GandCrab 4.1.2 분석

본 작성자는 초급 분석가이며, 피드백  환영합니다.

이번 분석 건은 GandCrab 4.1.2 입니다.

• 사용 툴

• 파일정보

위는 사용 툴과 GandCrab 4.1.2 파일 정보이다.

GandCrab 4.1.2 분석시 패킹푸는 과정은 생략하겠다.

• 중복실행 방지

중복실행을 방지하기 위해 하드 볼륨 + 특정url을 salsa20 암호화 알고리즘을 통해 뮤텍스를 생성

• 특정 프로세스 탐지 및 종료

암호화 대상 파일의 쓰기 권한을 확보하기 위해 아래 프로세스들을 종료한다. 

• 키보드 레이아웃 검사

Keyboard Layout(러시아), DefaultUILanguage(16개 국가)조회하여 일치할 경우 암호화 종료

• Daniel J. Bernstein Salsa 암호화 알고리즘

Salsa 알고리즘을 발명한 컴퓨터 교수인 Daniel J. Bernstein 에게 메세지를 보내는 것으로 추정된다.

• 특정 백신 탐지

아래와 같이 14개의 백신을 탐지하고 있다.

• PC정보 수집 및 암호화

PC정보 암호화는 해외 분석보고서에 따르면 피해자 PC정보 데이터는 'jopochlen' 라는 하드코딩 된 키와 RC4 알고리즘으로 암호화 되어 있다고 한다.

• 레지스트리 키 생성

• 암호화 대상 확인

GandCrab 4.0 버전과 다르게 몇 개의 확장자들이 추가되었다.

대표적으로 .lock, .KRAB 있으며, .zerophage_i_like_your_pictures 는 누군가에게 메시지를 보내는 것으로 추정되며,

해외 분석보고서 확인결과 Daniel J. Bernstein 에게 보내는 메시지임을 확인하였다.

암호화 제외 대상 확장자

암호화 제외 대상 파일

암호화 제외 대상 폴더

• GandCrab 랜섬노트

이전 버전과 특별히 틀린 부분은 확인되지 않았다.

• lock 파일 생성

디렉터리에 lock파일이 있으면 암호화가 진행되지 않으며 종료됨. 

• 확장자 변경 및 확장자 검증 로직

특정 파일에 대한 확장자 검증 로직이다. 암호화 제외 대상 확장자 인지 검증하는 구간이다.

• 네트워크 공유 암호화

특정 네트워크(Share Folder)와 공유되어 있는 경우 WnetEnumResource로 통신 중인 네트워크를 불러와 암호화를 진행한다.

• GandCrab C&C 및 url 조합

아래의 C&C와 특정 sub 값과 조합한다.

• 암호화 PC Data 송신

• 볼륨섀도우 삭제 및 자가삭제

감염 상태 이전으로 시스템 복원을 방지하기 위해 볼륨섀도우 삭제를 하는 것으로 확인된다.

감사합니다.

참조

http://asec.ahnlab.com/category/악성코드 정보

https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/

https://www.fortinet.com/blog/threat-research/gandcrab-v4-0-analysis--new-shell--same-old-menace.html