상세 컨텐츠

본문 제목

AvosLocker 랜섬웨어, 보안 툴을 우회하기 위해 안전 모드에서 재부팅해

국내외 보안동향

by 알약4 2021. 12. 24. 09:00

본문

AvosLocker ransomware reboots in Safe Mode to bypass security tools

 

AvosLocker 랜섬웨어 그룹이 최근 공격에서 해킹된 시스템을 윈도우 안전 모드로 재부팅하여 방해가 되는 엔드포인트 보안 솔루션을 비활성화하기 시작했습니다.

 

이러한 전략을 사용할 경우 윈도우 기기가 안전 모드에서 부팅된 후 대부분의 보안 솔루션이 자동으로 비활성화되기 때문에 피해자의 파일을 더욱 쉽게 암호화할 수 있습니다.

 

또한 특정 그룹의 공격 횟수가 증가하고 있는 것으로 보아 이들의 새로운 접근 방식은 매우 효과적인 것으로 보입니다.

 

'안전 모드'에서 암호화

 

SophosLabs의 수석 연구원인 Andrew Brandt의 보고서에 따르면, AvosLocker의 운영자는 패치 관리를 자동화하기 위한 합법적인 배포 툴인 PDQ Deploy를 활용하여 여러 윈도우 배치 스크립트를 타깃 시스템에 배치하여 공격의 기반을 마련합니다.

 

이러한 스크립트는 Windows Defender, Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender, Cylance를 포함한 특정 엔드포인트 보안 툴의 레지스트리 키를 수정하거나 삭제합니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/>

<AvosLocker에서 사용하는 배치 스크립트 파일 중 하나>

 

 

또한 스크립트는 해킹된 시스템에 새로운 사용자 계정을 생성해 이름을 'newadmin'으로 지정하고 이를 관리자 그룹에 추가합니다.

 

이후 시스템이 네트워킹이 포함된 안전 모드로 재부팅될 때 해당 계정이 자동으로 로그인되도록 구성하고, 자동 로그인을 방해할 수 있는 "법적 고지" 대화 상자 레지스트리 키를 비활성화합니다.

 

마지막으로, 이 스크립트는 시스템을 안전 모드로 전환하는 재부팅 명령을 실행합니다. 다시 작동하면 랜섬웨어 페이로드가 도메인 컨트롤러 위치에서 실행됩니다.

 

자동화된 페이로드 실행 프로세스가 실패할 경우, 공격자는 AnyDesk 원격 액세스 툴을 사용하여 수동으로 제어 가능합니다.

 

Brandt는 아래와 같이 설명했습니다.

 

"감염 프로세스의 마지막 두 번째 단계는 공격자가 도메인 컨트롤러에 랜섬웨어 페이로드를 배치한 위치에서 파일 없이 랜섬웨어 페이로드를 실행하는 레지스트리에 'RunOnce' 키를 생성하는 것입니다."

 

"이는 IcedID 및 기타 랜섬웨어가 파일이 감염된 컴퓨터의 파일 시스템에 닿지 않도록 하는 방식을 통해 악성코드 페이로드를 실행하는 방법과 유사합니다."

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/>

<드롭되는 배치 스크립트>

 

 

엔드포인트 보안을 쉽게 우회하기 위해 안전 모드 사용해

 

이와 동일한 안전 모드 실행 방법은 이전에 REvil(자동 로그인 포함), BlackMatter, Snatch를 포함한 다른 랜섬웨어 그룹에서도 사용되었기 때문에 수정되어야 하는 보안 취약점이라 볼 수 있습니다.

 

대부분의 엔드포인트 보호 솔루션이 안전 모드에서는 실행되지 않기 때문에, 공격자는 실행 중인 보안 툴을 비활성화 하기 위해 기기를 안전 모드로 재부팅할 수 있습니다.

 

이 간단하면서도 효과적인 트릭 덕분에 적절히 보호된 시스템도 랜섬웨어에 무방비 상태가 될 수 있습니다.

 

이를 방지하기 위해서는 사용 중인 보안 툴이 의심스러운 레지스트리 키 추가를 탐지 및 예방할 수 있는지 확인하십시오.

 

이 기능은 합법적인 레지스트리 접근에 방해가 될 수 있지만, 관리자가 불편을 겪을 만한 가치가 있습니다.

 

연구원들이 강조하듯 작고 무해해 보이는 것이 랜섬웨어 실행 체인의 핵심적인 역할을 할 수 있기 때문에, 어떠한 경고도 우선 순위가 낮은 것으로 취급해서는 안 됩니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/avoslocker-ransomware-reboots-in-safe-mode-to-bypass-security-tools/

https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/

관련글 더보기

댓글 영역