Ryuk 랜섬웨어, 오프라인 기기 암호화 위해 WOL(Wake-on-Lan) 사용해

Ryuk Ransomware Uses Wake-on-Lan To Encrypt Offline Devices

Ryuk 랜섬웨어가 해킹된 네트워크에 연결된 전원이 꺼진 기기를 켜 암호화하기 위해 WOL(Wake-on-Lan)을 사용하는 것으로 나타났습니다.

WOL은 특수 네트워크 패킷을 보내 전원이 꺼진 기기를 깨우거나 전원을 켤 수 있는 하드웨어 기능입니다. 이 기능은 전원이 꺼진 기기에 업데이트를 보내거나 예약 작업을 실행하기 위해 컴퓨터를 켜야하는 관리자들이 유용하게 사용합니다.

SentinelLabs 대표인 Vitali Kremez의 최신 Ryuk 랜섬웨어 분석에 따르면, 이 악성코드가 실행될 때 '8 LAN' 인수를 가진 서브 프로세스를 생성하는 것으로 나타났습니다.

<8 Lan 인수를 포함하여 생성된 서브 프로세스>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/>

이 인수가 사용되면, Ryuk은 기기의 네트워크 내 알려진 IP 주소 목록인 ARP 테이블 및 관련 mac 주소를 스캔한 후 해당 항목이 "10.", "172.16.", "192.168." 개인 IP 주소 서브넷의 일부인지 확인합니다.

<개인 네트워크 확인>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/>

해당 ARP 항목이 위 네트워크의 일부일 경우, Ryuk은 해당 기기의 MAC 주소로 WoL 패킷을 보내 전원을 켭니다. 이 WoL 요청은 'FF FF FF FF FF FF FF FF'를 포함한 ‘매직 패킷’ 형태로 이루어져 있습니다.

<WoL 패킷을 보내는 Ryuk>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/>

WoL 요청이 성공적일 경우, Ryuk은 해당 원격 기기의 C$ 관리 공유를 마운트하려 시도합니다.

<원격 C$ 공유 드라이브 마운트>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/>

공유 마운트에 성공할 경우 Ryuk은 원격 컴퓨터의 드라이브 또한 암호화합니다.

Kremez는 BleepingComputer와의 대화에서 Ryuk의 전략이 진화해 단일 기기에서 해킹된 네트워크에 보다 쉽게 도달할 수 있으며, 많은 기업 네트워크 환경을 다뤄본 결과일 것이라 밝혔습니다.

관리자가 이 새로운 기능에 대응하기 위해서는 관리자 기기와 워크스테이션에서 발생하는 WoL 패킷만을 허용하도록 설정을 변경해야 합니다.

이로써 관리자는 엔드 포인트에서 이 기능을 활용하는 동시에 안전히 보호할 수 있습니다.

하지만 관리자 워크스테이션이 해킹 되었을 경우에는 해결책이 될 수 없습니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Ryuk로 탐지중에 있습니다. 

출처 : 

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-uses-wake-on-lan-to-encrypt-offline-devices/

https://twitter.com/VK_Intel/status/1216351931020476417

https://www.crowdstrike.com/blog/wizard-spider-adds-new-feature-to-ryuk-ransomware/