상세 컨텐츠

본문 제목

LockFile 랜섬웨어, PetitPotam 공격 통해 윈도우 도메인 하이재킹해

국내외 보안동향

by 알약4 2021. 8. 23. 09:00

본문

 

 

LockFile ransomware uses PetitPotam attack to hijack Windows domains

 

한 랜섬웨어 운영자가 최근 발견된 PetitPotam NTLM 릴레이 공격 방식을 활용해 전 세계 다양한 네트워크의 윈도우 도메인을 장악하기 시작한 것으로 나타났습니다.

 

이는 지난 7월 처음 발견된 LockFile이라는 새로운 랜섬웨어의 작업인 것으로 보이며, 다른 그룹과 약간의 유사함을 찾아볼 수 있고, 일부 참조한 것으로 보입니다.

 

 

DC 접근을 위해 PetitPotam 악용

 

LockFile 공격은 주로 미국과 아시아의 금융 서비스, 제조업, 엔지니어링, 법률, 비즈니스 서비스, 여행 및 관광업 등의 조직을 노렸습니다.

 

Symantec의 보안 연구원은 공격자가 네트워크 초기 접근을 위해 마이크로소프트 익스체인지 서버를 악용했지만, 현재 정확한 방식은 알려지지 않았다고 밝혔습니다.

 

다음 단계로 공격자는 LockFile의 제어 하에 있는 원격 NTLM 릴레이에 대한 인증을 강제 실행하기 위해 새로운 PetitPotam 공격 기법을 통해 해당 조직의 도메인 컨트롤러를 장악합니다.

 

보안 연구원인 Gilles Lionel이 지난 7월 발견한 PetitPotam은 마이크로소프트가 지속적으로 차단하려 시도한 몇 가지 변종이 있습니다. 현재 마이크로소프트의 공식 완화법 및 업데이트는 PetitPotam의 공격 벡터를 완전히 차단하지 못합니다.

 

LockFile 공격자는 공개적으로 사용 가능한 코드를 통해 원본 PetitPotam(CVE-2021-36942)의 변종을 악용하는 것으로 보입니다.

 

공격자가 도메인 컨트롤러를 성공적으로 장악하면, 전체 윈도우 도메인을 효과적으로 제어하고 공격자가 원하는 명령을 실행하는 것이 가능합니다.

 

 

LockBit과의 유사성

 

Symantec은 블로그를 통해 LockFile 랜섬웨어가 사용하는 랜섬노트가 LockBit의 랜섬노트와 매우 유사하다고 밝혔습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/lockfile-ransomware-uses-petitpotam-attack-to-hijack-windows-domains/>

<LockFile 랜섬웨어의 랜섬노트>

 

 

 

또한 이 공격자들은 피해자에게 연락처로 contact@contipauper[.]com라는 이메일을 남겨 Conti 랜섬웨어와의 유사성을 찾아볼 수 있었습니다.

 

 

공격 체인의 갭

 

SymantecLockFile의 공격 체인을 분석한 후, 해커가 랜섬웨어를 실행하기 전 네트워크에서 최소 며칠을 보낸다는 점에 주목했습니다.

 

연구원들은 공격자가 피해자의 익스체인지 서버를 해킹할 때 원격 위치에서 파일을 다운로드하는 파워셸 명령을 실행한다고 밝혔습니다.

 

공격의 마지막 단계인 랜섬웨어를 배포하기 20~30분 전, 공격자는 해킹된 익스체인지 서버에 PetitPotam 익스플로잇과 아래 파일 2개를 설치하여 도메인 컨트롤러를 장악합니다.

 

- active_desktop_render.dll

- active_desktop_launcher.exe(합법적인 KuGou Active Desktop 런처)

 

합법적인 KuGou Active Desktop 런처는 보안 소프트웨어의 탐지를 피하여 악성 DLL을 로드하는 DLL 하이재킹 공격을 수행하는 데 악용됩니다.

 

연구원들은 런처가 DLL을 로드할 때 셸코드가 포함된 파일인 "desktop.ini"를 로드 및 복호화하려 시도한다고 밝혔습니다.

 

Symantec은 분석을 위해 파일을 받아오지 않았지만, 성공적인 작업은 셸코드를 실행하는 것으로 끝난다고 밝혔습니다.

 

"하지만 암호화된 셸코드는 PetitPotam을 악용하는 efspotato.exe 파일을 활성화 할 가능성이 매우 높습니다"

 

마지막 단계는 로컬 도메인 컨트롤러에서 LockFile 랜섬웨어 페이로드를 복사하고, 서버 인증 직후 클라이언트 호스트에서 실행되는 스크립트와 실행 파일을 사용하여 네트워크를 통해 푸시하는 것입니다.

 

Symantec은 LockFile이 새로운 랜섬웨어 공격자이며, 커뮤니티에 알려져 있거나 현재는 은퇴한 다른 운영자와 관련이 있다고 추측했습니다.

 

LockFile은 여전히 ​​활동 중인 상태이며, 현재까지도 피해자 네트워크의 내부에서 찾아볼 수 있습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/lockfile-ransomware-uses-petitpotam-attack-to-hijack-windows-domains/

 

관련글 더보기

댓글 영역