상세 컨텐츠

본문 제목

LockFile 랜섬웨어, 간헐적 파일 암호화 통해 탐지 우회해

국내외 보안동향

by 알약4 2021. 8. 30. 09:00

본문

 

 

LockFile Ransomware Bypasses Protection Using Intermittent File Encryption

 

지난달 새롭게 등장한 랜섬웨어 패밀리가 새로운 기술인 부분 암호화를 통해 랜섬웨어 탐지 기술을 우회하는 것으로 나타났습니다.

 

LockFile이라 명명된 이 랜섬웨어는 최근 공개된 취약점인 ProxyShellPetitPotam을 악용하여 윈도우 서버를 해킹하고 랜섬웨어를 배포합니다. 이 랜섬웨어는 파일의 16바이트만 암호화하여 랜섬웨어 탐지 기술을 우회합니다.

 

Sophos의 기술 이사인 Mark Loman은 이에 대해 아래와 같이 설명했습니다.

 

부분 암호화 기술은 일반적으로 랜섬웨어에서 암호화 프로세스의 속도를 높이기 위해 사용하며 BlackMatter, DarkSide, LockBit 2.0에서 찾아볼 수 있었습니다. LockFile의 차별화된 점은 다른 랜섬웨어와는 달리 처음 블록 일부를 암호화하지 않는다는 것입니다. 대신 이는 문서의 다른 부분의 16바이트를 암호화합니다. 이를 통해 텍스트 문서와 같은 파일 종류는 부분적으로 읽을 수 있으며, 통계적으로 원본과 유사해 보일 수 있습니다. 이 전략은 통계 분석을 통해 콘텐츠를 검사하는 랜섬웨어 탐지 소프트웨어를 우회할 수 있습니다.”

 

Sophos2021822VirusTotal에 업로드된 LockFile의 구조를 분석했습니다.

 

이 악성코드는 일단 설치되면 WMI(Windows Management Interface)를 통해 가상화 소프트웨어 및 데이터베이스와 관련된 중요한 프로세스를 종료하고 중요한 파일 및 개체를 암호화한 후 LockBit 2.0과 문체가 유사한 랜섬노트를 표시합니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/>

 

 

랜섬노트는 사용자에게 "contact@contipauper[.]com" 이메일 주소로 연락할 것을 안내합니다. Sophos는 이에 대해 경쟁 랜섬웨어 그룹인 Conti를 언급한 것으로 추측했습니다.

 

또한 랜섬웨어는 시스템의 모든 문서의 암호화를 마친 후 시스템에서 자체적으로 삭제됩니다. 따라서 사고 대응자나 바이러스 백신 소프트웨어가 찾아 삭제할 랜섬웨어 바이너리가 남아있지 않습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 ’Trojan.Ransom.Filecoder’으로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html

https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/

https://www.ic3.gov/Media/News/2021/210825.pdf

관련글 더보기

댓글 영역