포스팅 내용

국내외 보안동향

Netwalker 랜섬웨어, 추적을 방지하기 위해 ‘파일리스’ 기술 사용해

Netwalker ransomware actors go fileless to make attacks untraceable


공격자들이 흔적을 남기지 않고 피해자를 Netwalker 랜섬웨어에 감염 시키기 위해 파일리스 악성코드 기술인 반사 DLL 인젝션(Reflected DLL injection)을 사용해온 것으로 나타났습니다.



DLL 인젝션(DLL injection) 이란? 

다른 프로세스의 주소 공간 내에서 DLL을 강제로 로드시킴으로써 코드를 실행시키는 기술로 공격자는 임의적인 코드를 삽입하여 시스템 함수 후출을 후킹하거나 보통 방식으로 읽을 수 없는 패스워드 텍스트 박스의 내용을 읽을 수 있다.


반사 DLL 인젝션(Reflected DLL injection) 이란?

DLL 인젝션(DLL injection)을 위한 DLL 파일의 전체 경로를 요구하지 않고 인젝션을 수행할 DLL Payload를 Resoure 영역에 있는지  확하고 포인터를 활용해 데이터 메모리에 매핑하는 기술이다.


출처: wikipedia



Trend Micro의 위협 분석가인 Karen Victor는 공격자가 악성코드를 컴파일하여 디스크에 저장하는 대신 PowerShell에 작성하여 메모리에서 직접 실행했다고 밝혔습니다.


이 기술은 일반적인 DLL 인젝션보다 더욱 은밀히 이루어집니다. 실제 DLL 파일이 디스크에 존재하지 않아도 되며, 주입을 위해 로더 창이 필요하지 않기 때문입니다. 


이로써 DLL을 프로세스의 로드된 모듈로 등록하지 않아도 되며 DLL 로드 모니터링 툴을 우회할 수 있습니다.


랜섬웨어는 자체로써 조직에 엄청난 위협이 됩니다. 이 공격이 파일이 없는 상태로 이루어질 경우 더욱 효율적으로 탐지를 피하고 지속성을 유지할 수 있습니다.


이러한 공격 유형은 피해자에게 엄청난 피해를 입힐 수 있으며, 복구가 매우 힘듭니다.


작년 말, SC Media는 2019년 가장 유행했던 이슈 중 하나로 파일리스 악성코드 사용이 폭발적으로 증가했다는 것을 꼽았습니다. 


Trend Micro는 2018년 상반기와 비교했을 때 2019년 상반기에 해당 공격이 265%나 증가했다고 밝혔습니다.


Trend Micro는 탐지 및 분석을 피하기 위해 Ransom.PS1.NETWALKER.B PowerShell 스크립트가 다양한 암호화, 난독화, 인코딩 단계 아래에 숨어있었다고 밝혔습니다.


연구원은 해당 악성코드가 윈도우 OS의 32비트 동적 링크 라이브러리인 kernell32.dll의 API 주소 아래에 악성코드가 위치하며 메모리 주소를 계산할 수 있다고 밝혔습니다.


이러한 방식으로, 이 스크립트는 DLL의 커스텀 로더 역할을 합니다. 따라서 LoadLibrary 기능을 사용하는 일반적인 윈도우 로더가 필요하지 않습니다.


스크립트는 DLL을 제대로 로드하기 위해 필요한 메모리 주소를 직접 계산 및 재배치하는 것이 가능했습니다. 


그런 다음 주입될 프로세스를 지정합니다. 이 경우 실행 중인 윈도우 탐색기 프로세스를 찾습니다. 이후 explorer.exe의 메모리 공간에 랜섬웨어 DLL을 쓴 후 실행할 것입니다.


다른 Netwalker 변종과 마찬가지로, Ransom.PS1.NETWALKER.B 또한 6자리 랜덤 문자를 통해 사용자 파일을 암호화하고, 랜섬노트를 다양한 폴더에 드롭합니다. 


또한 섀도 볼륨 복사본을 삭제하고 백업 소프트웨어, 데이터 관련 애플리케이션, 보안 소프트웨어 등 특정 프로세스와 서비스를 종료합니다.


연구원들은 PowerShell 로깅 기능을 통해 의심스러운 활동 모니터링, ConstrainedLanguageMode PowerShell 명령 사용해 기능 제한, 정기적으로 시스템 백업, 소프트웨어 패치 적용 등 파일리스 위협에 대처하기 위해  취할 수 있는 방법을 권장했습니다.



현재 알약에서는 해당 악성샘플에 대해 Trojan.Ransom.Powershell으로 탐지 중에 있습니다.





출처:

https://www.scmagazine.com/home/security-news/ransomware/netwalker-ransomware-actors-go-fileless-to-make-attacks-untraceable/

https://blog.trendmicro.com/trendlabs-security-intelligence/netwalker-fileless-ransomware-injected-via-reflective-loading/

티스토리 방명록 작성
name password homepage