파일의 첫 부분은 암호화 하지 않고, 16바이트마다 한 번씩만 암호화를 진행함으로써 탐지에 걸리지 않게 하는 랜섬웨어가 나타났다. 사용자가 파일을 제대로 활용하지 못하게 하는 건 다른 랜섬웨어와 똑같은데, 컴퓨터가 보기에는 랜섬웨어에 감염되지 않은 파일이나 감염된 파일이나 똑같아 보여서 문제다.
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버에서 연달아 중요 취약점이 발견되면서, 이를 활용하려는 사이버 범죄자들의 움직임이 적극적으로 변하고 있다. 그러면서 록파일(LockFile)이라는 새로운 랜섬웨어가 등장하기도 했다. 이 랜섬웨어는 ‘간헐적 암호화’라는 독특한 전략을 사용하면서 스스로를 차별화하고 있다.
[이미지 = utoimage]
록파일을 제일 먼저 발견한 건 보안 업체 소포스(Sophos)다. 소포스가 분석한 바에 따르면 록파일은 파일을 암호화 할 때 독특한 방식으로 한다고 한다. “16바이트마다 한 번씩만 암호화를 적용합니다. 16바이트 건너 한 번씩 한다고 해야 할까요. 군데군데, 띄엄띄엄 암호화를 하는 건데요, 그렇기 때문에 보안 솔루션들이 이를 잘 탐지하지 못합니다. 이런 식으로 암호화 된 파일은 통계적으로 암호화 되지 않은 파일과 거의 똑같거든요.” 소포스의 백신 엔지니어인 마크 로만(Mark Loman)의 설명이다.
이전에도 ‘부분적 암호화’를 실시한 공격자들은 여럿 있었다. 공격의 속도를 높일 수 있다는 장점이 있기 때문에 공격자들이 종종 실험해 보는 공격 기법이기도 하다. 하지만 록파일에는 록파일만의 차별점이 있다. 데이터의 초반 부분은 암호화 하지 않고, 16바이트마다 한 번씩 암호화를 진행한다는 것이다. 이 덕분에 보다 효과적으로 탐지를 피해가고, 심지어 텍스트 파일의 경우 암호화가 진행돼도 피해자가 일부 내용을 읽는 것이 가능하다. 부분적 암호화 기법 중에서도 이러한 접근법은 대단히 독특한 것이라고 소포스 측은 설명한다.
암호화를 다 마친 록파일은 PING 명령어를 사용해 자신을 삭제한다. 따라서 피해자의 컴퓨터에는 록파일과 관련된 흔적이 단 하나도 남지 않는다. 백신 소프트웨어나 사건 대응 팀이 찾아서 분석하고 삭제할 바이너리가 시스템에 남지 않는다는 것이다. 때문에 랜섬웨어 정보를 공유한다는 측면에서도 록파일은 여지를 주지 않는다.
록파일은 프록시셸(ProxyShell)이라고 불리는 마이크로소프트 익스체인지 서버 취약점을 익스플로잇 한다. 그런 다음 쁘티포탐(PetitPotam)이라는 NTLM 릴레이 공격을 실행함으로써 피해자의 도메인에 대한 제어 권한을 가져간다. 그런 후에는 서버와 연결을 성립시키고, 인증 세션을 훔친다. 이를 통해 정상적으로 로그인 한 것과 동일하게 서버와 네트워크에 접근할 수 있게 된다.
록파일은 크게 다음과 같이 구성되어 있다고 한다.
1) OPEN : 아무런 데이터가 없음
2) CLSE : 세 가지 기능이 있는 곳. 세 기능 외 모든 데이터는 인코딩 되어 나중에 OPEN에 저장된다. 여기에 암호화에 사용되는 암호화 라이브러리도 포함되어 있다.
그 외에도 록파일은 윈도 관리 인터페이스(WMI) 도구인 WMIC.exe를 사용해 vmwp라는 이름을 가지고 있는 모든 프로세스를 종료시키기도 한다. WMIC.exe는 모든 윈도 OS에 존재하는 도구다. 그 외에도 가상화 소프트웨어나 데이터베이스와 관련된 프로세스들도 찾아내 종료시킨다. 이렇게 프로세스를 종료시키는 건 암호화시키고자 하는 파일을 반드시 암호화시키기 위함이다. 프로세스에 사용되고 있는 파일은 변경시킬 수 없다.
록파일은 암호화시킨 파일의 이름을 소문자로 바꾼 후 .lockfile이라는 확장자를 덧붙인다. 그리고 피해자가 볼 수 있도록 협박 편지를 화면에 띄우는데, 이 편지는 록빗2.0(LockBit 2.0) 범인들이 사용하는 것과 매우 흡사하다. 이 편지에 제시된 이메일 주소는 contipauper로, 콘티(Conti) 랜섬웨어를 모욕하는 듯한 뉘앙스를 준다. 아마도 록파일 운영자가 콘티를 라이벌로 여기는 듯하다. 랜섬웨어 시장은 경쟁이 치열하기 때문에 공격자들끼리 견제하는 모습은 흔히 나타난다.
랜섬웨어의 혁신은 계속해서 진행된다. 작년부터 시작된 ‘이중 협박’ 전략은 랜섬웨어 산업 자체를 뒤바꿀 정도의 영향을 미쳤고, 이제는 모든 랜섬웨어가 이 전략을 차용한다. 얼마 전 록빗 2.0은 공격 대상이 되는 조직의 내부자를 섭외해 공격의 파괴력을 높이는 전략을 보여주었고, 이를 모방한 공격자까지 등장한 상황이다. 그런 가운데 록파일은 ‘간헐적 암호화’라는 전략을 들고 나와 업계를 긴장시키고 있다.
3줄 요약
1. 랜섬웨어의 혁신, 이제는 부분 암호화 혹은 간헐적 암호화라는 전략에까지 도달.
2. 파일의 첫 부분 건너 뛰고 16바이트마다 한 번씩만 암호화 하는 록파일.
3. 공격 속도 높이고 탐지율 낮추는 효과 높은 공격 기법으로 분석됨.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버에서 연달아 중요 취약점이 발견되면서, 이를 활용하려는 사이버 범죄자들의 움직임이 적극적으로 변하고 있다. 그러면서 록파일(LockFile)이라는 새로운 랜섬웨어가 등장하기도 했다. 이 랜섬웨어는 ‘간헐적 암호화’라는 독특한 전략을 사용하면서 스스로를 차별화하고 있다.
[이미지 = utoimage]
록파일을 제일 먼저 발견한 건 보안 업체 소포스(Sophos)다. 소포스가 분석한 바에 따르면 록파일은 파일을 암호화 할 때 독특한 방식으로 한다고 한다. “16바이트마다 한 번씩만 암호화를 적용합니다. 16바이트 건너 한 번씩 한다고 해야 할까요. 군데군데, 띄엄띄엄 암호화를 하는 건데요, 그렇기 때문에 보안 솔루션들이 이를 잘 탐지하지 못합니다. 이런 식으로 암호화 된 파일은 통계적으로 암호화 되지 않은 파일과 거의 똑같거든요.” 소포스의 백신 엔지니어인 마크 로만(Mark Loman)의 설명이다.
이전에도 ‘부분적 암호화’를 실시한 공격자들은 여럿 있었다. 공격의 속도를 높일 수 있다는 장점이 있기 때문에 공격자들이 종종 실험해 보는 공격 기법이기도 하다. 하지만 록파일에는 록파일만의 차별점이 있다. 데이터의 초반 부분은 암호화 하지 않고, 16바이트마다 한 번씩 암호화를 진행한다는 것이다. 이 덕분에 보다 효과적으로 탐지를 피해가고, 심지어 텍스트 파일의 경우 암호화가 진행돼도 피해자가 일부 내용을 읽는 것이 가능하다. 부분적 암호화 기법 중에서도 이러한 접근법은 대단히 독특한 것이라고 소포스 측은 설명한다.
암호화를 다 마친 록파일은 PING 명령어를 사용해 자신을 삭제한다. 따라서 피해자의 컴퓨터에는 록파일과 관련된 흔적이 단 하나도 남지 않는다. 백신 소프트웨어나 사건 대응 팀이 찾아서 분석하고 삭제할 바이너리가 시스템에 남지 않는다는 것이다. 때문에 랜섬웨어 정보를 공유한다는 측면에서도 록파일은 여지를 주지 않는다.
록파일은 프록시셸(ProxyShell)이라고 불리는 마이크로소프트 익스체인지 서버 취약점을 익스플로잇 한다. 그런 다음 쁘티포탐(PetitPotam)이라는 NTLM 릴레이 공격을 실행함으로써 피해자의 도메인에 대한 제어 권한을 가져간다. 그런 후에는 서버와 연결을 성립시키고, 인증 세션을 훔친다. 이를 통해 정상적으로 로그인 한 것과 동일하게 서버와 네트워크에 접근할 수 있게 된다.
록파일은 크게 다음과 같이 구성되어 있다고 한다.
1) OPEN : 아무런 데이터가 없음
2) CLSE : 세 가지 기능이 있는 곳. 세 기능 외 모든 데이터는 인코딩 되어 나중에 OPEN에 저장된다. 여기에 암호화에 사용되는 암호화 라이브러리도 포함되어 있다.
그 외에도 록파일은 윈도 관리 인터페이스(WMI) 도구인 WMIC.exe를 사용해 vmwp라는 이름을 가지고 있는 모든 프로세스를 종료시키기도 한다. WMIC.exe는 모든 윈도 OS에 존재하는 도구다. 그 외에도 가상화 소프트웨어나 데이터베이스와 관련된 프로세스들도 찾아내 종료시킨다. 이렇게 프로세스를 종료시키는 건 암호화시키고자 하는 파일을 반드시 암호화시키기 위함이다. 프로세스에 사용되고 있는 파일은 변경시킬 수 없다.
록파일은 암호화시킨 파일의 이름을 소문자로 바꾼 후 .lockfile이라는 확장자를 덧붙인다. 그리고 피해자가 볼 수 있도록 협박 편지를 화면에 띄우는데, 이 편지는 록빗2.0(LockBit 2.0) 범인들이 사용하는 것과 매우 흡사하다. 이 편지에 제시된 이메일 주소는 contipauper로, 콘티(Conti) 랜섬웨어를 모욕하는 듯한 뉘앙스를 준다. 아마도 록파일 운영자가 콘티를 라이벌로 여기는 듯하다. 랜섬웨어 시장은 경쟁이 치열하기 때문에 공격자들끼리 견제하는 모습은 흔히 나타난다.
랜섬웨어의 혁신은 계속해서 진행된다. 작년부터 시작된 ‘이중 협박’ 전략은 랜섬웨어 산업 자체를 뒤바꿀 정도의 영향을 미쳤고, 이제는 모든 랜섬웨어가 이 전략을 차용한다. 얼마 전 록빗 2.0은 공격 대상이 되는 조직의 내부자를 섭외해 공격의 파괴력을 높이는 전략을 보여주었고, 이를 모방한 공격자까지 등장한 상황이다. 그런 가운데 록파일은 ‘간헐적 암호화’라는 전략을 들고 나와 업계를 긴장시키고 있다.
3줄 요약
1. 랜섬웨어의 혁신, 이제는 부분 암호화 혹은 간헐적 암호화라는 전략에까지 도달.
2. 파일의 첫 부분 건너 뛰고 16바이트마다 한 번씩만 암호화 하는 록파일.
3. 공격 속도 높이고 탐지율 낮추는 효과 높은 공격 기법으로 분석됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
