안티바이러스 프로세스를 중단시키기 위해 GIGABYTE 드라이버를 사용하는 랜섬웨어 발견

Ransomware Exploits GIGABYTE Driver to Kill AV Processes

RobbinHood 랜섬웨어 공격자들이 안티바이러스 및 보안 소프트웨어를 종료하는데 사용할 서명되지 않은 악성 드라이버를 윈도우에 설치하기 위해 취약한 GIGABYTE 드라이버를 악용하고 있는 것으로 나타났습니다.

랜섬웨어 공격자가 네트워크 전체를 공격하기 위해서는 탐지를 피해 랜섬웨어 실행파일을 가능한 빠르게 많은 시스템에 배포해야 합니다.

하지만 랜섬웨어 파일이 실행되기 전에 이를 제거하는 안티바이러스 소프트웨어 때문에 쉽지 않습니다.

이 난관을 극복하기 위해 RobbinHood 랜섬웨어 운영자는 시스템 암호화를 위해 워크스테이션에 배포되는 안티바이러스 킬링 패키지를 활용하고 있었습니다.

보안 프로세스를 종료하기 위해 신뢰할 수 있는 드라이버 활용해

윈도우 보안 소프트웨어 프로세스 대부분은 종료되지 않도록 보호되며, 윈도우 OS에서 가장 높은 권한을 가진 커널 드라이버만이 이를 종료할 수 있습니다.

마이크로소프트는 윈도우의 보안을 높이기 위해 마이크로소프트와 공동 서명되지 않았을 경우 윈도우 커널 드라이버를 설치하지 못하게 하는 DSE(driver signature enforcement) 정책을 추가했습니다.

이로써 공격자와 악성코드가 마이크로소프트의 검토 없이 커널 수준 권한을 얻을 수 있는 악성 드라이버를 설치하는 것을 막을 수 있습니다.

Sophos의 연구원들은 RobbinHood 공격자들이 취약한 것으로 알려진 GIGABYTE 드라이버를 설치하고 있는 것을 목격했다고 밝혔습니다. 이 드라이버는 마이크로소프트의 공동 서명이 포함되어 있으며, 공격자들은 이 드라이버의 취약점을 악용하여 DSE 정책을 비활성화할 수 있습니다.

이 정책이 비활성화 되면 공격자는 안티바이러스 및 보안 소프트웨어 프로세스를 종료할 수 있는 커스텀 악성 커널 드라이버를 설치할 수 있습니다.

이 공격은 GIGABYTE의 gdrv.sys 드라이버 내 CORE-2018-0007 취약점을 악용하는 Steel.exe라는 실행파일을 배포하는 것으로 시작됩니다.

Steel.exe가 실행되면 C:\Windows\Temp 폴더에 ROBNR.EXE 실행파일을 추출해냅니다. 이로써 폴더에는 취약한 GIGABYTE 드라이버인 gdrv.sys와 RobbinHood 드라이버인 rbnl.sys가 남게 됩니다.

 

[그림 1] 윈도우 Temp 폴더의 드라이버

ROBNR는 GIGABYTE 드라이버를 설치 및 악용하여 윈도우의 DSE 정책을 중단시킵니다.

 

[그림 2] 취약한 GIGABYTE gdrv.sys 드라이버가 설치된 모습

DSE 정책이 비활성화 되면, ROBNR이 악성 rbnl.sys 드라이버를 설치할 수 있게 됩니다. 이 악성 드라이버는 Steel.exe가 안티바이러스 및 보안 소프트웨어를 종료하고 제거하는데 사용합니다.

 

[그림 3] 프로세스를 종료시키는 RobbinHood 드라이버가 설치된 모습

이후 Steel.exe 프로그램은 PLIST.TXT 파일에서 종료시킬 프로세스 목록과 파일을 제거할 서비스 목록을 읽어옵니다. 이후 읽어온 프로세스와 파일을 찾아 종료하거나 제거합니다.

 

[그림 4] 드라이버가 사용하는 파일을 종료시키는 코드

이미지출처: https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software

Sophos의 연구원들은 PLIST.TXT 파일에 접근할 수 없어 어떤 프로세스와 서비스가 포함되어 있는지는 알 수 없었습니다.

Steel.exe가 보안 소프트웨어를 모두 종료시키면, 랜섬웨어가 탐지될 걱정 없이 시스템을 암호화할 수 있는 상태가 됩니다.

네트워크 전체를 공격할 경우 많은 돈을 벌어들일 수 있다는 점 때문에 공격자들은 보안 소프트웨어와 윈도우의 보호 정책을 우회하기 위해 많은 노력을 투자하고 혁신적인 방법을 사용합니다.

이러한 공격은 네트워크를 먼저 해킹하지 않을 경우 불가능하기 때문에, 가장 좋은 예방책은 네트워크의 보안을 튼튼하게 유지하는 것입니다. 피싱 인식 교육, 보안 업데이트 설치, 원격 데스크톱 서비스 접근 권한 제한 등을 통해 네트워크를 안전하게 유지하시기 바랍니다.

알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.RobinHood로 대응하고 있습니다.

출처 :

https://www.bleepingcomputer.com/news/security/ransomware-exploits-gigabyte-driver-to-kill-av-processes/

https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/