해커들의 새로운 결제 캠페인 DASH 코인

malwares.com 코드분석팀 분석 자료

<부제 : 이제 대시(DASH)인가?! >

1. 개요

2018년 1월 26일에 처음 발견된 GandCrab(.GDCB) 랜섬웨어는 RIG EK, Grandsoft EK 두개의 공격 도구를 통해 배포되었습니다.  그러던 중 최근에 Receipt Feb-21310(임의 숫자) 라는 제목으로 메일이 무작위로 발송되었으며 메일에 첨부되어 있던 PDF를 통해 GandCrab 랜섬웨어가 감염되고 있습니다. GandCrab은 해커들이 주로 사용하던 비트코인의 지불을 요구하지않고 비교적 알려지지 않은 대시코인(DASH) 암호화폐를 요구합니다. 대시(DASH)는 해커들에게 더 많은 익명성을 제공하고 비트코인보다 낮은 수수료로 앞으로도 많이 사용될것으로 보입니다. 

관련 기사 보러가기 : [데일리시큐] 익스플로잇 킷 통해 퍼지는 새로운 랜섬웨어 '그랜드크랩'

2. 분석 정보

[ 그림 1. PDF 파일 ]

메일에 첨부되어 있던 PDF 파일은 Captcha 로 위장한 체크박스가 나타나며 사용자가 클릭할 경우 외부에서 Feb-00974.doc 파일명을 가진 MS Word 문서를 추가 다운로드를 시킵니다.

[ 그림 2. MS Word 악성코드 추가 다운로드 ]

- 다운로드 경로 : hxxp://butcaketforthen.com/docs/Feb-00974.doc

현재는 삭제되어 없는 경로로 나타나지만 malwarews.com에서는 다수의 엔진이 malicious site로 탐지하고 있습니다.

[ 그림 3. 매크로가 삽입된 MS Word ]

다운로드된 doc파일은 매크로가 포함되어 있어 사용자가 "콘텐츠 사용" 을 활성화해주어야 동작합니다. PDF에서 체크 버튼을 통해 다운로드 받은 파일로 비교적 적은 의심으로 콘텐츠 사용을 할 수 있어, 소셜 엔지니어링 해킹의 요소가 있다고 보여집니다.

[ 그림 4. 매크로 AutoOpen ]

- 다운로드 경로 : hxxp://sorinnohoun.com/sc1/sct5

위 경로도 현재는 접속이 불가능하고, 다수의 엔진이 malicious site로 탐지하고 있습니다.  해당 URL에 연결될 경우 파워쉘 악성코드를 다운로드 받습니다.

다운로드 받은 파워쉘은 GandCrab 랜섬웨어를 실행시키는 동작을 하게되며, 감염 시 많은 파일이 암호화가 진행되어 원본파일의 내용을 확인할 수 없습니다.

[ 그림 5. GandCrab 복구 지원 페이지 ]

랜섬웨어에 감염이 된 이후 Tor Browser 을 통해서 GandCrab 랜섬웨어의 복구 페이지에 방문할 수 있습니다.  복구를 위해서는 "1.5 DASH"를 요구하지만 일정 기한내에 지불하지 않을 경우 2배가 오른 "3 DASH"를 지불해야 합니다.

[ 그림 6. 도메인 정보 ]

PDF에서 연결하던 도메인은 중국에 위치한 서버로 다른 사용 이력이 존재하지 않던 도메인으로 악의적인 목적으로 생성된 도메인으로 보입니다. 파일의 경로는 삭제됬으나 서버는 아직 열려 있으므로 추가적인 악성 행위를 할것으로 보여 지속적으로 모니터링을 할 예정입니다.  

3. 결제 수단

[ 그림 7. 이메일에 첨부된 egg 압축파일 ]

[그림 7] 은 2017년 말에 유포된 VenusLocker 랜섬웨어가 첨부된 메일로, 첨부된 파일이 국내 소프트웨어 "알집"으로 압축된 .egg 포맷파일로 많은 백신에서 탐지가 이루어지지 않았고, 국내 사용자를 대상으로 유포되었습니다.

이렇게 국내를 타겟으로 사용자를 감염시킨 VenusLocker은 비트코인이 아닌 모네로코인를 요구합니다. 

모네로코인은 익명성을 보장해 해커들에게 새로이 많이 이용되는 추세입니다.  GandCrab 랜섬웨어는 이와 마찬가지로 익명성이 보장되는 DASH 코인을 이용했을것으로 보이며, 앞으로도 해커들은 비트코인에서 더 낮은 수수료와 익명성을 보장하는 코인으로 결제를 요구할것으로 추정됩니다.   

4. IOC 정보

해쉬	3AABCA6AA74D4499E07D8828BE981E65D421603895DD8450A15B49F1113517FF
파일크기	17,111 Bytes
유입파일명	Feb-9523713.pdf
태그	pdf, trojan, agent
주요동작	추가 파일 다운로드
초기감염방법	이메일 첨부
재실행방법	X
네트워크연결	http://butcaketforthen.com/docs/Feb-00974.doc

해쉬	B0B6AB3DF6587BE47C68A60297F029EC9C76430785D94E740E3BEC8E027DD542
파일크기	142,848 Bytes
유입파일명	Feb-00974.doc
태그	doc, run-file, downloader, trojan, macros, obfuscated, exe-pattern, agent, write-file
주요동작	추가 파일 다운로드
초기감염방법	드랍퍼를 통해 실행
재실행방법	X
네트워크연결	http://sorinnohoun.com/sc1/sct5

해쉬	17D756B9A1B13EC9E72DE08F2BD3017AB603F2963A69B647030ACA03EAF485EB
파일크기	70,656 Bytes
유입파일명	Ransom.GandCrab
태그	dll_32bit, pedll, hacktool, ransomware, inject, gandcrab
주요동작	파일 암호화
초기감염방법	파워쉘 스크립트로부터 실행
재실행방법	X
네트워크연결	X