국내 기업 대상의 귀신(Gwisin) 랜섬웨어
Contents
최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다.
이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL 파일은 윈도우 정상 프로세스에 인젝션하여 동작하고 있으며, 대상 프로세스는 피해 고객사마다 다른 특징을 갖는다.
아래는 현재까지 파악된 Gwisin 랜섬웨어 동작 방식의 특징이다.
(1) MSI 설치 파일 형태로 유포
(2) MSI 실행 시 사용한 인자 값을 통해 내부 DLL 구동에 사용
(3) 윈도우 시스템 프로세스에 인젝션하여 랜섬웨어 행위
(4) DLL 내부에 감염 대상 기업 정보 존재 (랜섬노트에 표시)
(5) 안전 모드에서 파일 암호화 기능 지원
MSI 파일이 실행되면 내부의 랜섬웨어 DLL의 익스포트 함수 update()를 호출한다. update() 함수에서는 실행 시의 …
이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL 파일은 윈도우 정상 프로세스에 인젝션하여 동작하고 있으며, 대상 프로세스는 피해 고객사마다 다른 특징을 갖는다.
아래는 현재까지 파악된 Gwisin 랜섬웨어 동작 방식의 특징이다.
(1) MSI 설치 파일 형태로 유포
(2) MSI 실행 시 사용한 인자 값을 통해 내부 DLL 구동에 사용
(3) 윈도우 시스템 프로세스에 인젝션하여 랜섬웨어 행위
(4) DLL 내부에 감염 대상 기업 정보 존재 (랜섬노트에 표시)
(5) 안전 모드에서 파일 암호화 기능 지원
MSI 파일이 실행되면 내부의 랜섬웨어 DLL의 익스포트 함수 update()를 호출한다. update() 함수에서는 실행 시의 …