본문 바로가기

리디 접속이 원활하지 않습니다.
강제 새로 고침(Ctrl + F5)이나 브라우저 캐시 삭제를 진행해주세요.
계속해서 문제가 발생한다면 리디 접속 테스트를 통해 원인을 파악하고 대응 방법을 안내드리겠습니다.
테스트 페이지로 이동하기

악성코드 분석 시리즈 - GandCrab v5.0.4 상세페이지

악성코드 분석 시리즈 - GandCrab v5.0.4작품 소개

<악성코드 분석 시리즈 - GandCrab v5.0.4> 갠드크랩은 2018년 4월부터 드라이브 바이 다운로드(Drive by Download, DBD)방식으로 유포되기 시작한 랜섬웨어다. 꾸준한 업데이트를 거쳐 12월 현재 v5.0.9까지 나왔으며, 본 보고서는 2018년 11월에 유포된 갠드크랩 랜섬웨어 v5.0.4의 특징 및 상세 분석을 작성한다.

갠드크랩 랜섬웨어 v5.0.4를 분석하기 전에 먼저, 갠드크랩 v5부터 v5.0.3까지의 특징을 알아보자. 갠드크랩 v5는 9월 말부터 국내에 유포되기 시작했으며 v5.0.1, v5.0.2 v5.0.3을 거쳐 11월 초에 랜섬웨어 v5.0.4가 유포됐고 12월 초에 v5.0.9까지 확인됐다. 갠드크랩 v5는 v4에서 사용하던 확장자인 KRAB을 임의의 5자리 문자열로 수정하고 랜섬노트를 텍스트 파일에서 HTML 파일로 변경했다. v5.0.1에선 랜섬노트를 다시 텍스트 파일로 생성하며, 확장자는 5~10자리 랜덤 문자열로 생성한다. 추가로 다른 프로세서에 악성 행위를 하는 명령어도 주입된다. 마지막으로 v5.0.3에서는 안랩의 v3 킬 코드가 추가됐다.

저자 소개

저자

황연준
영남대학교에서 컴퓨터공학을 전공하며 정보 보안 동아리 활동을 하였다.졸업 이후 보안프로젝트(www.boanproject.com)에서 악성코드 분석 장기 과정을 수료하며, 본격적으로 악성코드 분석에 입문하였다.현재, 꾸준히 악성코드 분석을 공부하고 있으며 관심 분야는 악성코드 분석 및 리버싱이다.


감수

조정원
감수를 맡은 조정원은 보안프로젝트(www.boanproject.com) 대표로 활동하고 있다. 에이쓰리시큐리티에서 5년 동안 모의해킹 컨설턴트를 하였고, 모의해킹 프로젝트 매니저, 웹 애플리케이션, 소스코드 진단 등 다양한 영역에서 취약점 진단을 수행하였다. 이후 KTH 보안 팀에서 모바일 서비스, 클라우드 서비스 보안, 침해사고 대응 업무를 하였고, KB투자증권에서 보안 업무를 담당했다. 주요 저서로는 <실무자가 말하는 모의해킹>, <비박스를 활용한 웹 모의해킹 완벽실습>, <버프스위트 활용과 웹 모의해킹>, <워드프레스 플러그인 취약점 분석과 모의해킹>(이상 한빛미디어, 2015), <IT엔지니어의 투잡, 책내기>, <IT엔지니어로 사는법 1>(이상 비팬북스, 2015), <안드로이드 모바일 앱 모의해킹>, <안드로이드 모바일 악성코드와 모의해킹 진단>, <칼리리눅스를 활용한 모의해킹>(이상 에이콘출판사, 2014), <모의해킹이란 무엇인가>(위키북스, 2014), <디지털 포렌식의 세계>(인포더북스, 2014), <크래커 잡는 명탐정 해커>(성안당, 2010) 등이 있으며, 보안프로젝트 멤버들과 함께 다양한 영역에서 활동하고 있다.

목차

01 개요 및 감염 과정 8
1.1 개요 8
1.2 갠드크랩 감염 후 복구 비용 요구 과정 9
02 갠드크랩 감염 동작 방식 13
2.1 감염 대상 확인 13
2.2 PC 정보 수집 16
2.3 암호화 18
2.4 네트워크 통신 26
2.5 기타 행위 29
03 자동화 분석 31
04 정적 및 동적 분석 39
4.1 PE 정보 분석 39
4.2 리소스 및 실행 프로세스 분석 41
4.3 뮤텍스 및 라이브러리 정보 분석 44
4.4 네트워크 분석 45
4.5 레지스트리 및 파일 분석 47
05 상세 분석 51
5.1 실행 중인 프로세스 종료 51
5.2. 권한 및 운영체제 버전 확인 54
5.3 언어 확인 58
5.4 중복 실행 방지 59
5.4.1 드라이버 정보 획득 및 사진 도발 59
5.4.2 뮤텍스 생성 62
5.5 정보 수집 66
5.5.1 레지스트리 정보 획득 68
5.5.2 AV 및 기타 정보 수집 70
5.6 수집된 PC 정보 암호화(RC4 알고리즘) 76
5.7 랜섬노트 생성 암호화 81
5.7.1 랜덤 문자열 생성 81
5.7.2 개인 키/공개 키 생성 84
5.7.3 랜섬노트 생성 90
5.8 공유 폴더 암호화 93
5.8.1 Thread 0x143d07 93
5.8.2 공유 폴더 암호화 진행 과정 95
5.9 파일 암호화 101
5.9.1 Thread 0x14398c 101
5.9.2 파일 암호화 진행 과정 106
5.10 섀도우카피 삭제 117
5.11 바탕화면 변경 119
5.12 네트워크 통신 123
5.13 자기자신 삭제 129
06 대응 방안 및 예방 수칙 132

리뷰

구매자 별점

4.6

점수비율
  • 5
  • 4
  • 3
  • 2
  • 1

14명이 평가함

리뷰 작성 영역

이 책을 평가해주세요!

내가 남긴 별점 0.0

별로예요

그저 그래요

보통이에요

좋아요

최고예요

별점 취소

구매자 표시 기준은 무엇인가요?

'구매자' 표시는 리디에서 유료도서 결제 후 다운로드 하시거나 리디셀렉트 도서를 다운로드하신 경우에만 표시됩니다.

무료 도서 (프로모션 등으로 무료로 전환된 도서 포함)
'구매자'로 표시되지 않습니다.
시리즈 도서 내 무료 도서
'구매자’로 표시되지 않습니다. 하지만 같은 시리즈의 유료 도서를 결제한 뒤 리뷰를 수정하거나 재등록하면 '구매자'로 표시됩니다.
영구 삭제
도서를 영구 삭제해도 ‘구매자’ 표시는 남아있습니다.
결제 취소
‘구매자’ 표시가 자동으로 사라집니다.

리뷰 및 사용자 신고하기

신고하는 이유를 선택해주세요.

댓글 및 사용자 신고하기

신고하는 이유를 선택해주세요.

사용자 차단

님을 차단하시겠습니까?
사용자를 차단하면 해당 사용자의 리뷰와 댓글을
확인할 수 없습니다.

사용자 차단 해제

님을 차단 해제하시겠습니까?
차단을 해제하면 해당 사용자의 리뷰와 댓글을
확인할 수 있습니다.

이 책과 함께 구매한 책

이 책과 함께 둘러본 책

성인 인증 안내

성인 재인증 안내

성인 인증 안내

성인 재인증 안내

청소년보호법에 따라 성인 인증은 1년간
유효하며, 기간이 만료되어 재인증이 필요합니다.
성인 인증 후에 이용해 주세요. 해당 작품은 성인 인증 후 보실 수 있습니다.
성인 인증 후에 이용해 주세요.

청소년보호법에 따라 성인 인증은 1년간
유효하며, 기간이 만료되어 재인증이 필요합니다.
성인 인증 후에 이용해 주세요. 해당 작품은 성인 인증 후 선물하실 수 있습니다.
성인 인증 후에 이용해 주세요.

본문 끝 최상단으로 돌아가기

도움말

악성코드 분석 시리즈 - GandCrab v5.0.4

  • - 본 작품은 1일마다 1편씩 무료입니다.
  • - 최근 10편은 해당 이용권으로 볼 수 없습니다.
  • - 해당 이용권으로는 무료로 3일 볼 수 있습니다.
결제 방법 선택

작품 제목

원하는 결제 방법을 선택해주세요.

이어보기

작품 제목

대여 기간이 만료되었습니다.
다음화를 보시겠습니까?

모바일 버전