상세 컨텐츠

본문 제목

조용히 네트워크를 이동하고 빠르게 공격하는 LockBit 랜섬웨어

국내외 보안동향

by 알약4 2020. 10. 22. 09:28

본문

LockBit ransomware moves quietly on the network, strikes fast

 

LockBit 랜섬웨어가 피해자의 네트워크에 도달해 암호화 루틴을 시작하는데 걸리는 시간은 단 5분인 것으로 나타났습니다.

 

LockBit20199월 시작된 서비스형 랜섬웨어(RaaS)로 자동화된 프로세스를 통해 네트워크 전체에 빠르게 확산되고, 중요한 시스템을 빠르게 식별해 암호화합니다.

 

LockBit은 포렌식 분석을 위한 흔적을 거의 남기지 않으며, 실행 시 로그 및 지원 파일을 제거합니다.

 

스크립트 및 백도어

 

Sophos의 연구원들은 소규모 조직에서 발생한 사건 8건을 조사한 후, LockBit 랜섬웨어에 대한 더 많은 정보를 수집할 수 있었습니다.

 

이들은 한 사례에서 공격이 해킹된 인터넷 정보 서버(IIS)에서 시작되었다는 것을 발견했습니다. 이 서버는 원격 PowerShell 스크립트를 시작했으며, 이 스크립트는 원격 구글 스프레드시트 문서에 내장된 또 다른 스크립트를 호출합니다.

 

 

<이미지 출처: https://news.sophos.com/wp-content/uploads/2020/10/LockBit-1-1.png>

 

 

이 스크립트는 C&C 서버에 연결하여 PowerShell 모듈을 받아와 설치하여 백도어를 설치하고 지속성을 얻습니다.

 

공격자는 모니터링을 피하고 로그를 남기지 않기 위해 PowerShell의 복사본과 마이크로소프트 HTML 애플리케이션 (mshta.exe)을 실행하는 바이너리의 이름을 변경했습니다. 연구원들은 이를 “PS Rename” 공격이라 명명했습니다.

 

이 백도어는 공격 모듈을 설치하고 시스템이 재시작될 때 두 번째 백도어를 다운로드 및 실행하는 VBScript를 실행하는 역할을 합니다.

 

공격에 대한 개요는 아래와 같습니다.

 


<이미지 출처: https://news.sophos.com/wp-content/uploads/2020/10/LockBit-1-1.png>

 

 

Sophos의 선임 연구원인 Sean Gallagher는 아래와 같이 언급했습니다.

 

이 공격 스크립트는 패치를 메모리에 직접 적용하여 윈도우 10에 내장된 안티 악성코드 인터페이스(AMSI)를 우회하려 시도합니다.”

 

공격을 받은 시스템에서 발견된 아티팩트로 짐작할 때 악용 후 프레임워크인 PowerShell Empire를 기반으로 하는 스크립트를 사용한다는 것을 알 수 있습니다.

 

공격자의 목적은 피해자 네트워크에 대한 정보를 수집하고, 중요한 시스템을 파악하고 사용 중인 백신 소프트웨어를 확인하는 것이었습니다.

 

Gallagher는 이러한 스크립트가 POS 시스템이나 회계에 사용되는 매우 특정한 유형의 비즈니스 소프트웨어용 윈도우 레지스트리를 검색하기 위한 일반적인 표현을 사용했다고 밝혔습니다.

 

아래 목록은 검색에 포함된 관심 키워드 목록입니다.

 

 

<이미지 출처: https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/>

 

 

연구원들은 이 악성코드가 타겟이 매력적이라고 판단될 경우에만 LockBit 랜섬웨어를 배포할 것이라 밝혔습니다.

 

빠른 공격

 

중요한 타깃을 선정한 후, LockBit 랜섬웨어는 WMI(Windows Management Instrumentation) 명령을 사용하여 5분 이내에 메모리에서 실행됩니다.

 

모든 타깃은 WMI를 통해 5분 내 공격을 받았습니다. 랜섬웨어를 배포하는데 사용된 서버측 파일과 타깃 시스템 내 이벤트 로그 대부분, 타깃 시스템 및 서버는 랜섬웨어 배포 과정 중 삭제됩니다.”

 

연구원은 공격 모듈이 방화벽 규칙을 수정하기 때문에 WMI 명령이 서버에서 시스템으로 전달될 수 있었을 것으로 추측했습니다.

 

이 공격의 초기 침투 방법은 아직까지 알려지지 않았습니다. 지난 5, McAfee LabsNorthwaveLockBit 랜섬웨어가 오래된 VPN 서비스에 대한 관리자 로그인 자격 증명을 브루트포싱해 피해자의 네트워크에 접근한 방식을 자세히 설명했습니다.

 

이 악성코드는 3시간 만에 서버 약 25대와 컴퓨터 225대를 암호화했습니다.

 

현재 알약에서는 해당 악성코드 샘플은 'Trojan.Ransom.LockBit'으로 탐지 중입니다. 



 

 

출처:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-moves-quietly-on-the-network-strikes-fast/

https://news.sophos.com/en-us/2020/10/21/lockbit-attackers-uses-automated-attack-tools-to-identify-tasty-targets/


관련글 더보기

댓글 영역