포스팅 내용

국내외 보안동향

Maze 랜섬웨어, 탐지를 피하기 위해 암호화에 가상머신 사용

Maze ransomware now encrypts via virtual machines to evade detection


Maze 랜섬웨어 운영자가 예전에 Ragnar Locker 그룹이 사용했던 전략을 채택한 것으로 나타났습니다. 이제 이들은 가상머신에서 컴퓨터를 암호화하기 시작했습니다.

 

지난 5, Ragnar Locker가 호스트 내 보안 소프트웨어를 우회하기 위해 VirtualBox Windows XP 가상머신을 사용하여 파일을 암호화한다는 내용이 보도되었습니다.

 

이 가상머신은 호스트의 드라이브를 원격 공유로 마운트한 후 해당 공유 내 파일을 암호화하기 위해 가상 머신에서 랜섬웨어를 실행합니다.

 

해당 가상머신은 어떤 보안 소프트웨어도 실행하고 있지 않으며 호스트의 드라이브에 마운트된 상태이기 때문에 호스트의 보안 소프트웨어는 이 악성코드를 탐지 및 차단할 수 없게 됩니다.

 

Maze, 이제 가상 머신을 통해 컴퓨터를 암호화하기 시작해

 

Sophos는 한 고객에게 발생한 사건을 대응하던 중 Maze가 랜섬웨어를 두 번 배포하려고 시도했으나 보안 소프트웨어에 차단된 것을 발견했습니다.

 

Maze 공격자는 위 두 번의 시도에서 'Windows Update Security,' 'Windows Update Security Patches,' 'Google Chrome Security Update' 등의 이름을 사용하는 예약 작업을 통해 다양한 랜섬웨어 파일을 실행하려 시도했습니다.

 

SophosPeter Mckenzie는 이 두 번의 시도가 모두 실패하자 Maze 공격자가 Ragnar Locker 랜섬웨어가 이전에 시도했던 전략을 시도했다고 밝혔습니다.

 

Maze는 세 번째 공격에서 커스터마이징된 윈도우 7 가상 머신과 함께 VirtualBox VM 소프트웨어를 서버에 설치하는 MSI 파일을 배포했습니다.

 

가상 머신이 시작되면 Ragnar Locker 공격과 마찬가지로 Maze를 실행하기 위해 기기를 준비시키는 startup_vrun.bat 배치파일이 실행됩니다.

 

 

<가상 머신에서 Maze 랜섬웨어를 실행시키기 위한 배치 파일>

<이미지 출처: https://news.sophos.com/en-us/2020/09/17/maze-attackers-adopt-ragnar-locker-virtual-machine-technique/>

 

 

이후 머신이 종료되고 다시 시작되면 호스트의 파일을 암호화하기 위해 vrun.exe가 시작됩니다.

 

가상머신이 호스트의 마운트된 드라이브에서 암호화 작업을 수행하기 때문에 보안 소프트웨어가 동작을 탐지 및 중지할 수 없게 됩니다.

 

SophosLabs 연구원들은 Ragnar Locker의 이전 공격에 비해 디스크 용량이 더 많이 필요한 비싼 공격 방식이라 설명했습니다.

 

Ragnar Locker의 가상 머신 공격은 윈도우 XP를 활용했기 때문에 설치 공간은 404MB밖에 필요하지 않았습니다. Maze는 윈도우 7을 활용했기 때문에 총 2.6GB가 필요했습니다.

 

이 공격을 통해 랜섬웨어 운영자들이 다른 경쟁자의 전략을 모니터링하고 필요할 경우 이를 채택한다는 사실을 알 수 있습니다.

 

Ragnar LockerMaze 카르텔의 일부이기 때문에, Maze가 이 공격을 실행할 수 있도록 Ragnar Locker측에서 도움을 주었을 가능성도 있습니다.


현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.Maze'로 탐지 중에 있습니다. 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/maze-ransomware-now-encrypts-via-virtual-machines-to-evade-detection/

https://news.sophos.com/en-us/2020/09/17/maze-attackers-adopt-ragnar-locker-virtual-machine-technique/


티스토리 방명록 작성
name password homepage