LockerGoga 코딩 에러를 이용해 악성 암호화 예방 가능

Researchers: LockerGoga coding error can be exploited to prevent malicious encryption

2019년 초 제조업계를 노린 LockerGoga 랜섬웨어에서 코딩 에러가 발견되었습니다. 

연구원들은 이를 이용하면 파일 암호화를 멈출 수 있을 것이라 밝혔습니다.

※ 관련글 보러가기

▶ Altran 공격에 사용된 것으로 추정되는 LockerGoga 랜섬웨어 발견

위협 관리 회사인 Alert Logic는 블로그 포스팅을 통해 해당 악성코드가 .Ink 파일 확장자를 처리하는 방식에서 문제를 발견했습니다.

연구원들에 따르면, LockerGoga 랜섬웨어는 손상된 기기에 어떤 파일들이 있는지 확인하기 위해 시스템을 스캔합니다. 

시스템을 스캔하는 중에 LockerGoga가 .Ink 파일을 확인하면, 이 악성코드는 이 Ink 파일의 경로를 확인하려 시도합니다.

하지만, LockerGoga가 처리할 수 없는 예외 상황을 만들어낼 수 있는 조건 2가지가 있습니다. 

이 2가지 조건은 랜섬웨어가 PC에 피해를 입히기 전에, 운영체제에서 랜섬웨어를 종료할 수 있습니다.

- 해당 Ink 파일이 유효하지 않은 네트워크 경로를 포함하도록 조작된 경우

- 해당 Ink 파일에 RPC(Remote Procedure Call) 엔드포인트가 없는 경우

악성 파일은 피해자의 기기에 여전히 존재하겠지만, 위의 .Ink 파일이 남아있는 동안에는 실행될 수 없기 때문에 결과적으로 비활성화될 것입니다.

따라서 보안 전문가들은 의도적으로 에러를 포함한 .Ink 파일을 만들어 LockerGoga의 공격을 무력화할 수 있습니다. 

물론, 이 방법으로 LockerGoga 위협을 완전히 제거할 수는 없습니다. 

공격자들은 여전히 사용자 기기를 장악하는 법을 알고 있으며, 추후 이 결함을 수정할 수 있기 때문입니다.

알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지 중에 있습니다. 

출처:

https://www.scmagazine.com/home/security-news/researchers-lockergoga-coding-error-can-be-exploited-to-prevent-malicious-encryption/

https://blog.alertlogic.com/halting-the-lockergoga-ransomware/

https://unit42.paloaltonetworks.com/born-this-way-origins-of-lockergoga/