DFIR 보고서, 류크의 공격 패턴 파헤쳐...처음에는 북한 랜섬웨어인줄
최초에 로더 투입시키고 나서 수면기...29시간 동안 많은 시스템 감염시켜
[보안뉴스 문가용 기자] 류크 랜섬웨어 공격에 대한 세부적인 내용이 DFIR 보고서(DFIR Report)라는 이름으로 발표됐다. 허니팟 시스템에 가해진 실제 공격들을 분석한 결과가 이번 보고서에 담겨있다고 한다.
[이미지 = utoimage]
류크는 2018년 처음 상세히 분석된 랜섬웨어로, 처음에는 헤르멧(Hermes)라는 랜섬웨어와의 유사성 때문에 북한 해커들의 작품인 것으로 여겨졌다. 하지만 의심은 러시아 사이버 범죄자들을 향하게 되었다. 그렇게 배후 세력이 확실히 밝혀지지 않은 가운데 류크는 지난 2년 동안 수많은 공격을 하며 여러 매체의 헤드라인을 장식했다.
DFIR 보고서에 의하면 류크 랜섬웨어 공격은 악성 이메일로부터 시작한다고 한다. 이 이메일에는 바자(Bazar)나 케그탑(Kegtap)이라는 로더 멀웨어를 다운로드시키는 악성 링크가 포함되어 있었다. 바자나 케그탑은 시스템에 안착한 뒤 윈도 도구들을 사용해 정찰 활동을 펼친다. 물론 별도의 정찰 도구를 활용하는 사례들도 존재한다.
바자와 케그탑은 하루 정도는 조용히 지켜보기만 한다. 그런 다음 두 번째 정찰이 시작된다. 이 때 윈도 도구들에 더해 루베우스(Rubeus)라는 도구가 활용된다. 데이터가 수집된 후 원격에 있는 서버들로 전송된다. 이 단계에서 공격자들은 횡적으로의 움직임을 시작하기도 한다.
횡적 움직임의 목적은 네트워크 내 다른 시스템들을 감염시키기 위함이다. 공격자들은 원격 WMI, 파워셸, 코발트 스트라이크(Cobalt Strike) 등을 다양하게 활용한다. 그러면서 공격자들과의 접점이 확보된다. 그런 후에는 파워셸을 통해 윈도 디펜더를 비활성화시킨다. 류크 페이로드는 SMB를 통해 이 접점(beacon)들로 전파된 후, 1분이 지나서 실행되기 시작한다. 제일 먼저는 백업 자료가 저장되어 있는 서버가 공격당한다.
DFIR 보고서에 따르면 여기까지 걸리는 시간이 평균 29시간이다. 최초 침투로부터 수면기를 지나 실제 페이로드가 퍼져가는 데에 이만큼의 시간이 걸린다는 것이다. SMB만이 아니라 RDP 연결을 활용해 퍼지는 경우도 있다고 한다. “바자부터 파일 암호화까지 29시간이라는 건, 1일차 침투를 탐지하지 못했을 경우 대응에 3시간 남짓만이 주어진다는 겁니다.” DFIR 보고서의 해석이다.
시스템과 파일들을 암호화 하는 데 성공한 후 공격자들은 약 600 비트코인을 피해자에게 요구한다. 이는 현재 시세로 600만 달러 정도 된다. 다만 류크 공격자들은 대체적으로 협상에 열려 있는 편이다. 따라서 피해자들과의 대화 창구를 열어둔다.
최근 몇 개월 동안 류크의 가장 활발한 유포를 거들었던 건 트릭봇(TrickBot)이라는 봇넷이라고 DFIR은 밝혔다. 하지만 오늘 마이크로소프트는 트릭봇 봇넷 대부분을 무력화시키는 데 성공했으며, 이 때문에 당분간 트릭봇을 통한 류크의 확산에 제동이 걸렸다고 발표했다.
보고서 내용은 여기(https://thedfirreport.com/2020/10/08/ryuks-return/)서 열람이 가능하다.
3줄 요약
1. 류크 랜섬웨어, 주로 악성 이메일 통해 퍼지는데, 이 때 바자라는 로더가 주로 활용됨.
2. 바자에서부터 류크 페이로드의 파일 암호화까지 걸리는 시간은 평균 29시간.
3. 첫 날 탐지에 실패했다면 대응에 쓸 수 있는 시간은 3시간 남짓.
[국제부 문가용 기자(globoan@boannews.com)]
최초에 로더 투입시키고 나서 수면기...29시간 동안 많은 시스템 감염시켜
[보안뉴스 문가용 기자] 류크 랜섬웨어 공격에 대한 세부적인 내용이 DFIR 보고서(DFIR Report)라는 이름으로 발표됐다. 허니팟 시스템에 가해진 실제 공격들을 분석한 결과가 이번 보고서에 담겨있다고 한다.
[이미지 = utoimage]
류크는 2018년 처음 상세히 분석된 랜섬웨어로, 처음에는 헤르멧(Hermes)라는 랜섬웨어와의 유사성 때문에 북한 해커들의 작품인 것으로 여겨졌다. 하지만 의심은 러시아 사이버 범죄자들을 향하게 되었다. 그렇게 배후 세력이 확실히 밝혀지지 않은 가운데 류크는 지난 2년 동안 수많은 공격을 하며 여러 매체의 헤드라인을 장식했다.
DFIR 보고서에 의하면 류크 랜섬웨어 공격은 악성 이메일로부터 시작한다고 한다. 이 이메일에는 바자(Bazar)나 케그탑(Kegtap)이라는 로더 멀웨어를 다운로드시키는 악성 링크가 포함되어 있었다. 바자나 케그탑은 시스템에 안착한 뒤 윈도 도구들을 사용해 정찰 활동을 펼친다. 물론 별도의 정찰 도구를 활용하는 사례들도 존재한다.
바자와 케그탑은 하루 정도는 조용히 지켜보기만 한다. 그런 다음 두 번째 정찰이 시작된다. 이 때 윈도 도구들에 더해 루베우스(Rubeus)라는 도구가 활용된다. 데이터가 수집된 후 원격에 있는 서버들로 전송된다. 이 단계에서 공격자들은 횡적으로의 움직임을 시작하기도 한다.
횡적 움직임의 목적은 네트워크 내 다른 시스템들을 감염시키기 위함이다. 공격자들은 원격 WMI, 파워셸, 코발트 스트라이크(Cobalt Strike) 등을 다양하게 활용한다. 그러면서 공격자들과의 접점이 확보된다. 그런 후에는 파워셸을 통해 윈도 디펜더를 비활성화시킨다. 류크 페이로드는 SMB를 통해 이 접점(beacon)들로 전파된 후, 1분이 지나서 실행되기 시작한다. 제일 먼저는 백업 자료가 저장되어 있는 서버가 공격당한다.
DFIR 보고서에 따르면 여기까지 걸리는 시간이 평균 29시간이다. 최초 침투로부터 수면기를 지나 실제 페이로드가 퍼져가는 데에 이만큼의 시간이 걸린다는 것이다. SMB만이 아니라 RDP 연결을 활용해 퍼지는 경우도 있다고 한다. “바자부터 파일 암호화까지 29시간이라는 건, 1일차 침투를 탐지하지 못했을 경우 대응에 3시간 남짓만이 주어진다는 겁니다.” DFIR 보고서의 해석이다.
시스템과 파일들을 암호화 하는 데 성공한 후 공격자들은 약 600 비트코인을 피해자에게 요구한다. 이는 현재 시세로 600만 달러 정도 된다. 다만 류크 공격자들은 대체적으로 협상에 열려 있는 편이다. 따라서 피해자들과의 대화 창구를 열어둔다.
최근 몇 개월 동안 류크의 가장 활발한 유포를 거들었던 건 트릭봇(TrickBot)이라는 봇넷이라고 DFIR은 밝혔다. 하지만 오늘 마이크로소프트는 트릭봇 봇넷 대부분을 무력화시키는 데 성공했으며, 이 때문에 당분간 트릭봇을 통한 류크의 확산에 제동이 걸렸다고 발표했다.
보고서 내용은 여기(https://thedfirreport.com/2020/10/08/ryuks-return/)서 열람이 가능하다.
3줄 요약
1. 류크 랜섬웨어, 주로 악성 이메일 통해 퍼지는데, 이 때 바자라는 로더가 주로 활용됨.
2. 바자에서부터 류크 페이로드의 파일 암호화까지 걸리는 시간은 평균 29시간.
3. 첫 날 탐지에 실패했다면 대응에 쓸 수 있는 시간은 3시간 남짓.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
