상세 컨텐츠

본문 제목

보안을 우회하고 윈도우 기기로 자동으로 확산되는 Thanos 랜섬웨어 발견

국내외 보안동향

by 알약(Alyac) 2020. 6. 11. 09:57

본문

Thanos ransomware auto-spreads to Windows devices, evades security


연구원이 공개한 안티 랜섬웨어 회피 기술인 RIPlace 및 다양한 고급 기능을 사용하고 있는 첫 번째 랜섬웨어인 Thanos가 발견되어 주의가 필요합니다.


Thanos는 2019년 10월 개인 배포를 시작했지만 2020년 1월 피해자가 Quimera 랜섬웨어에 대한 도움을 요청하기 전까지는 활발히 활동하지 않았습니다.


시간이 지남에 따라 이 랜섬웨어에 대한 도움을 요청하는 사용자들이 점점 늘어나기 시작했으며 이 랜섬웨어는 결국 Hakbit으로 식별되었습니다.


Recorded Future의 새로운 보고서에 따르면, 이 랜섬웨어의 이름은 Thanos이며 지난 2월부터 러시안 해킹 포럼에서 서비스형 랜섬웨어(RaaS)의 형태로 홍보되고 있었습니다.

 


<해커 포럼 광고>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



Nosophorus라는 공격자가 Thanos를 광고하고 있었으며 이 랜섬웨어를 배포할 해커와 악성코드 배포자를 모집했습니다. 배포자는 보통 랜섬머니의 60-70%를 수수료로 받습니다.


Thanos RaaS에 가입한 제휴 파트너는 커스텀 랜섬웨어 실행파일을 생성할 수 있는 'Private Ransomware Builder'에 대한 접근 권한을 얻습니다.

 


<Thanos 랜섬웨어 빌더>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



C#으로 작성된 랜섬웨어 대부분은 그리 정교하지 않지만, Thanos는 많은 고급 기능을 포함하고 있습니다.


위에 언급된 빌더는 내장된 비암호화 파일 스틸러, 다른 장치로 자동 확산, 연구원이 발견한 회피 기술인 RIPlace 등 다양한 기능을 포함하고 있습니다.



RIPlace 안티 랜섬웨어 회피 기술을 사용하는 첫 랜섬웨어


2019년 11월, Nyotron의 보안 연구원은 새로운 안티 랜섬웨어 회피 기술인 RIPlace에 대한 보고서를 발표했습니다.


Nyotron은 랜섬웨어가 DefineDosDevice()를 사용하여 파일의 이름을 심볼릭 링크로 변경할 경우 안티 랜섬웨어 소프트웨어가 이를 정확하게 탐지하지 못한다는 것을 발견했습니다.


대신 모니터링 기능에 오류가 발생하지만, 이름 변경 기능은 여전히 작동 가능하기 때문에 안티 랜섬웨어 프로그램을 우회할 수 있습니다.


Rename을 호출하기 전 DefineDosDevice(심볼릭링크를 생성하는 레거시 함수)을 호출할 경우 장치 이름을 임의로 설정하고 원본 파일 경로를 타깃으로 전달할 수 있습니다. 


우리는 이 방법을 통해 “XY” 기기가 "C:\passwords.txt"를 가리키도록 할 수 있었습니다.


RIPlace는 Callback 함수 필터 드라이버가 흔한 루틴인 FltGetDestinationFileNameInformation을 사용할 때 목적지 경로 파싱에 실패하기 때문에 발생합니다. 


이는 DosDevice 경로를 전달할 때 에러를 발생시키지만, Rename 호출은 성공합니다.


Thanos는 이 기술을 도입한 첫 랜섬웨어입니다. 아래 이미지에서 코드를 확인하실 수 있습니다.



<Thanos에 사용된 RIPlace 기술>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



Nyotron에서는 이 기술을 보안 회사에 공개했지만 대부분의 회사에서는 이 기술은 이론적일 뿐이며 실제 공격에서 사용되지는 않기 때문에 처리되지 않을 것이라 답변했습니다.


그중 Kaspersky와 Carbon Black만이 이 기술을 예방하도록 소프트웨어를 수정한 것으로 나타났습니다.


마이크로소프트의 폴더 접근 제어 기능에서도 이 기술을 테스트했으나 탐지되지 않았습니다.


하지만 마이크로소프트는 RIPlace 기술이 보안 서비스 기준을 충족하지 않기 때문에 취약점으로 간주되지 않을 것이라 밝힌 바 있습니다.



파일 탈취 및 자동 확산 기능 내장


지난 1년 동안, 랜섬웨어는 컴퓨터를 암호화하기 전 피해자의 파일을 먼저 훔치는 전략을 사용했습니다. 


공격자는 피해자가 랜섬머니를 지불하지 않을 경우 데이터 유출 사이트를 통해 훔친 파일을 공개하겠다고 협박했습니다.


일반적으로 파일 탈취는 회사의 클라우드 백업을 훔치거나 원격 위치로 파일을 수동으로 복사하여 이루어집니다.


Thanos는 컴퓨터를 암호화 시 원격 FTP 사이트로 자동으로 파일을 탈취하는 ftp_file_exfil() 기능을 포함하고 있었습니다.


연구원들은 Thanos가 기본적으로 '.docx', '.xlsx', '.pdf', '.csv' 파일을 훔치지만, 제휴 파트너가 랜섬웨어 실행파일을 빌드할 때 다른 확장자를 포함하도록 설정할 수도 있다고 설명했습니다.

 


<내장된 데이터 탈취 기능>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



Thanos는 내장된 파일 탈취 기능 이외에도 네트워크 상의 다른 기기로 랜섬웨어를 측면 전파하려 시도합니다.


Thanos가 실행되면 이는 GitHub 저장소에서 SharpExec 공격 보안 툴킷을 다운로드합니다. 


이후 SharpExec와 번들로 제공된 PSExec 프로그램을 사용하여 랜섬웨어 실행파일을 다른 컴퓨터에 복사한 후 실행합니다.



<자동화된 타 컴퓨터로의 확산 과정>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



제휴 파트너들은 이 기능을 통해 기기 한대를 해킹하여 네트워크 상의 다른 기기들까지 암호화할 수 있습니다.


해킹된 사용자가 도메인 관리자일 경우 피해는 더욱 심각할 것입니다.


BleepingComputer는 Thanos가 서버 다수를 암호화 시킨 회사의 랜섬노트를 확인할 수 있었습니다.



<Thanos 랜섬노트>

<이미지 출처: https://www.recordedfuture.com/thanos-ransomware-builder/>



공격자는 새로운 기능 및 전략을 채택하여 그들의 랜섬웨어를 진화시킵니다.


또한 그들 악성코드를 개선하기 위해 연구원, 개발자, 언론인들의 활동을 모니터링하는 것으로도 알려져 있습니다.


이는 이론에 불과했던 RIPlace 안티 랜섬웨어 기술을 채택한 것으로 설명됩니다.


현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Ransom.Hakbit, Trojan.Ransom.Filecoder' 등으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/thanos-ransomware-auto-spreads-to-windows-devices-evades-security/

https://go.recordedfuture.com/hubfs/reports/cta-2020-0610.pdf

관련글 더보기

댓글 영역