1. 개요
1.1. 개요
건라 랜섬웨어는 2022년에 소스코드가 유출된 Conti 랜섬웨어를 기반으로 개발된 랜섬웨어다.
주로 VPN, SSH, RDP 브루트포스 및 취약점을 사용해 피해 서버를 감염시킨다.
2025년 7월 SGI 서울보증이 해당 랜섬웨어로 인해 피해를 입었으나, 금융보안원에서 발견한 랜섬웨어 취약점으로 복호화 할 수 있었음.
1.2. 샘플 정보
MD5 | 9a7c0adedc4c68760e49274700218507 |
SHA256 | 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd |
Compiler | Microsoft Visual C++ |
2. 분석
2-1. Win API 동적 주소 획득
PEB 탐색으로 Kernel32.dll BaseAddress 획득
IAT 탐색으로 Win API 주소 획득
건라 랜섬웨어는 Win API를 바로 호출하지 않고, PEB에서 kernel32.dll의 BaseAddress를 먼저 획득한다. 그 후, 해당 DLL의 IAT를 탐색하여 필요한 함수의 주소를 획득한다. 이를 통해 랜섬웨어의 IAT에는 사용되는 함수가 노출되지 않는다.
2-3. 중복 실행 방지 루틴
CreateMutexA를 통해 중복실행 방지
CreateMutexA 함수를 사용해 이미 kjsidugiaadf99439라는 뮤텍스가 등록되어 있는 경우 랜섬웨어 실행을 종료하도록 하여 중복 실행을 방지한다. 이 때 사용된 뮤텍스를 포함해 모든 악성코드의 문자열은 다음과 같이 랜덤한 방식으로 암호화 되어 있다.
2-4. 파일 암호화 쓰레드 생성
암호화 대상 파일 탐색 쓰레드 생성
CPU 코어 수만큼의 파일 암호화 쓰레드 생성 및 공유 자원 액세스를 위한 Critical Section 생성
CPU 코어 수만큼의 파일 암호화 쓰레드를 생성한다. 멀티 쓰레드 구현을 위해 Critical Section을 생성하고, 빠른 파일 암호화 구현을 의도한 것으로 보인다.
2-5. 파일 암호화 루틴
건라 랜섬웨어는 Chacha20으로 파일을 암호화 시킨다. 이 때, 암호화에 사용되는 키는 advapi32.dll!CryptGenRandom 함수를 사용하여 생성한다.
RSA 암호화를 위한 CSP 생성
RSA-2048 공개키
암호화에 사용된 대칭키를 RSA 공개키로 암호화 하여 공격자의 개인키로만 복호화 할 수 있도록 한다.
또한 건라 랜섬웨어는 파일 앞부분의 최대 5MB 까지만 암호화 시킨다. 코드를 보면 가상머신, 데이터베이스와 관련된 파일을 구분하고 있지만, 결론만 놓고 보면 이 파일들도 5MB 까지만 암호화 시킨다.
이 외에도 왼쪽 표의 확장자를 가진 파일과, 오른쪽 표의 폴더 이름 하위 파일들은 암호화 하지 않는다.
.exe | PE 파일 |
.sys | 드라이버 파일 |
.dll | 동적 라이브러리 파일 |
.msi | 설치 파일 |
.lnk | 바로가기 파일 |
$RECYCLE.BIN | tmp |
winnt | temp |
thumb | System Volume |
Boot | Windows |
Trend Micro |
2-6. 볼륨 섀도우 카피 삭제
CoCreateInstance 함수를 사용해 WQL 쿼리를 한다. 해당 쿼리는 윈도우의 섀도우 볼륨 복사본을 제거하는데, 이를 통해 피해자가 시스템을 랜섬웨어 감염 이전 시점으로 되돌릴 수 없도록 한다.
2-7. 디버그 메세지
건라 랜섬웨어는 개발자가 사용했던 디버그 메세지 출력 루틴이 존재한다. 실제 문자열 복호화까지는 이루어 졌지만, 실제 메세지가 출력 되는 등 특별한 동작은 하지 않는다.
3. 결론
건라 랜섬웨어는 다음과 같은 행위를 하여 피해 시스템의 파일을 강제로 암호화 시킴
•
피해 시스템의 파일을 빠르게 ChaCha20으로 암호화
◦
1개의 파일 탐색 쓰레드 + CPU 코어 수만큼의 파일 암호화 쓰레드 생성
◦
5MB를 초과하는 파일은 앞 부분의 5MB만 암호화
•
Restart Manager API를 사용해 파일 소유권을 가지고 있는 프로세스 강제 종료
•
파일 확장자를 .ECRT로 변경시킴
•
암호화 후 각 폴더마다 R3ADM3.txt 랜섬노트 생성
•
일부 확장자 및 시스템 폴더는 암호화 하지 않음
•
WMIC를 통해 섀도우 볼륨 복사본을 제거하여 파일 복구 방지
•
랜섬웨어가 사용하는 주요 문자열 암호화
•
PEB를 통해 kernel32.dll의 BaseAddress를 얻고 IAT를 순회하여 IAT 테이블에 랜섬웨어가 사용하는 함수를 노출하지 않음
4. 랜섬웨어 재현
[동영상 1] 랜섬웨어 시연 영상
당사의 솔루션인 PurpleHound는 실전 기반 시나리오를 재구성하여 기업이 보유한 보안 장비와 시스템이 실제 공격에 얼마나 효과적으로 대응할 수 있는지를 검증할 수 있도록 지원하며, 최근 건라 랜섬웨어를 선제적으로 분석하여 보안 위협에 앞장서 대응하고 고객사가 신속하고 정확하게 위협을 검증할 수 있도록 전문적인 지원을 제공하고 있습니다.