1. 개요
1.1. 개요
건라 랜섬웨어는 2022년에 소스코드가 유출된 Conti 랜섬웨어를 기반으로 개발된 랜섬웨어다.
주로 VPN, SSH, RDP 브루트포스 및 취약점을 사용해 피해 서버를 감염시킨다.
2025년 7월 SGI 서울보증이 해당 랜섬웨어로 인해 피해를 입었으나, 금융보안원에서 발견한 랜섬웨어 취약점으로 복호화 할 수 있었음.
1.2. 샘플 정보
MD5 | 9a7c0adedc4c68760e49274700218507 |
SHA256 | 854e5f77f788bbbe6e224195e115c749172cd12302afca370d4f9e3d53d005fd |
Compiler | Microsoft Visual C++ |
2. 분석
2-1. Win API 동적 주소 획득
PEB 탐색으로 Kernel32.dll BaseAddress 획득
IAT 탐색으로 Win API 주소 획득
건라 랜섬웨어는 Win API를 바로 호출하지 않고, PEB에서 kernel32.dll의 BaseAddress를 먼저 획득한다. 그 후, 해당 DLL의 IAT를 탐색하여 필요한 함수의 주소를 획득한다. 이를 통해 랜섬웨어의 IAT에는 사용되는 함수가 노출되지 않는다.
2-3. 중복 실행 방지 루틴
CreateMutexA를 통해 중복실행 방지
CreateMutexA 함수를 사용해 이미 kjsidugiaadf99439라는 뮤텍스가 등록되어 있는 경우 랜섬웨어 실행을 종료하도록 하여 중복 실행을 방지한다. 이 때 사용된 뮤텍스를 포함해 모든 악성코드의 문자열은 다음과 같이 랜덤한 방식으로 암호화 되어 있다.
2-4. 파일 암호화 쓰레드 생성
암호화 대상 파일 탐색 쓰레드 생성
CPU 코어 수만큼의 파일 암호화 쓰레드 생성 및 공유 자원 액세스를 위한 Critical Section 생성
CPU 코어 수만큼의 파일 암호화 쓰레드를 생성한다. 멀티 쓰레드 구현을 위해 Critical Section을 생성하고, 빠른 파일 암호화 구현을 의도한 것으로 보인다.
2-5. 파일 암호화 루틴
건라 랜섬웨어는 Chacha20으로 파일을 암호화 시킨다. 이 때, 암호화에 사용되는 키는 advapi32.dll!CryptGenRandom 함수를 사용하여 생성한다.
RSA 암호화를 위한 CSP 생성
RSA-2048 공개키
암호화에 사용된 대칭키를 RSA 공개키로 암호화 하여 공격자의 개인키로만 복호화 할 수 있도록 한다.
또한 건라 랜섬웨어는 파일 앞부분의 최대 5MB 까지만 암호화 시킨다. 코드를 보면 가상머신, 데이터베이스와 관련된 파일을 구분하고 있지만, 결론만 놓고 보면 이 파일들도 5MB 까지만 암호화 시킨다.
이 외에도 왼쪽 표의 확장자를 가진 파일과, 오른쪽 표의 폴더 이름 하위 파일들은 암호화 하지 않는다.
.exe | PE 파일 |
.sys | 드라이버 파일 |
.dll | 동적 라이브러리 파일 |
.msi | 설치 파일 |
.lnk | 바로가기 파일 |
$RECYCLE.BIN | tmp |
winnt | temp |
thumb | System Volume |
Boot | Windows |
Trend Micro |
2-6. 볼륨 섀도우 카피 삭제
CoCreateInstance 함수를 사용해 WQL 쿼리를 한다. 해당 쿼리는 윈도우의 섀도우 볼륨 복사본을 제거하는데, 이를 통해 피해자가 시스템을 랜섬웨어 감염 이전 시점으로 되돌릴 수 없도록 한다.
2-7. 디버그 메세지
건라 랜섬웨어는 개발자가 사용했던 디버그 메세지 출력 루틴이 존재한다. 실제 문자열 복호화까지는 이루어 졌지만, 실제 메세지가 출력 되는 등 특별한 동작은 하지 않는다.
3. 결론
건라 랜섬웨어는 다음과 같은 행위를 하여 피해 시스템의 파일을 강제로 암호화 시킴
•
피해 시스템의 파일을 빠르게 ChaCha20으로 암호화
◦
1개의 파일 탐색 쓰레드 + CPU 코어 수만큼의 파일 암호화 쓰레드 생성
◦
5MB를 초과하는 파일은 앞 부분의 5MB만 암호화
•
Restart Manager API를 사용해 파일 소유권을 가지고 있는 프로세스 강제 종료
•
파일 확장자를 .ECRT로 변경시킴
•
암호화 후 각 폴더마다 R3ADM3.txt 랜섬노트 생성
•
일부 확장자 및 시스템 폴더는 암호화 하지 않음
•
WMIC를 통해 섀도우 볼륨 복사본을 제거하여 파일 복구 방지
•
랜섬웨어가 사용하는 주요 문자열 암호화
•
PEB를 통해 kernel32.dll의 BaseAddress를 얻고 IAT를 순회하여 IAT 테이블에 랜섬웨어가 사용하는 함수를 노출하지 않음
4. 랜섬웨어 재현
당사의 솔루션인 PurpleHound는 실전 기반 시나리오를 재구성하여 기업이 보유한 보안 장비와 시스템이 실제 공격에 얼마나 효과적으로 대응할 수 있는지를 검증할 수 있도록 지원하며, 최근 건라 랜섬웨어를 선제적으로 분석하여 보안 위협에 앞장서 대응하고 고객사가 신속하고 정확하게 위협을 검증할 수 있도록 전문적인 지원을 제공하고 있습니다.