상세 컨텐츠

본문 제목

LockBit 랜섬웨어, 그룹 정책 통해 윈도우 도메인 암호화 자동화해

국내외 보안동향

by 알약4 2021. 7. 28. 09:00

본문

 

 

LockBit ransomware automates Windows domain encryption via group policies

 

LockBit 2.0 랜섬웨어의 새로운 버전이 활성 디렉토리 그룹 정책을 사용하여 윈도우 도메인 암호화 과정을 자동화한 것으로 나타났습니다.

 

LockBit 랜섬웨어는 2019 9월 서비스형 랜섬웨어의 형태로 시작되었으며, 네트워크를 침해 후 장치를 암호화할 공격자를 모집했습니다.

 

모집된 제휴 파트너는 랜섬머니의 70~80%를 가져가고, 나머지는 LockBit 개발자가 가져갑니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/lockbit-ransomware-automates-windows-domain-encryption-via-group-policies/>

<LockBit 2.0 제휴 프로그램의 새로운 기능>

 

 

LockBit의 새로운 버전에는 고급 기능 다수가 포함되어 있었으며, 이 중 2가지는 아래에 설명되어 있습니다.

 

 

네트워크 암호화에 그룹 정책 업데이트 사용해

 

LockBit 2.0은 과거 다른 랜섬웨어에서 많이 사용했던 기능 다수에 대해 홍보했습니다.

 

그 중 스크립트 없이도 윈도우 도메인을 통한 랜섬웨어 배포를 자동화했다고 주장하는 기능이 특히 눈에 띕니다.

 

공격자가 네트워크에 침입해 도메인 컨트롤러를 제어할 수 있게 되면, 타사 소프트웨어를 통해 스크립트를 배포한 후 아래 네트워크 시스템에서 랜섬웨어를 실행합니다.

 

MalwareHunterTeam이 발견하고 Bleeping Computer Vitali Kremez가 분석한 LockBit 2.0 랜섬웨어 샘플은 해당 프로세스를 자동화해 랜섬웨어가 도메인 컨트롤러에서 실행될 때 도메인 전체에 자신을 배포되도록 했습니다.

 

랜섬웨어가 실행되면 마이크로소프트 디펜더의 실시간 보호, 경고, 마이크로소프트에 샘플 제출, 악성 파일 탐지 시 기본 동작을 비활성화하는 새로운 그룹 정책 업데이트가 생성됩니다.

 

 

[General]

Version=%s

displayName=%s

[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]

[Software\Policies\Microsoft\Windows Defender\Real-Time Protection;DisableRealtimeMonitoring]

[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]

[Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]

 

 

이후 랜섬웨어는 아래 명령을 실행해 윈도우 도메인 내 모든 시스템에 그룹 정책 업데이트를 푸시합니다.

 

 

powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"

 

 

Kremez는 이 과정에서 랜섬웨어가 윈도우 활성 디렉토리 API를 사용해 도메인 컨트롤러의 ADS에 대해 LDAP 쿼리를 실행해 컴퓨터 목록을 받아온다고 설명했습니다.

 

이 목록을 통해 랜섬웨어의 실행파일이 각 기기의 데스크톱에 복사되고, 아래 UAC 우회를 통해 랜섬웨어를 실행하도록 예약된 작업이 생성됩니다.

 

Software\Microsoft\Windows NT\CurrentVersion\ICM\Calibration "DisplayCalibrator"

  

랜섬웨어는 UAC 우회를 통해 실행되기 때문에, 프로그램은 경고 없이 백그라운드에서 자동으로 은밀히 실행됩니다.

 

이전에 MountLocker가 윈도우 활성 디렉토리 API를 사용하여 LDAP 쿼리를 수행한 적이 있지만, 랜섬웨어가 그룹 정책을 통해 악성코드 배포를 자동화하는 것은 이번이 처음입니다.

 

 

LockBit 2.0, 네트워크 프린터에 인쇄 폭탄 공격 가해

 

LockBit 2.0에는 이전에 Egregor 랜섬웨어가 네트워크에 연결된 모든 프린터에 실행했던 인쇄 폭탄공격 기능 또한 포함되어 있습니다.

 

랜섬웨어가 기기 암호화를 완료하면, 피해자의 주의를 끌기 위해 아래와 같이 연결된 모든 네트워크 프린터를 통해 랜섬노트를 반복적으로 인쇄합니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/lockbit-ransomware-automates-windows-domain-encryption-via-group-policies/>

<랜섬노트 폭탄 인쇄>

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-automates-windows-domain-encryption-via-group-policies/

관련글 더보기

댓글 영역