랜섬웨어는 매년 공격 대상과 전략, 몸값 요구 방법 등이 다양해지면서 피해 규모가 기하급수적으로 증가하고 있다.
더 많은 피해를 입히기 위해 Cross-platform 랜섬웨어(Conti, BlackCat, Deadbolt 등)를 제작하여 다양한 플랫폼을 공 략하기도 한다. 파일 암호화와 정보 유출을 통한 다크웹에 게시하는 이중 협박 전략, 정보 유 출을 위한 Custom 툴 사용, Anti-Anaysis & Evasion으로 실행 시 특정 키 값을 사용하거나 MSI, NSIS 등 유포 방식을 변화시키는 등 랜섬웨어는 계속해서 진화하고있다.
sk쉴더스는 최근 다크웹에서 가장 활발히 활동하고있는 랜섬웨어 그룹인 Lockbit 3.0 과 국내에서 가장 영향력 있는 VenusLocker 그룹의 활동, 꾸준히 변종이 발견되고 있는 Phobos 랜섬웨어와 국내 특정 대기업을 타겟으로 감염을 시켜 큰 이슈를 불러온 GWISIN 랜섬웨어를 분석하여 트렌드와 특징을 간략히 알아보고 랜섬웨어를 예방하기위해 완화할 수 있는 방안을 제공하고자 한다.
1. VenusLocker 그룹, Makop & Lockbit 3.0 랜섬웨어
최근 랜섬웨어들은 Ransomware-as-a-Service(RaaS), 공격자와 제작자가 구분되어 수익을 나 눠가지는 구조를 보이는 형태의 서비스를 통해 활동하며 조금 더 나아가서는 조직화된 하나 의 기업처럼 움직이는 그룹이 늘고 있다. 그 중 Lockbit 또한 RaaS 형태의 랜섬웨어를 사용 하는 조직화된 그룹으로 다크웹 2차 유출, 감염자 수를 바탕으로 보면 현재 가장 활발히 활 동하며 가장 파급력이 있는 그룹으로 볼 수 있다.
Lockbit 3.0으로 업데이트 되면서 랜섬웨어 최초로 버그바운티를 도입하고 복호화 지불 방법 으로 Zcash 코인 도입, 탐지 회피 전략으로 서비스 형태로 동작하며 다양한 Anti-Analysis & Evasion 전략을 추가되어 더욱 강력한 기능을 가지고 유포 중이다. 또한 BlackMatter 랜섬웨 어와 권한 상승, 프로세스 종료 API 체크, 안티 디버깅 등 여러 루틴의 유사성이 확인되며 감 염 후 변경되는 바탕화면에 LockBit Black으로 표기하고 있어 BlackMatter 그룹과의 연계 혹 은 코드 등의 리소스를 활용한 것으로 보인다
버그바운티 :취약점 보상 제도(VRP-Vulnerability Reward Program)
기업은 버그바운티 운영을 통해 다양한 해커로부터 취약점을 제보 받고 보상함으로써 효율적인 비용으로 취약점 점검을 받을 수 있습니다.
GWISIN 랜섬웨어
2021년 상반기 최초로 발견, 국내 기업들을 타겟으로 AD 서버, 기업의 취약부분 공격한 랜섬웨어. 이벤트 로그 삭제, 키 값 사용 등 탐지 회피를 위한 방법 다수 사용, 한글 키보드를 통해 영문으로 타이핑한 한글 사용흔적으로 보아 한국어를 사용하거나 한국어에 능통한 해커가 포함된 그룹으로 추측, 북한과의 관련성을 의심 중이나 정확한 근거 확보 X
특징 : 특정 기업을 대상으로 침투하여 해당 기업만을 위한 config 및 랜섬노트 사용
탐지 회피를 위해 MSI 파일 형태로 유포, MSI의 Custom Action 테이블을 이용하여 dll의 export 함수를 호출하여 동작
MSI(Microsoft Installer)파일은 윈도우에서 프로그램을 설치할 때 사용하는 파일 형식. 일반적인 소프트웨어 설치 파일처럼 보이기 때문에 보안 소프트웨어나 사용자가 의심 없이 실행할 가능성이 높음.
탐지회피를 위한 방법 : 보안 프로그램에 탐지되지 않도록 우회하는 기술을 일컬음. MSI 파일은 정사적인 설치 패키지처럼 보이기 때문에, 일반적인 실행 파일(EXE)보다 의심이 덜함.
MSI의 Custom Action 테이블을 이용한다 : MSI 파일 내부에 Custom Action 기능이 존재. 설치 과정에서 특정한 작업을 실행할 수 있도록 하는 기능. 악성코드는 이 기능을 악용해서 설치 과정에서 특정 DLL을 실행할 수 있도록 설정 가능
DLL 의 Export 함수를 호출하여 동작 : DLL(Dynamic Link Library)파일은 여러 프로그램이 공통으로 사용할 수 있는 함수들을 포함하는 파일. Custom Action 을 이용하면 특정 DLL을 불러와서 내부에 있는 특정 함수를 실행 가능. 이를 악용하여 악성코드가 포함된 DLL을 실행해서 악성 행위 수행 가능
'swuforce' 카테고리의 다른 글
| [드림핵]Don't Do(S) That! - 포렌식 (0) | 2025.02.11 |
|---|---|
| [드림핵]lololologfile (0) | 2025.02.11 |
| [써니나타스]17번 (0) | 2025.02.04 |
| [써니나타스]1번 (0) | 2025.02.04 |
| [서핏]DeepSeek - 진실, 오해, 시사점 (1) | 2025.02.04 |