LockBit 랜섬웨어 동향

1. 개요

- 미국 CISA, FBI, MS-ISAC와 여러 국가의 사이버 보안 그룹이 LockBit 랜섬웨어 관련 분석 및 보안권고 발표

- 공격자는 LockBit을 사용해 다양한 주요 인프라 분야를 지속적으로 공격

> 금융, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조 및 운송 등

> 20년 이후 약 1,700건의 공격 시도, 69건의 침해사고, 1,653명의 피해 확인

- 변종을 개발하여 고도화하고, RaaS(Ransomware-as-a-Service)를 지원해 랜섬웨어 배포

> 20년 이후 72건의 변종 발견

 

2. 주요내용

- 내부망 침입을 위해 합법적인 사용을 목적으로 하는 여러 프리웨어 및 오픈 소스 도구 활용

> 용도를 변경하여 네트워크 정찰, 원격 액세스 및 터널링, 자격 증명 덤프, 파일 유출 등에 악용

구분	도구명	사용 목적	LockBit 그룹 사용 목적
정보수집	AdFind	AD(Active Directory)를 검색 및 정보 수집	AD 정보를 수집하여 권한 확대 및 네트워크 이동
	Advanced  Internet Protocol (IP)  Scanner	네트워크 스캔 후 네트워크 장치 표시	잠재적인 액세스 벡터를 식별하기 위해 피해자의 네트워크를 매핑
	Advanced Port Scanner	네트워크 스캔	공격에 사용할 TCP/UDP 포트 검색
	Bloodhound	공격 경로 관리를 위한 AD 정찰을 수행	네트워크 액세스 권한을 얻기 위해 악용될 수 있는 AD 관계를 식별
	Seatbelt	여러 보안 지향 검사 수행	보안 지향 검사 수행해 시스템 정보 나열
	SoftPerfect Network  Scanner	시스템 관리를 위해 네트워크 스캔을 수행	시스템 및 네트워크 정보 획득
원격접근	AnyDesk	원격 접속 프로그램	네트워크 장치 원격 제어
	Atera  Remote Monitoring  & Management (RMM)	네트워크 장치에 대한 원격 연결 활성화 네트워크 장치 원격 제어	네트워크 장치 원격 제어
	Ligolo	펜 테스트를 위해 SOCKS5 또는 TCP 터널을 역방향 연결에서 설정	역방향 터널링을 통해 피해자 네트워크 내의 시스템에 연결
	Ngrok	인터넷을 통한 터널링을 통해 로컬 웹 서버에 원격 접근	인터넷을 통해 시스템에 터널링하여 네트워크 보호를 우회
	ScreenConnect  (또는 ConnectWise)	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	Splashtop	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	TeamViewer	네트워크 장치에 대한 원격 연결 활성화	시스템 원격 연결
	ThunderShell	HTTP 요청을 통한 원격 액세스	네트워크 트래픽을 암호화하면서 원격으로 시스템 접근
자격 증명 정보 수집	ExtPassword	Windows 시스템에서 암호 복구	네트워크 액세스 및 자격 증명 획득
	LaZagne	여러 플랫폼에서 시스템 암호를 복구	시스템 및 네트워크 액세스를 위한 자격 증명 수집
	LostMyPassword	Windows 시스템 암호 복구	네트워크 액세스 및 자격 증명 수집
	Microsoft  Sysinternals  ProcDump	중앙 처리 장치(CPU) 스파이크에 대한 애플리케이션을 모니터링하고 스파이크 중에 크래시 덤프를 생성	LSASS(Local Security Authority Subsystem Service)의 콘텐츠를 덤프하여 자격 증명 획득
	Mimikatz	시스템에서 자격 증명 추출	네트워크 액세스 권한을 얻고 시스템을 악용하기 위해 자격 증명 추출
	PasswordFox	Firefox 브라우저 암호 복구	네트워크 액세스 및 자격 증명 수집
권한 상승	AdvancedRun	다른 설정으로 소프트웨어 실행	소프트웨어 실행 전 설정 변경을 통해 권한 상승 활성화
네트워크 이동	Impacket	네트워크 프로토콜 작업을 위한 Python 클래스 모음	네트워크 이동 활성화
공격 파일 유포	Chocolatey	Microsoft Windows에서 명령줄 패키지 관리	LockBit 그룹 도구 설치에 활용
시스템제어	Microsoft Sysinternals PsExec	원격 시스템에서 명령줄 프로세스를 실행	시스템 제어
탐지우회	7-zip	파일을 아카이브로 압축	유출 전에 감지되지 않도록 데이터 압축
	Backstab	맬웨어 방지 프로그램	EDR로 보호되는 프로세스를 종료
	Bat Armor	PowerShell 스크립트를 사용해 .bat 파일을 생성	PowerShell 실행 정책 우회
	Defender  Control	Microsoft Defender를 비활성화	Microsoft Defender 우회
	GMER	루트킷 제거	EDR 소프트웨어 종료하고 제거
	PCHunter	시스템 프로세스 및 커널을 포함한 고급 작업 관리를 활성화	EDR 프로세스 종료 및 우회
	PowerTool	루트킷을 제거하고 커널 구조 수정을 감지, 분석 및 수정	EDR 소프트웨어 종료 및 제거
	Process  Hacker	루트킷 제거	EDR 소프트웨어 종료 및 제거
	PuTTY Link (Plink)	Windows SSH(Secure Shell) 작업 자동화	탐지 우회
	TDSSKiller	루트킷 제거	EDR 프로세스 종료 및 제거
데이터 유출	FileZilla	플랫폼 간 파일 전송 프로토콜(FTP)	LockBit 그룹으로 데이터 유출
	FreeFileSync	클라우드 기반 파일 동기화 지원	데이터 유출을 위한 클라우드 기반 파일 동기화
	MEGA Ltd MegaSync	클라우드 기반 파일 동기화 지원	데이터 유출을 위한 클라우드 기반 파일 동기화
	Rclone	클라우드 저장소 파일을 관리	클라우드 스토리지를 통한 데이터 유출
	WinSCP	Microsoft Windows용 SSH 파일 전송 프로토콜을 사용하여 파일 전송	SSH 파일 전송 프로토콜을 통해 데이터 유출

 

- 기존 RCE 취약점 및 새로운 취약점 악용

구분	CVE	CVSS	설명
신규 취약점	CVE-2023-0669	7.2	Fortra GoAnyhwere Managed File Transfer(MFT) 원격 코드 실행 취약점
	CVE-2023-27350	9.8	PaperCut MF/NG 부적절한 접근 제어 취약점
기존 취약점	CVE-2021-44228	10.0	Apache Log4j2 원격 코드 실행 취약점
	CVE-2021-22986	9.8	F5 BIG-IP 및 BIG-IQ 원격 코드 실행 취약점
	CVE-2020-1472	10.0	NetLogon 권한 상승 취약점
	CVE-2019-0708	9.8	Microsoft 원격 데스크톱 서비스 원격 코드 실행 취약점
	CVE-2018-13379	9.8	Fortinet FortiOS SSL VPN 경로 우회 취약점

 

3. 권고사항

- 관리자 계정 지속적 모니터링 및 감사

- 원격 접근 방지를 위한 망분리 및 서비스 계정 제한 (권한, 세션 시간 제한 등)

- 확산 방지를 위한 업무별 중요도 파악 및 네트워크 분할

- 탈취 계정 사용 방지를 위한 비밀번호 변경 및 MFA 활성화

- 잘못된 AD 보안 구성이 있는지 지속적 점검

- 교육을 통한 임직원 보안 인식 제고 및 향상

 

4. 참고

[1] https://www.cisa.gov/news-events/news/us-and-international-partners-release-comprehensive-cyber-advisory-lockbit-ransomware
[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a