1. 개요

- 미국 CISA, FBI, MS-ISAC와 여러 국가의 사이버 보안 그룹이 LockBit 랜섬웨어 관련 분석 및 보안권고 발표

- 공격자는 LockBit을 사용해 다양한 주요 인프라 분야를 지속적으로 공격

> 금융, 식품 및 농업, 교육, 에너지, 정부 및 응급 서비스, 의료, 제조 및 운송 등

> 20년 이후 약 1,700건의 공격 시도, 69건의 침해사고, 1,653명의 피해 확인

- 변종을 개발하여 고도화하고, RaaS(Ransomware-as-a-Service)를 지원해 랜섬웨어 배포

> 20년 이후 72건의 변종 발견

 

2. 주요내용

- 내부망 침입을 위해 합법적인 사용을 목적으로 하는 여러 프리웨어 및 오픈 소스 도구 활용

> 용도를 변경하여 네트워크 정찰, 원격 액세스 및 터널링, 자격 증명 덤프, 파일 유출 등에 악용

구분 도구명 사용 목적 LockBit 그룹 사용 목적
정보수집 AdFind AD(Active Directory)를 검색 및 정보 수집 AD 정보를 수집하여 권한 확대 및 네트워크 이동
Advanced 
Internet Protocol (IP) 
Scanner
네트워크 스캔 후 네트워크 장치 표시 잠재적인 액세스 벡터를 식별하기 위해 피해자의 네트워크를 매핑
Advanced
Port
Scanner
네트워크 스캔 공격에 사용할 TCP/UDP 포트 검색
Bloodhound 공격 경로 관리를 위한 AD 정찰을 수행 네트워크 액세스 권한을 얻기 위해 악용될 수 있는 AD 관계를 식별
Seatbelt 여러 보안 지향 검사 수행 보안 지향 검사 수행해 시스템 정보 나열
SoftPerfect
Network 
Scanner
시스템 관리를 위해 네트워크 스캔을 수행 시스템 및 네트워크 정보 획득
원격접근 AnyDesk 원격 접속 프로그램 네트워크 장치 원격 제어
Atera 
Remote Monitoring 
& Management
(RMM)
네트워크 장치에 대한 원격 연결 활성화 네트워크 장치 원격 제어 네트워크 장치 원격 제어
Ligolo 펜 테스트를 위해 SOCKS5 또는 TCP 터널을 역방향 연결에서 설정 역방향 터널링을 통해 피해자 네트워크 내의 시스템에 연결
Ngrok 인터넷을 통한 터널링을 통해 로컬 웹 서버에 원격 접근 인터넷을 통해 시스템에 터널링하여 네트워크 보호를 우회
ScreenConnect 
(또는 ConnectWise)
네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
Splashtop 네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
TeamViewer 네트워크 장치에 대한 원격 연결 활성화 시스템 원격 연결
ThunderShell HTTP 요청을 통한 원격 액세스 네트워크 트래픽을 암호화하면서 원격으로 시스템 접근
자격 증명
정보 수집
ExtPassword Windows 시스템에서 암호 복구 네트워크 액세스 및 자격 증명 획득
LaZagne 여러 플랫폼에서 시스템 암호를 복구 시스템 및 네트워크 액세스를 위한 자격 증명 수집
LostMyPassword Windows 시스템 암호 복구 네트워크 액세스 및 자격 증명 수집
Microsoft 
Sysinternals 
ProcDump
중앙 처리 장치(CPU) 스파이크에 대한 애플리케이션을 모니터링하고 스파이크 중에 크래시 덤프를 생성 LSASS(Local Security Authority Subsystem Service)의 콘텐츠를 덤프하여 자격 증명 획득
Mimikatz 시스템에서 자격 증명 추출 네트워크 액세스 권한을 얻고 시스템을 악용하기 위해 자격 증명 추출
PasswordFox Firefox 브라우저 암호 복구 네트워크 액세스 및 자격 증명 수집
권한 상승 AdvancedRun 다른 설정으로 소프트웨어 실행 소프트웨어 실행 전 설정 변경을 통해 권한 상승 활성화
네트워크 이동 Impacket 네트워크 프로토콜 작업을 위한 Python 클래스 모음 네트워크 이동 활성화
공격 파일 유포 Chocolatey Microsoft Windows에서 명령줄 패키지 관리 LockBit 그룹 도구 설치에 활용
시스템제어 Microsoft
Sysinternals
PsExec
원격 시스템에서 명령줄 프로세스를 실행 시스템 제어
탐지우회 7-zip 파일을 아카이브로 압축 유출 전에 감지되지 않도록 데이터 압축
Backstab 맬웨어 방지 프로그램 EDR로 보호되는 프로세스를 종료
Bat Armor PowerShell 스크립트를 사용해 .bat 파일을 생성 PowerShell 실행 정책 우회
Defender 
Control
Microsoft Defender를 비활성화 Microsoft Defender 우회
GMER 루트킷 제거 EDR 소프트웨어 종료하고 제거
PCHunter 시스템 프로세스 및 커널을 포함한 고급 작업 관리를 활성화 EDR 프로세스 종료 및 우회
PowerTool 루트킷을 제거하고 커널 구조 수정을 감지, 분석 및 수정 EDR 소프트웨어 종료 및 제거
Process 
Hacker
루트킷 제거 EDR 소프트웨어 종료 및 제거
PuTTY Link (Plink) Windows SSH(Secure Shell) 작업 자동화 탐지 우회
TDSSKiller 루트킷 제거 EDR 프로세스 종료 및 제거
데이터 유출 FileZilla 플랫폼 간 파일 전송 프로토콜(FTP) LockBit 그룹으로 데이터 유출
FreeFileSync 클라우드 기반 파일 동기화 지원 데이터 유출을 위한 클라우드 기반 파일 동기화
MEGA Ltd MegaSync 클라우드 기반 파일 동기화 지원 데이터 유출을 위한 클라우드 기반 파일 동기화
Rclone 클라우드 저장소 파일을 관리 클라우드 스토리지를 통한 데이터 유출
WinSCP Microsoft Windows용 SSH 파일 전송 프로토콜을 사용하여 파일 전송 SSH 파일 전송 프로토콜을 통해 데이터 유출

 

- 기존 RCE 취약점 및 새로운 취약점 악용

구분 CVE CVSS 설명
신규 취약점 CVE-2023-0669 7.2 Fortra GoAnyhwere Managed File Transfer(MFT) 원격 코드 실행 취약점
CVE-2023-27350 9.8 PaperCut MF/NG 부적절한 접근 제어 취약점
기존 취약점 CVE-2021-44228 10.0 Apache Log4j2 원격 코드 실행 취약점
CVE-2021-22986 9.8 F5 BIG-IP 및 BIG-IQ 원격 코드 실행 취약점
CVE-2020-1472 10.0 NetLogon 권한 상승 취약점
CVE-2019-0708 9.8 Microsoft 원격 데스크톱 서비스 원격 코드 실행 취약점
CVE-2018-13379 9.8 Fortinet FortiOS SSL VPN 경로 우회 취약점

 

3. 권고사항

- 관리자 계정 지속적 모니터링 및 감사

- 원격 접근 방지를 위한 망분리 및 서비스 계정 제한 (권한, 세션 시간 제한 등)

- 확산 방지를 위한 업무별 중요도 파악 및 네트워크 분할

- 탈취 계정 사용 방지를 위한 비밀번호 변경 및 MFA 활성화

- 잘못된 AD 보안 구성이 있는지 지속적 점검

- 교육을 통한 임직원 보안 인식 제고 및 향상

 

4. 참고

[1] https://www.cisa.gov/news-events/news/us-and-international-partners-release-comprehensive-cyber-advisory-lockbit-ransomware
[2] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a

'랜섬웨어 > 분석' 카테고리의 다른 글

다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

1. 개요

- 23.02 말 새로운 랜섬웨어 단체 다크파워(Dark Power)가 확인됨

- 약 한달동안 최소 10개의 조직을 침해했다고 주장하며, 10,000달러라는 비교적 소액의 몸값을 요구

- 프로그래밍 언어로 "님(Nim)"을 사용

 

1.1 님(Nim)

- 범용 목적의 다중 패러다임의 정적 자료형, 컴파일 시스템 프로그래밍 언어

- 고차원적인 프로그래밍 언어로, 효율성이 높고 다양한 것을 구사할 수 있음

- 대중적이지 않고, 사용이 어렵지 않으며, 여러 플랫폼을 지원하는 장점으로 최근 멀웨어 개발자들이 적극 이용

> 님 기반으로 작성된 멀웨어에 대한 대응 방안이나 솔루션이 충분하지 않아 주의가 요구됨

> 새로운 언어를 익히는 것은 상대적으로 공격자보다 방어자가 더 어렵고 비용이 많이 듬

※ 공격자는 원하는 수준까지 익히지만, 방어자는 대응을위해 더 많은 영역을 알아야 함

 

2. 다크파워 (Dark Power)

- 다크파워를 비롯한 랜섬웨어의 유포 및 공격 방식은 다음과 같음

① 사회공학적기법 등으로 피해자에게 접근 ex) 피싱메일, 패치 되지않은 취약점

② 피해자 파일 다운로드 유도

③ 파일 다운 후 실행 시 랜섬웨어 실행 및 파일 암호화

④ 복호화를 빌미로 비트코인 등 몸값 지불 요구

 

2.1 동작과정

① 암호화 키 초기화

- 최초 랜섬웨어가 실행되면, 임의의 64자의 소문자 ASCII 문자열을 생성

- 해당 문자열은 암호화 알고리즘을 초기화하는데 사용됨

[사진 1] 암호화 키

 

② 서비스, 프로세스 종료 및 암호화 제외 파일 설정

- 서비스 종료

> 서비스를 비활성화함으로써 파일을 복구하기 어렵게 만듬

> 대표적으로 VSS(Volume Shadow Copy Service)이 있음

VSS(Volume Shadow Copy Service)
- 볼륨 백업을 수행하고 일관된 특정 시점의 데이터 복사본을 만들기위한 프레임 워크를 제공하는 Microsoft Windows의 COM 인터페이스 집합
- 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

 

- 프로세스 종료

> WMI "winmgmts:{impersonationLevel=impersonate}!.\root\cimv2"에 쿼리 "select * from win32_process" 수행

> 해당 쿼리는 실행 중인 모든 프로세스의 목록을 반환하고, 미리 정의된 프로세스 이름과 일치된 항목은 모두 종료

WMI(Windows Management Instrumentation)
- 시스템 내의 자원들을 로컬/원격 환경에서 관리할 수 있는 도구의 집합

 

[사진 2] 종료할 프로세스 목록

 

- 암호화 제외 대상 설정

> 서비스와 프로세스 종료 후 암호화 대상에서 제외할 파일 확장자, 파일 이름, 폴더 이름 설정

 

[사진 3] 암호화에서 제외할 확장자(上) 파일 이름(中) 폴더 이름(下)

 

③ 흔적 지우기

- 서비스, 프로세스 종료한 뒤 30초의 대기 후 콘솔과 로그를 지움

> 콘솔 지우기: "C:\Windows\system32\cmd.exe /c cls"

> 로그 지우기: WMI 쿼리 "Select * from Win32_NTEventLogFile" 및 "ClearEventLog()"

 

④ 랜섬노트 표시

- 피해 사실을 알리기 위해 랜섬노트 표시

 

2.2 특이사항

- 두 가지 버전의 랜섬웨어가 존재하며 각각 암호화 키와 형식이 다름

① 첫 번째 변형

> SHA-256 알고리즘으로 ASCII 문자열을 해시

> 해시 결과를 두 부분으로 분할

> 첫 번째 분할은 AES키로, 두 번째 분할은 초기화 벡터 IV로 사용

 

② 두 번째 변형

> SHA-256 다이제스트를 AES 키로 사용

> 암호 초기화 벡터로 고정 128비트 값 사용

 

3. 대응방안

① IoC 적용 [1]

 

② 랜섬웨어 기본 대응방안 준수 [4]

 

4. 참고

[1] https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html
[2] https://www.bleepingcomputer.com/news/security/new-dark-power-ransomware-claims-10-victims-in-its-first-month/
[3] https://www.boannews.com/media/view.asp?idx=115538&page=2&kind=1 

[4] https://ggonmerr.tistory.com/44

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

1. 개요

- 최근 VMware ESXi 취약점을 이용하여 랜섬웨어가 유포

- 전 세계적으로 약 3,800개의 서버가 피해를 받았으며, 피해를 입은 한 기업은 약 2만 3,000달러의 비트코인이 몸값으로 요구됨

- 프랑스, 미국, 독일, 캐나다 등을 공격

[사진 1] ESXiargs에 공격받은 국가 TOP 10

- 악용되는 취약점은 CVE-2021-21974OpenSLP의 힙 오버플로우 문제로 인해 발생하는 원격 명령 실행 취약점

제품명 플랫폼 영향 받는 버전
ESXi 모든 플랫폼 ESXi650-202102101-SG 이전 6.5.x 버전
ESXi670-202102401-SG 이전 6.7.x 버전
ESXi70U1c-17325551 이전 7.x 버전

- 해당 취약점은 2년전 VMware에서 패치를 발표하였으나, 패치를 적용하지 않은 취약한 ESXi 서버를 대상으로 공격 수행

- 쇼단의 Facet 기능(통계 요약 서비스)을 이용해 ESXi의 버전을 확인한 결과 취약한 버전이 다수 사용되는 것으로 확인됨

[사진 2] 쇼단 검색 결과

2. ESXiArgs Ransomware

- ESXiArgs의 동작과정은 [사진 3]과 같음

[사진 3] ESXiArgs 동작 과정

 

- ESXiArgs에 서버가 침해되면 다음 파일이 /tmp 폴더에 저장

파일명 설명
encrypt - 암호화기
- ELF 실행 파일
encrypt.sh - 암호화를 실행하기 전에 다양한 작업을 수행
- 공격 로직 역할을 하는 셸 스크립트
public.pem - 암호화 키를 암호화하는 데 사용되는 보조 공개 RSA 키
motd - "오늘의 메시지"로 표시되는 랜섬 노트
- /etc/motd에 복사되는 텍스트 형식의 랜섬 노트로, 서버의 원본 파일은 /etc/motd1에 복사
※ MOTD(Message Of The Day): 사용자가 처음 연결하거나 로그인하거나 시작할 때 표시되는 일종의 환영 메세지
index.html - VMware ESXi의 홈 페이지를 대체할 HTML 형식의 랜섬 노트

 

2.1 기술적 분석

- 다음의 명령을 사용함

encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]
  enc_step - 암호화 시 넘어갈 MB 크기
  enc_size - 암호화 블록의 MB 크기
  file_size - 파일 크기(바이트)(스퍼스 파일의 경우)

 

- 스크립트는 먼저 "esxcli vm process list" 명령을 사용함

① ESXi 서버에서 실행 중인 가상 시스템의 구성 파일을 식별

② 가상 디스크 및 스왑 파일의 경로를 수정_'.vmdk'를 '1.vmdk'로, '.vswp'를 '1.vswp'로 대체

- 구성 파일의 파일 이름을 변경함으로써 암호화 후 피해자가 원본 데이터를 찾아 복원하는 것을 어렵게 하기 위한 목적

[사진 4] 구성 파일을 수정하는 코드

 

- ESXi 서버의 볼륨에서 ".vmdk", ".vmx", ".vmxf", ".vmsd", ".vmsn", ".vswp", ".vmss", ".nvram", ".vmem" 확장자 검색

- 그 후 public.pem과 encrypt를 사용해 해당 확장자를 암호화

[사진 5] 암호화 코드

 

- /usr/lib/vmware 디렉토리에서 "index.html"이라는 파일을 검색하고 랜섬 노트로 변경

① 원본 index.html를 index1.html로 이름을 바꾼 후 랜섬노트를 포함한 index.html을 해당 경로로 복사

② 원본 /etc/motd를 motd1로 이름을 바꾼 후 랜섬노트를 포함한 motd를 해당 경로로 복사

[사진 6] 랜섬노트 생성

 

- .log 파일을 찾아 삭제하여 랜섬웨어에 의해 생성된 모든 흔적을 삭제

- encrypt 문자열이 포함된 실행 중인 프로세스가 없음(암호화 완료)을 확인한 후 루프 종료

 

[사진 7] 로그 등 공격 흔적 삭제

 

- 추가적으로 피해 컴퓨터에서 특정 파일을 수정 및 삭제

[사진 8] 특정 파일 수정 및 삭제

 

- 최종적으로 랜섬웨어 감염 후 사용자가 접속을 할 경우 랜섬노트가 출력되어 감염 사실을 알림

[사진 9] 랜섬노트

3. 대응방안

① 미국의 사이버 보안 전담 기관인 CISA가 복호화 도구 ESXiArgs-Recover를 배포

> 암호화 된 설정 파일을 삭제하는 게 아니라 새로운 설정 파일을 생성

> 하지만, 해당 복구 스크립트를 무력화하는 새로운 버전이 확인됨

 

② 복구 스크립트 실행 후 다음을 수행 (취약한 ESXi 버전을 사용할 경우 또한 수행)

> 즉시 ESXi를 최신 버전으로 업데이트

제품명 플랫폼 영향 받는 버전 패치 버전
ESXi 모든 플랫폼 6.5 ESXi650-202102101-SG
6.7 ESXi670-202102401-SG
7.0 ESXi70U1c-17325551 

> 영향도 확인 후 SLP(TCP/UDP 427 Port)이 불필요할 경우 비활성화

  ⒜ 명령어 사용

    i) ssh로 취약한 ESXi 호스트에 로그인
    ii) 아래 명령어로 호스트 SLP 서비스 중지
      - /etc/init.d/slpd stop
    iii) 재부팅 후에도 비활성화를 유지하려면 아래 명령어를 입력
      - chkconfig slpd off

 

  ⒝ GUI 사용

    i) vCenter에 로그인
    ii) ESXi 호스트를 선택하고 'Configure'-'Service' 탭 클릭
    iii) 목록에서 SLP 서비스를 선택
      * 목록에 SLP가 없다면 명령어로 SLP 서비스를 중지
    iv) 알림창의 서비스 중지 버튼('OK')를 클릭

 

③ vmtools.py 파일 삭제

> vmtools.py는 python으로 제작된 백도어로 이번 공격에 사용된 것으로 판단됨

> "/store/packages/" 위치에 있는지 확인 후 삭제

 

④ 일반적인 랜섬웨어 대응 가이드라인 준수

> 정기적인 백업 수행 및 물리적으로 분리된 네트워크나 저장소에 백업

> OS, 안티바이러스 등에 최신 업데이트를 적용

> 출처가 불분명한 파일 또는 메일 등 열람 및 다운로드 주의

> 감염된 장치가 있을 경우 네트워크에서 제거

> 임직원 대상 보안 교육 진행

 

⑤ 모니터링

> 침해지표 확인 후 보안장비(방화벽, IPS, EDR 등)에 적용

 

> C2 의심 또는 스캔 시도 IP 목록

 

GitHub - fastfire/IoC_Attack_ESXi_Feb_2023: Collection of IoCs available and related to attacks on ESXi infrastructures that occ

Collection of IoCs available and related to attacks on ESXi infrastructures that occurred as of Friday February 3, 2023. - GitHub - fastfire/IoC_Attack_ESXi_Feb_2023: Collection of IoCs available a...

github.com

 

> IoC 확인

파일명 해시값
encrypt.sh SHA-256 10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459
MD5 d0d36f169f1458806053aae482af5010
encrypt SHA-256 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66
MD5 87b010bc90cd7dd776fb42ea5b3f85d3

 

> TOX ID(랜섬노트에서 식별) : D6C324719Ad0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A

 

4. 참고

https://www.bleepingcomputer.com/news/security/vmware-warns-admins-to-patch-esxi-servers-disable-openslp-service/
https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/#:~:text=Finally%2C%20the%20script%20performs%20some%20cleanup
https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14#entry5470686
https://blog.cyble.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/
https://www.trustedsec.com/blog/esxiargs-what-you-need-to-know-and-how-to-protect-your-data/
- https://thehackernews.com/2023/02/new-esxiargs-ransomware-variant-emerges.html?m=1
- https://www.dailysecu.com/news/articleView.html?idxno=143437
https://www.rapid7.com/blog/post/2023/02/06/ransomware-campaign-compromising-vmware-esxi-servers/
https://thehackernews.com/2023/02/new-wave-of-ransomware-attacks.html
https://ggonmerr.tistory.com/197

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

1.개요

- 기업의 업무와 제품 등과 밀접한 연관을 지닌 데이터베이스(이하 DB)를 노린 랜섬웨어의 증가

- DB 서버를 대상으로 한 해킹시도는 빈번히 발생했으나, 암호화폐와 다크웹, RaaS의 유행으로 다양한 랜섬웨어 발생

2. Masscan 랜섬웨어

2.1 요약

- 외부에 노출되어 취약하게 운영 중인 MS-SQL(MS의 DB 관리시스템)만을 노린 랜섬웨어

- 22년 7월을 시작으로 외부에 공개되어 있는 데이터베이스에 무작위 대입 공격을 통해 침투 및 랜섬웨어 유포

 DB 서버 대상 랜섬웨어
1. Globeimposter 랜섬웨어
- 시기 : 2021 ~ 2022 상반기
- 침투 방법 : DB 서버 무작위 대입 공격, RDP가 열려있는 서버를 대상으로 무작위 대입 공격

2. mallox, 520, 360 랜섬웨어
- 시기 : 2022년 초
- 침투 방법 : Globeimposter 랜섬웨어와 유사

- 감염시 파일 확장자가 masscan-{대문자 한 글자}-{GUID 8자리}로 변경

1. 랜섬웨어 및 확장자를 통해 현재 version 3(F, R, G 버전 등)까지 나온 것으로 추정
2. 확장자 변경 사항 : masscan-F-id값(초기) ⇒ masscan-R-id값 ⇒ masscan-G-id값(현재)

 

2.2 침투 및 유표 방법

[캡쳐 1] 침투 및 유포 요약 (https://kisa-irteam.notion.site/Masscan-bca2eff1e838469faeaa47479c6bd06e)

2.2.1 정보 수집

- ATT&CK Matrix : T1596.005 Search Open Technical Database : Scan Databases

- 외부에 노출된 기업의 DB(MS-SQL, 1433 포트) 서버를 스캔하여 공격 대상 탐색

- OSINT(Open Source Intelligence)를 통해 정보 수집

 

2.2.2 무차별 대입 공격

- ATT&CK Matrix : T1190 Exploit Public-Facing Application

- 대상 DB 서버에 브루트포싱 공격 수행

 

2.2.3 계정 정보 수집

- ATT&CK Matrix : T1110.001 Brute Force : Password Guessing

- sa계정 및 자주 사용하는 계정을 대상으로 브루트포싱 공격을 통해 계정정보 수집

* sa계정 : admin, administrator, administrators 등과 같이 ERP 서버에서 사용하는 관리자 계정

 

2.2.4 실행

- ATT&CK Matrix : T1059.003 Command and Scripting Interpreter : Windows Command Shell

                                 T1059.001 Command and Scripting Interpreter : PowerShell

- 수집된 데이터베이스 계정 정보를 이용해 xp_cmdshell을 활성화 쿼리 전송, 활성화 후 스크립트 파일을 생성하거나 파워셸을 실행

* xp_cmdshell 활성화 : show advanced options 1로 변경, xp_cmdshell을 1로 변경

- xp_cmdshell을 통해 파워셸 스크립트를 사용하는 주목적은 공격자가 사용할 계정을 생성하거나 악성도구(원격접속 프로그램(anydesk) 및 계정탈취 도구(mimikatz), 네트워크 스캔 도구) 다운로드

 

2.2.5 영속성

- ATT&CK Matrix : T1136.001 Create Account : Local Account

- 파워셸을 통해서 공격자가 사용할 계정 생성

 

2.2.6 C2 서버 통신

- ATT&CK Matrix : T1219 Remote Access Software

- xp_cmdshell 또는 파워셸을 이용해 원격접속 프로그램(anydesk)을 설치하고 공격자 PC에서 원격접속

 

2.2.7 계정 정보 수집

- ATT&CK Matrix : T1003.002 OS Credential Dumping : Security Account Manager
                                 T1110.002 Brute Force : Credential Cracking

- 공격자는 계정정보를 획득하기 위해 계정탈취 도구를 사용해 계정정보 수집

- mimikatz : 계정정보 / NLBrute : RDP 계정정보

 

2.2.8 권한 상승

- ATT&CK Matrix : T1078.003 Vaild Accounts : Local Accounts
- 공격자는 계정수집 도구를 통해 관리자 계정 획득 후 관리자 계정으로 로그인 혹은 원격접속

 

2.2.9 대응 회피

- ATT&CK Matrix : T1562.001 Impair Defenses : Disable or Modify Tools
                                 T1562.004 Impair Defenses : Disable or Modify System Firewall

- 관리자 계정으로 접속한 공격자는 윈도우 디펜더 및 백신 중지 / 모니터링 도구를 이용해 프로세스 확인 후 종료 / 방화벽 차단을 막기위해 원격접속(netsh) 허용

 

2.2.10 내부 정찰

- ATT&CK Matrix : T1046 Network Service Discovery

- 공격자는 내부이동을 위해 네트워크 스캔 도구 및 SQL tool를 사용하여 네트워크 정보 수집

 

2.2.11 내부 이동

- ATT&CK Matrix : T1021.001 Remote Services : Remote Desktop Protocol

- 공격자는 이전에 수집한 정보를 이용하여 다른 서버로 원격접속하여 내부이동
- 내부이동 시 위에서 사용한 RDP 정보수집 도구 및 네트워크 스캔 도구를 통해 추가 서버를 찾으며, 가장 많은 정보를 가지고 있는 서버를 거점으로 삼아 랜섬웨어 공격준비

* 대체로 백업서버가 모든 서버와 연결되는 서버이므로, 공격자가 거점으로 많이 선택

 

2.2.12 감염

- ATT&CK Matrix : T1486 Data Encrypted for Impact

- 공격자는 거점서버를 통해 다른 서버에 접속하여 랜섬웨어를 실행(RunExe.exe 파일과 EnCrypt.exe 파일을 사용)
- RunExe.exe의 경우 VSS(VolumShadowCopy Service)를 삭제하고 디렉터리내 exe파일을 실행
- RunExe.exe를 통해 실제 파일을 암호화하는 EnCrypt.exe이 실행되어 파일을 암호화
- 랜섬웨어에 감염된 후, 각 폴더에 랜섬노트(RECOVERY INFORMATION !!!.txt)가 생성

 

2.2.13 로그 삭제

- ATT&CK Matrix : T1070.001 Indicator Removal on Host : Clear Windows Event Logs

                                 T1070.004 Indicator Removal on Host : File Deletion

- 공격자는 랜섬웨어를 실행 후 공격 흔적을 지우기 위해서 이벤트로그(Security, System), 정보수집 도구 삭제

 

2.2.14 사후 정리

- ATT&CK Matrix : T1529 System Shutdown / Reboot
- 공격자는 공격흔적을 모두 지운 뒤 서버 재부팅, 원격접속을 해제

 

2.3 공격 도구 정리

목적 이름 및 버전 MD5 기타
계정 정보 수집 및
계정 탈취
무작위 대입 공격 - 로그인 실패에 따른 다수의 로그 생성
NLBrute.exe e213d0fa6d84c63faf6f0f5c0551b45c RDP 계정 탈취 도구
mimikatz.exe 32bit
mimikatz.exe 64bit
16ccba5b4f17e6aba6089f97db47d501
5c92d71871ea2367337ae2d09126498a
계정 탈취 도구
GetPassword.exe 56398c3eb7453017af674ab85df17386 비밀번호 탈취 도구
스크립트 실행 및
파일 다운
xp_cmdshell - 스크립트 생성 또는 파워쉘 실행
xp_cmdshell 활성화를 위한 설정값 변경 로그 생성
PowerShell - 공격자 사용 계정 생성 및 악성도구 다운
원격 접속 anydesk v7.0.9
anydesk v7.0.10
a1543457c743c62c73c4a6a326e190b1
0dbe3504bc5daa73e7b3f75bbb104e42
공격자 PC로 원격 접속
원격 접속 로그 생성
탐지 우회 HRSword.exe a60a60af95a32a81795761865b7f3bd9 프로세스 중지를 위한 모니터링 도구(ver 5.0.1.1)
netsh - 원격접속 시 방화벽 차단을 막기위한 방화벽 허용 정책 생성
네트워크 정보 수집 ScanPort.exe 36c6f6fee875b519a81284fafb3e41b1 내부 이동을 위한 네트워크 정보 수집
sccman = 闪电扫描.exe
NTScan.exe 1f36c64a8320284f6cc6300db7b59123
sccman 036f82700b985d8a50b2f60c98ab9d77
sqltool.exe 8c3b9af0c1c6db5eaa4ebd3150dc01d0
netpass f627c30429d967082cdcf634aa735410
랜섬웨어 유포 RunExe.exe 00e63af19c1a4cfef68df4b7acf91475 VSS(VolumShadowCopy Service)를 삭제 및 EnCrypt.exe 실행
EnCrypt.exe 566c0616437be7bbd5ce6781981cf5e5 실제 파일 암호화 파일
masscan-F-{id}
masscan-R-{id}
masscan-G-{id}
EnCrypt.exe ea6f19b477aef535dd52132e795b4b40
EnCrypt.exe d055658ed50601a747d0970ed1db6242

 

3. 대응

1. 외부 접속 관리 강화

- 인가된 IP만 접근할 수 있도록 접근통제정책 적용

- 외부에 공개된 서비스 접근 차단

- 외부에 공개 시 접속 포트 변경 및 VPN을 통한 접속

- 원격 데스크톱을 이용할 경우 이중 인증 방식 적용

 

2. 계정 관리 강화

- 기본 계정정보 사용 금지 및 계정 관리 정책 수립

 

3. 백업 관리 강화

- 외부 저장장치 또는 인터넷과 연결되지 않은 PC에 정기적 백업

 

4. 기타

- 최신 OS 업그레이드 및 패치 적용

- 최신 버전의 AV 설치 및 랜섬웨어 차단 기능 활성화

- 랜섬웨어 관련 KISA에서 제공하는 서비스 등 관련된 서비스 이용

- 모의훈련을 통한 대응방안 숙지

- 임직원 교육

 

4. 참조

https://www.boho.or.kr/ransom/bbsView.do?bulletin_writing_sequence=66951&ranking_keyword= 

https://www.boannews.com/media/view.asp?idx=110532&page=1&kind=1 

https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=36327&queryString=cGFnZT0yJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9 

 

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
ESXiArgs Ransomware  (0) 2023.02.15
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

1. 개요

- 록빗(LockBit) 내 개발자로 보이는 인물이 파일을 암호화 하는 인크립터의 코드 공개

- LockBit 3.0 랜섬웨어 빌더는 깃헙에서 다운로드가 가능함

 

랜섬웨어 그룹도 내부자 위협을 겪는다? 록빗 3.0 빌더 공개돼

랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것

www.boannews.com

2. 분석

- LockBit 3.0 랜섬웨어 빌더는 총 5개의 파일로 구성되어 있음

[캡쳐 1] Lockbit 3.0

- 빌더 순서도는 다음과 같음

[캡쳐 2] 빌더 순서도

2.1 Build.bat

- keygen.exe를 실행하여 공개키/비밀키 쌍을 생성

- 생성된 키쌍을 사용해 Lockbit 3.0 랜섬웨어를 생성하는 builder.exe를 실행 

명령줄 설명
ERASE /F /Q %cd%\Build\*.* Build 폴더의 모든 파일 삭제
keygen -path %cd%\Build -pubkey pub.key -privkey priv.key keygen.exe를 실행해 pub.key(공개키_암호화 시 사용)/priv.key(개인키_복호화 시 사용) 쌍 생성
builder -type dec -privkey %cd%\Build\priv.key -config config.json -offile %cd%\Build\LB3Decryptor.exe priv.key와 config.json을 사용해 복호기(LB3Decryptor.exe) 생성
builder -type enc -exe -pubkey %cd%\Build\pub.key -config config.json -offile %cd%\Build\LB3.exe pub.key와 config.json을 사용해 exe 파일 형식의 암호기(LB3.exe) 생성
builder -type enc -exe -pass -pubkey %cd%\Build\pub.key -config config.json -offile %cd%\Build\LB3_pass.exe pub.key와 config.json을 사용해 exe 파일 형식의 암호가 지정된 암호기(LB3_pass.exe) 생성
builder -type enc -dll -pubkey %cd%\Build\pub.key -config config.json -offile %cd%\Build\LB3_Rundll32.dll pub.key와 config.json을 사용해 dll 파일 형식의 암호기(LB3_Rundll32.dll) 생성
builder -type enc -dll -pass -pubkey %cd%\Build\pub.key -config config.json -offile %cd%\Build\LB3_Rundll32_pass.dll pub.key와 config.json을 사용해 dll 파일 형식의 암호가 지정된 암호기(LB3_Rundll32_pass.dll) 생성
builder -type enc -ref -pubkey %cd%\Build\pub.key -config config.json -offile %cd%\Build\LB3_ReflctiveDll_DllMain.dll pub.key와 config.json을 사용해 Reflctive-DLL 파일 형식의 암호가 지정된 암호기(LB3_ReflctiveDll_DllMain.dll) 생성
exit 종료

- 해당 파일을 실행하면 다음과 같은 파일이 생성됨

[캡쳐 3] Builder.exe 생성 파일

 

2.2 config.json

- 암호화기와 복호화기를 생성하기 위한 설정 값이 저장되어 있으며, 랜섬노트 내용을 커스터마이징 할 수 있음

- bot: 감염된 기기에서 정보를 훔치는 봇 기능에 대한 설정
- config: 설정 값 - 아래 표 참고

변수 설명
encrypt_mode 암호화 모드 지정
encrypt_filename 파일 암호화 여부
impersonation 저장된 자격 증명을 통한 로그인 수행 여부
skip_hidden_folders 암호화 대상에서 숨김폴더 제외 여부
language_check CIS 국가(독립국가연합) 체크 여부
local_disks 마운트 후 로컬 디스크 암호화 여부
network_shares 네트워크 공유 폴더 암호화 여부
kill_processes 특정 프로세스 종료 여부
kill_services 특정 서비스 종료 여부
running_one 뮤텍스 생성 여부
*뮤텍스 - 랜섬웨어에서 중복 암호화 방지 목적의 랜덤한 값
print_note 랜섬노트 생성 여부
* 랜섬노트를 통해 복구 비용 지불을 위한 정보를 알려줌
set_wallpaper 바탕화면 변경 여부
* 랜섬웨어 감염 여부를 알리기 위함
set_icons 암호화된 파일 아이콘 변경 여부
send_report 감염된 시스템에서 탈취한 정보와 관련된 보고서 전송 여부
self_destruct 자체 삭제 기능 수행 여부
kill_defender 특정 AV 소프트웨어  종료 여부
wipe_freespace 자체 삭제를 수행할 때 추가적인 기능 여부
psexec_netspread psexec를 사용한 네트워크 전파 여부
* Pxexec 는 cmd 로 원격제어를 할 수 있는 경량 원격 제어 프로그램
gpo_netspread GPO를 사용한 네트워크 전파 여부
* GPO(Group Policy Object) : 관리자들이 컴퓨터 및 사용자 사용 권한을 중앙에서 한번에 제어할 수 있도록 관리작업을 단순화 하는 규칙의 집합
gpo_ps_update powershell 명령을 사용하여 모든 도메인에서 시스템 그룹 정책을 업데이트할지 여부
shutdown_system 시스템 재부팅 여부
delete_eventlogs event log 삭제 여부
* 복구를 어렵게(혹은 불가능)하게 하기위해 event log 등 일부 log를 삭제함
delete_gpo_delay 실행 후 gpo 삭제 여부

- 또한, 암호화에서 제외할 목록 및 암호화 전 종료할 프로세스와 서비스, C2 서버 등을 지정할 수 있음

변수 설명
white_folders - 암호화에서 제외할 폴더 목록
white_files - 암호화에서 제외할 파일 목록
white_extens - 암호화에서 제외할 확장 목록
white_hosts - 암호화에서 제외할 호스트 이름 목록
kill_processes - 암호화 전에 종료할 프로세스 목록
* 원활한 감염을 위함
kill_services - 암호화 전 종료될 서비스 목록
* 원활한 감염을 위함
gate_urls - C2 서버로 사용할 URL 목록
impers_accounts - 로그온에 사용할 자격 증명 목록
* ID:PW 구조
note - 랜섬노트 출력 내용

[캡쳐 4] config.json 설정 목록

 

2.3 Builder.exe

- LockBit 3.0 암호화기 및 복호화기를 생성하는 도구

- 실행 시 사용되는 파라미터 정보

파라미터 설명
-type - enc: 암호화기 생성
- dec: 복호화기 생성
-config - 설정 파일 경로
-exe, -dll, -ref(reflectiveDLL) - 생성할 파일 형식
-pass - 암호화기 생성 시 암호화기 실행에 필요한 비밀번호
- 암호화기 실행에 필요한 암호는 Password_exe.txt와 Password_dll.txt에 각각 저장
-pubkey, -privkey - 암복호화기 생성 시 사용할 키 파일의 경로
-ofile - 저장할 파일 경로

 

2.4 Keygen.exe

- 암복호화를 위한 공개키/개인키 키쌍 생성

- MIRACL 기반으로 작성

파라미터 설명
-path - 생성된 키 쌍 파일을 저장할 폴더 경로
-pubkey, -privkey  - 암호화기가 공개키/개인키로 사용할 파일명(256바이트)

3. IOC 정보

- IOC에서 확인되는 정보를 엔드단 보안장비(EDR, AV 등)에 적용해 탐지 및 차단 필요(지속 모니터링을 통한 최신화 필요)

파일명 유형 지표
Buid.bat SHA256 8e83a1727696ced618289f79674b97305d88beeeabf46bd25fc77ac53c1ae339
SHA1 804a1d0c4a280b18e778e4b97f85562fa6d5a4e6
MD5 4e46e28b2e61643f6af70a8b19e5cb1f
Config.json SHA256 3f7518d88aefd4b1e0a1d6f9748f9a9960c1271d679600e34f5065d8df8c9dc8
SHA1 f3ed67bdaef070cd5a213b89d53c5b8022d6f266
MD5 a6ba7b662de10b45ebe5b6b7edaa62a9
Buid.exe SHA256 a736269f5f3a9f2e11dd776e352e1801bc28bb699e47876784b8ef761e0062db
SHA1 6ae7dc2462c8c35c4a074b0a62f07cfef873c77
MD5 c2bc344f6dde0573ea9acdfb6698bf4c
Keygen.exe SHA256 ea6d4dedd8c85e4a6bb60408a0dc1d56def1f4ad4f069c730dc5431b1c23da37
SHA1 bf8ecb6519f16a4838ceb0a49097bcc3ef30f3c4
MD5 71c3b2f765b04d0b7ea0328f6ce0c4e2

4. 참조

https://rhisac.org/threat-intelligence/lockbit-3-0-builder-code-leak-technical-analysis/

https://isarc.tachyonlab.com/2811

https://blog.alyac.co.kr/4923

 

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12

+ Recent posts