포스팅 내용

국내외 보안동향

조용히 네트워크를 이동하고 빠르게 공격하는 LockBit 랜섬웨어

LockBit ransomware moves quietly on the network, strikes fast

 

LockBit 랜섬웨어가 피해자의 네트워크에 도달해 암호화 루틴을 시작하는데 걸리는 시간은 단 5분인 것으로 나타났습니다.

 

LockBit20199월 시작된 서비스형 랜섬웨어(RaaS)로 자동화된 프로세스를 통해 네트워크 전체에 빠르게 확산되고, 중요한 시스템을 빠르게 식별해 암호화합니다.

 

LockBit은 포렌식 분석을 위한 흔적을 거의 남기지 않으며, 실행 시 로그 및 지원 파일을 제거합니다.

 

스크립트 및 백도어

 

Sophos의 연구원들은 소규모 조직에서 발생한 사건 8건을 조사한 후, LockBit 랜섬웨어에 대한 더 많은 정보를 수집할 수 있었습니다.

 

이들은 한 사례에서 공격이 해킹된 인터넷 정보 서버(IIS)에서 시작되었다는 것을 발견했습니다. 이 서버는 원격 PowerShell 스크립트를 시작했으며, 이 스크립트는 원격 구글 스프레드시트 문서에 내장된 또 다른 스크립트를 호출합니다.

 

 

<이미지 출처: https://news.sophos.com/wp-content/uploads/2020/10/LockBit-1-1.png>

 

 

이 스크립트는 C&C 서버에 연결하여 PowerShell 모듈을 받아와 설치하여 백도어를 설치하고 지속성을 얻습니다.

 

공격자는 모니터링을 피하고 로그를 남기지 않기 위해 PowerShell의 복사본과 마이크로소프트 HTML 애플리케이션 (mshta.exe)을 실행하는 바이너리의 이름을 변경했습니다. 연구원들은 이를 “PS Rename” 공격이라 명명했습니다.

 

이 백도어는 공격 모듈을 설치하고 시스템이 재시작될 때 두 번째 백도어를 다운로드 및 실행하는 VBScript를 실행하는 역할을 합니다.

 

공격에 대한 개요는 아래와 같습니다.