WastedLocker 랜섬웨어, 탐지 피하기 위해 윈도우 기능 악용

WastedLocker ransomware abuses Windows feature to evade detection

WastedLocker 랜섬웨어가 보안 소프트웨어의 탐지를 막기 위해 윈도우 메모리 관리 기능을 악용하고 있는 것으로 나타났습니다.

WastedLocker가 탐지를 피하는 방법을 알아보기 전에, 먼저 안티 랜섬웨어 솔루션이 랜섬웨어를 어떻게 탐지하는지 이해가 필요합니다.

안티 랜섬웨어 솔루션은 랜섬웨어가 파일을 암호화할 때 일반적으로 사용하는 파일 시스템 콜을 모니터링합니다.

안티 랜섬웨어 솔루션의 일부로, 보안 소프트웨어는 파일 시스템과 실시간으로 교류하는 시스템 콜을 모니터링하도록 허용하는 미니필터 드라이버를 등록합니다.

이 드라이버가 파일을 열고, 파일에 쓰고 파일을 닫는 수많은 순차적 작업을 수행하는 알 수 없는 프로세스를 탐지할 경우 행동을 탐지해 문제 프로세스를 종료시킵니다.

이 행동 탐지 방식은 파일 몇 개가 먼저 희생된 후에야 나머지 파일을 보호할 수 있습니다.

WastedLocker, 윈도우 캐시 매니저 사용해

Evil Corp 해킹 그룹의 소행인 것으로 추정되는 WastedLocker 랜섬웨어는 지난 몇 주 동안 가민(Garmin)을 공격하는데 사용되어 더욱 악명이 높아졌습니다.

Sophos의 새로운 보고서에 따르면, 보안 연구원들은 WastedLocker가 어떻게 윈도우 캐시 매니저를 사용해 탐지를 피했는지 설명했습니다.

윈도우의 성능을 향상시키기 위해서 자주 사용되는 파일이나 애플리케이션이 지정한 파일은 시스템 메모리를 활용하는 윈도우 캐시에 읽고 저장합니다.

프로그램이 파일에 접근해야 할 경우, OS는 해당 파일이 캐시에 있는지 먼저 확인 후 캐시에서 파일을 발견하면 이를 로드합니다. 

데이터가 메모리에 캐시되어 있기 때문에 디스크 드라이브에서 내용을 읽는 것보다 훨씬 속도가 빠릅니다.

안티 랜섬웨어 솔루션의 탐지를 우회하기 위해, WastedLocker는 파일을 오픈하고, 이를 윈도우 캐시 매니저에서 읽은 후 오리지널 파일을 닫습니다.

 

<암호화를 위해 파일을 오픈하는 코드>

<이미지 출처: https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/>

데이터가 윈도우 캐시 매니저에 저장되기 때문에, WastedLocker는 파일 시스템에 저장된 파일이 아닌 캐시 내에서 파일의 내용을 암호화할 수 있습니다.

윈도우 캐시에 저장된 파일의 내용이 수정되면, 이 파일 내용은 암호화된 상태가 됩니다.

충분한 데이터가 암호화된 후 윈도우 캐시 매니저는 암호화된 캐시 데이터를 원본 파일에 쓰게 됩니다.

윈도우 캐시 매니저가 시스템 프로세스로 실행되기 때문에, 보안 소프트웨어는 허용된 정식 윈도우 프로세스가 암호화된 데이터를 쓰는 것 만을 보게 됩니다.

<윈도우 시스템 계정을 통해 암호화되는 파일>

<이미지 출처: https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/>

이로 인해 안티 랜섬웨어 소프트웨어는 허용된 프로세스가 암호화되는 것 만을 보기 때문에 행동 탐지는 작동하지 않을 것입니다.

이 방식은 효과적으로 보안 솔루션의 랜섬웨어 보호 모듈을 우회하고 WastedLocker가 모든 파일을 암호화하도록 허용합니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.WastedLocker'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/wastedlocker-ransomware-abuses-windows-feature-to-evade-detection/

https://news.sophos.com/en-us/2020/08/04/wastedlocker-techniques-point-to-a-familiar-heritage/