[보안뉴스 김형근 기자] 지난 9월 말 처음 탐지된 신종 랜섬웨어 ‘모노록’(Monolock)이 현재 다크 웹 포럼에서 버전 1.0으로 판매 되고 있다. 해커들이 훔친 기업 자격 증명(Credentials)까지 함께 매물로 내놓는 것으로 확인돼 보안 비상이 걸렸다.
다크 웹 분석 전문업체 ‘다크웹인포더’ 분석가들은 모노록의 초기 공격 대상이 의료 및 제조 부문의 중소기업이었다고 보고했다.
이 악성코드는 주로 악성 워드 문서가 첨부된 피싱 이메일을 통해 유포된다. 사용자가 문서를 열면 내장된 매크로가 작동하여 해커가 침해한 서버에서 랜섬웨어 바이너리를 몰래 다운로드 및 실행한다.
[자료: gettyimagesbank]
모노록은 파일 암호화에 AES-256을 사용하고, 키 교환에는 RSA-2048을 혼합 적용해 데이터를 무력화하는 고전적인 랜섬웨어 방식을 따른다.
암호화된 파일에는 확장자로 ‘.monolock’을 덧붙이고, 각 폴더에 복구 안내 파일인 ‘README_RECOVER.txt’를 남긴다.
운영자들은 암호화폐 결제를 요구하며, 피해자들에게 토르(Tor) 기반의 결제 포털 접속을 지시한다.
이 포털은 결제를 자동 확인하고 즉시 복호화 키를 제공한다. 특히 이 랜섬웨어는 48시간 이내에 지불하면 10%를 할인해주는 일종의 ‘세일즈 전략’을 쓰고 있다.
더욱 위험한 것은 이 랜섬웨어의 고도화된 회피 및 지속성 기술이다.
모노록은 암호화 작업을 시작하기 전에 시스템의 백업 및 보안 관련 소프트웨어 프로세스를 먼저 종료시키는 루틴을 가지고 있다.
실행 중인 서비스 이름에서 backup, sql, vss 등의 패턴을 검색해 시스템 스냅샷 복구를 사전에 차단한다.
또한, 탐지를 피하기 위해 자신을 정상적인 DLL 파일처럼 위장한 후, 윈도우의 핵심 프로세스인 explorer.exe에 코드를 주입하는 방식으로 실행된다.
특히, 필요한 윈도우 기능을 이름 대신 API 해싱(API Hashing)이라는 기술을 통해 동적으로 찾아서 사용한다.
이 해싱 루틴을 통해 모노록은 함수를 정적으로 가져오는 행위를 피하므로, 기존의 시그니처 기반 엔드포인트 탐지 도구를 회피하는 데 매우 효과적이다.
이러한 정교한 회피 메커니즘은 행동 기반 모니터링 및 다층적 보안 솔루션의 중요성을 다시 한번 강조한다.
[김형근 기자(editor@boannews.com)]
다크 웹 분석 전문업체 ‘다크웹인포더’ 분석가들은 모노록의 초기 공격 대상이 의료 및 제조 부문의 중소기업이었다고 보고했다.
이 악성코드는 주로 악성 워드 문서가 첨부된 피싱 이메일을 통해 유포된다. 사용자가 문서를 열면 내장된 매크로가 작동하여 해커가 침해한 서버에서 랜섬웨어 바이너리를 몰래 다운로드 및 실행한다.
[자료: gettyimagesbank]
모노록은 파일 암호화에 AES-256을 사용하고, 키 교환에는 RSA-2048을 혼합 적용해 데이터를 무력화하는 고전적인 랜섬웨어 방식을 따른다.
암호화된 파일에는 확장자로 ‘.monolock’을 덧붙이고, 각 폴더에 복구 안내 파일인 ‘README_RECOVER.txt’를 남긴다.
운영자들은 암호화폐 결제를 요구하며, 피해자들에게 토르(Tor) 기반의 결제 포털 접속을 지시한다.
이 포털은 결제를 자동 확인하고 즉시 복호화 키를 제공한다. 특히 이 랜섬웨어는 48시간 이내에 지불하면 10%를 할인해주는 일종의 ‘세일즈 전략’을 쓰고 있다.
더욱 위험한 것은 이 랜섬웨어의 고도화된 회피 및 지속성 기술이다.
모노록은 암호화 작업을 시작하기 전에 시스템의 백업 및 보안 관련 소프트웨어 프로세스를 먼저 종료시키는 루틴을 가지고 있다.
실행 중인 서비스 이름에서 backup, sql, vss 등의 패턴을 검색해 시스템 스냅샷 복구를 사전에 차단한다.
또한, 탐지를 피하기 위해 자신을 정상적인 DLL 파일처럼 위장한 후, 윈도우의 핵심 프로세스인 explorer.exe에 코드를 주입하는 방식으로 실행된다.
특히, 필요한 윈도우 기능을 이름 대신 API 해싱(API Hashing)이라는 기술을 통해 동적으로 찾아서 사용한다.
이 해싱 루틴을 통해 모노록은 함수를 정적으로 가져오는 행위를 피하므로, 기존의 시그니처 기반 엔드포인트 탐지 도구를 회피하는 데 매우 효과적이다.
이러한 정교한 회피 메커니즘은 행동 기반 모니터링 및 다층적 보안 솔루션의 중요성을 다시 한번 강조한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=spacer}
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
