상세 컨텐츠

본문 제목

백신을 피하기 위해 가상 머신에서 암호화를 수행하는 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2020. 5. 25. 14:00

본문

Ransomware encrypts from virtual machines to evade antivirus


Ragnar Locker 랜섬웨어가 피해자의 파일을 암호화하기 위해 윈도우 XP 가상 머신에 배치되어 호스트에 설치된 보안 소프트웨어의 탐지를 우회하고 있는 것으로 나타났습니다.


Ragnar Locker는 2019년 12월 말 활동을 시작한 비교적 새로운 랜섬웨어로 주로 기업 네트워크를 노립니다.


이 랜섬웨어는 에너지 대기업인 EDP(Energias de Portugal)를 공격하여 암호화되지 않은 파일 10TB를 훔쳤다고 주장하며 랜섬머니로 1090만 달러를 요구한 것으로 유명합니다.


Ragnar Locker는 네트워크에 배포될 때 탐지를 회피하기 위한 새로운 방법을 사용한 전적이 있습니다.


많은 랜섬웨어 프로그램이 암호화를 시작하기 전 보안 프로그램을 종료시키지만, Ragnar Locker는 한 발 더 나아가 MSP(Managed service providers) 유틸리티까지 종료했습니다.



탐지 회피를 위해 가상 머신 사용


Sophos의 새로운 보고서에 따르면, Ragnar Locker 운영자가 파일 암호화 시 탐지를 피하기 위해 새로운 방법을 사용하기 시작한 것으로 나타났습니다.


이들은 호스트에서 실행되는 보안 소프트웨어에 탐지되지 않도록 하기 위해 이제 VirtualBox 윈도우 XP 가상 머신을 배포하여 랜섬웨어를 실행하고 파일을 암호화하기 시작했습니다.


이들은 먼저 VirtualBox, 미니 윈도우 XP 가상 디스크인 micro.vdi, 시스템 준비를 위한 다양한 실행파일 및 스크립트를 포함한 툴 폴더를 생성합니다.



<피해자의 컴퓨터에 생성된 폴더>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



VirtualBox는 가상 머신 내 네트워크 공유로써 호스트 OS 시스템 내 폴더와 드라이브를 공유할 수 있는 기능을 포함하고 있습니다. 


이 기능을 통해 가상 머신이 \\VBOXSVR 가상 컴퓨터로부터 공유 경로를 네트워크 드라이브로써 마운트해 전체 접근 권한을 얻을 수 있습니다.



<VirtualBox의 공유 폴더 인터페이스>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



이 랜섬웨어는 install.bat을 통해 호스트의 로컬 드라이브 및 매핑된 네트워크 드라이브를 찾아 이를 가상 머신과 자동으로 공유할 수 있는 구성 파일을 빌드합니다.



mountvol | find “}\” > v.txt


(For /F %%i In (v.txt) Do (

      Set freedrive=0

      FOR %%d IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (

            IF NOT EXIST %%d:\ (

                  IF “!freedrive!”==”0” (

                        Set freedrive=%%d

                  )

            )

      )

      mountvol !freedrive!: %%i

      ping -n 2 127.0.0.1

))

Set driveid=0

FOR %%d IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO (

      IF EXIST %%d:\ (

            Set /a driveid+=1

            echo ^<SharedFolder name=”!driveid!” hostPath=”%%d:\” writable=”true”/^> >>sf.txt

         )

)

<VirtualBox 구성 파일 생성>

<출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



이 작업이 완료되면, 스크립트는 컴퓨터 내 모든 드라이브를 가상 머신과 자동으로 공유하는 VirtualBox 구성 설정을 포함한 sf.txt 파일을 생성합니다.



<공유 드라이브 구성>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



이후 공격자는 배치 파일로 만든 ShareFolder 지시문을 통해 생성된 구성 파일을 사용해 윈도우 XP 가상 머신을 시작합니다.


가상 머신이 시작되면, 모든 공유 드라이브가 가상 머신 내에서 접근 가능한 상태가 되며 Ragnar Locker 랜섬웨어 실행 파일이 C:\ 드라이브의 루트에 자동으로 생성됩니다.



<Windows XP 가상 머신>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



또한 가상 머신이 시작되는 즉시 실행되도록 시작 폴더에 위치한 vrun.bat 파일도 포함되어 있습니다.


이 vrun.bat 파일은 각 공유 드라이브를 마운트하고, 암호화하고, 가상 머신과 공유된 다음 드라이브에서도 같은 작업을 수행할 것입니다.



<암호화를 위한 모든 공유 드라이브 마운팅 작업>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



피해자의 호스트에서 실행되는 보안 소프트웨어는 가상 머신 내 랜섬웨어 실행 파일이나 활동을 탐지할 수 없기 때문에 피해자의 파일이 암호화되는 중에도 탐지되지 않을 수 있습니다.


피해자는 윈도우 10에 포함된 안티 랜섬웨어 기능인 폴더 접근 제어(Controlled Folder Access)를 사용하고 있었을 경우 OS가 보호된 폴더에서 발생한 쓰기 활동을 탐지할 수 있어 공격을 막았을 수 있습니다.


암호화가 완료되면, 피해자는 컴퓨터에서 커스텀 랜섬노트를 찾아볼 수 있을 것입니다.

 


<커스텀 Ragnar Locker 랜섬노트>

<이미지 출처: https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/>



가상 머신을 통해 탐지되지 않은 상태로 기기의 파일을 암호화하는 것은 매우 혁신적인 접근 방식이라 볼 수 있습니다.


VirtualBox와 윈도우 XP 가상 머신은 악성으로 간주되지 않기 때문에, 보안 소프트웨어 대부분은 여기에서 컴퓨터의 데이터를 변경하는 것에 대해 걱정하지 않습니다.


이 공격은 랜섬웨어 감염을 막는데 보안 소프트웨어의 행동 모니터링 기능이 얼마나 중요한지 보여주는 사례가 되었습니다.


비정상적인 대규모 파일 쓰기를 탐지할 수 있는 보안 소프트웨어만이 이 공격을 탐지해낼 수 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/ransomware-encrypts-from-virtual-machines-to-evade-antivirus/

https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/

관련글 더보기

댓글 영역