로드를 가장해 랜섬웨어를 유포하고 있다. 이번 유포 방식은 갠드크랩 버전 4부터 사용된 방식으로, 소프트웨어 이름만 변경된 동일한 HTML로 활개를 치고 있다”며 주의를 당부했다.

▲네봄이의 랜섬웨어 유포지(좌, 2018년 11월/우, 2018년 07월)[이미지=윈스]


한편, 네봄이는 질의응답을 통한 악성코드 링크로 HTML에서 확인이 가능하다. 클릭시 갠드크랩 악성코드를 다운로드 한다. 현재까지 발견된 악성코드는 총 두 가지로 ‘exe’ 실행 파일과 ‘JavaScript’다. JavaScript로 유포되는 악성코드는 현 시점에 Virustotal에서도 탐지율이 매우 저조하기 때문에 주의가 필요하다.

특히 공격자는 추적을 피하고 은밀히 악성행위를 펼치기 위해 이용자가 피싱 사이트에 재접속하면 악성행위를 하지 않는 사이트에 접속되도록 만들었다. 이와 관련 윈스는 “이용자가 악성 페이지를 방문하면 Tag 삭제 코드가 사라지게 된다”며, “삭제된 코드로 인해 재접속 시 악성코드 페이지가 아닌 정상 페이지로 접근된다. 이는 검색 엔진의 크롤러를 피하기 위함일 수도 있으며, 또 다른 이유가 존재할 수도 있다”고 밝혔다.

또한 “악성코드 유포지로 활용된 URL은 아직까지 Virustotal에서 탐지못하는 상태이며, 악성코드가 유포되는 사이트는 기존과 마찬가지로 두 개의 페이지로 구성되어 있다”며 “하나의 사이트에 5가지 컨셉의 소프트웨어가 존재하고, 다운로드 되는 샘플은 동일하다”고 분석했다.

피싱, 이메일, 감염된 프로그램 설치로 감염
이처럼 최근 랜섬웨어가 기승을 부리며 다방면에서 활개를 치고 있다. 그렇다면 랜섬웨어는 어떤 경로를 통해 유포되며 이용자는 어떤 대비를 해야할까? 임퍼바(IMPERVA)에 따르면 랜섬웨어 감염경로 TOP 7으로 1. 피싱 (93%의 피싱 메일이 랜섬웨어를 포함하고 있는 것으로 밝혀짐) 2. 이메일의 첨부 파일 3. 감염된 프로그램 설치 4. 악성 광고 랜섬웨어 5. 웜 바이러스 형태 (자기 복제 및 자기 전파) 6. 트래픽 분산 시스템 (Traffic Distribution System - TDS) 7. 감염된 웹사이트 방문을 꼽았다.

이어 랜섬웨어 주요 타깃으로는 서비스업 (기술, 과학 및 전문 서비스뿐만 아니라 의료, 교육, 예술 및 엔터테인먼트 서비스도 포함)이 38%로 가장 높았고, 금융, 보험 및 부동산업 17%, 제조업과 공공 행정분야가 각각 10%로 동일하게 나타났다.

백업, 복구 여전히 미흡
이처럼 피해를 양산시키고 있는 랜섬웨어를 활개를 치고 있는 반면, 이에 대한 이용자의 대비는 미흡하기만 하다. 백신과 소프트웨어는 항상 최신버전으로 업데이트해 유지해야 하지만 상당수 이용자는 관심을 기울이지 않고 있으며, 감염될 것을 대비해 중요한 자료는 백업해야 역시 이를 간과하고 있는 실정이다.

한국랜섬웨어침해대응센터 이형택 센터장은 “2019년도에도 랜섬웨어는 보안이 취약한 특정 조직의 서버를 목표로 하는 표적 공격과 보안 취약계층을 목표로 하는 무차별 공격을 동시에 진행할 것으로 예상된다”며, “랜섬웨어 공격으로부터 데이터를 안전하게 보호하고 대비하기 위해 실시간 데이터 백업이 매우 중요하다. 전통적으로 백업과 복구는 IT 재해에 대비하기 위해 DB서버 시스템을 중심으로 시행하였고 PC에 있는 문서, 도면, 영상 데이터에 대한 현황 파악이나 조직 차원의 관리를 위해 필요함에도 불구하고 여전히 백업이 이뤄지지 않고 있다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향