꼰머의 보안공부

보안뉴스

보안뉴스

보안뉴스

보안뉴스

1. 개요: 간헐적 암호화

- 최근 랜섬웨어 공격자들은 간헐적 암호화 전략을 사용

- 간헐적 암호화란 암호화 속도를 높이기 위해 파일의 가장 앞부분 혹은 뒷부분만 암호화하는 것

> 블랙캣(BlackCat), 콘티(Conti), 로얄(Royal), 플레이(Play) 등이 이 전략을 활용

- 21년 새롭게 등장한 락파일(LockFile) 랜섬웨어를 유포하기 위해 간헐적 암호화 사용 [1][2][3]

> 파일의 첫 부분 중 일부는 암호화하지 않고, 16바이트마다 한번씩 암호화

> 텍스트 문서와 같은 파일 종류는 부분적으로 읽을 수 있고, 파일 크기 등 통계적으로 원본과 유사함

> 통계 분석을 사용해 콘텐츠 검사에 의존하는 랜섬웨어 탐지 소프트웨어 우회 가능

- 간헐적 암호화의 장단점

> 장점: 암호화 효율(속도)을 높여 보다 많은 파일을 암호화, 높은 탐지 기술 회피력

> 단점: 부분적인 암호화로 복호화 가능성이 높음

2. 화이트피닉스(White Phoenix) [4][5]

- 사이버 보안 기업 사이버아크는 간헐적 암호화의 특징에 초점을 맞춰 파일 복호화 도구 화이트피닉스 발표

> 간헐적 암호화된 파일의 경로와 복호화 될 파일을 저장할 경로만 지정하면 됨

- 간헐적 암호화로 암호화된 파일 중 pdf, docx, docm, xlxm, xltx, extm, pptx, pptm, ptox, zip 등의 파일들을 꽤나 정확하게 복구

> 공격자들이 PDF의 헤더 부분만을 삭제했다고(암호화 했다고) 다음과 같이 상황을 가정

> 오리지널 파일 구조: "Head 123, Body 456, Footer 789"

> 암호화된 파일 구조: "head 12, body 456, footer 789"

> 따라서, 원본을 유추해 복구하는 것이 상대적으로 수월하다는 것

- 현재는 주로 블랙캣이 암호화 한 문서 파일들을 위주로 복호화 기능을 발휘

> 블랙캣은 6가지 암호화 모드를 제공: 파일 헤더 암호화, 파일 일부 암호화, 파일 전체 암호화 등

> 플레이, 킬린(Qilin), 비안리안(BianLian), 다크빗(DarkBit)과 같은 랜섬웨어 피해자 역시 어느 정도 도움을 얻을 수 있을 것

3. 대응방안

① 다중계층방어 보안프로그램 도입

> 랜섬웨어는 하나의 보안기술로는 완벽하게 방어하기 어려움

> 네트워크, End-Point 등에 걸친 다단계 방어가 필요

② 정기적인 패치 및 업데이트 적용

> 랜섬웨어는 소프트웨어의 취약점을 악용해 침투

> 소프트웨어 및 펌웨어를 최신 버전으로 유지

③ 데이터 백업

> 신뢰할 수 있는 매체나 클라우드를 통해 데이터 백업

④ 기본 보안 수칙 준수

> 출처가 불분명한 파일 다운 및 실행 금지/주의

> 메일 내 첨부파일 실행 금지/주의

> USB 등의 외부 저장 매체 통제/비활성화 및 보안성 검토 후 사용

> 보안 교육 수행

4. 참고

[1] https://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
[2] https://news.sophos.com/en-us/2021/08/27/lockfile-ransomwares-box-of-tricks-intermittent-encryption-and-evasion/
[3] https://www.ic3.gov/Media/News/2021/210825.pdf
[4] https://www.cyberark.com/resources/threat-research-blog/white-phoenix-beating-intermittent-encryption
[5] https://github.com/cyberark/White-Phoenix
[6] https://www.boannews.com/media/view.asp?idx=117997&page=1&kind=1 

1. 개요

- 23.03.16 대상 기관이 데이터 유출 및 랜섬웨어 피해를 당했다고 사칭하는 피싱메일이 미국에서 발견

- 공격자는 자신들의 안내를 따르지 않을 시 DDoS 공격을 감행하겠다고 협박

- 국내에서도 랜섬웨어 및 DDoS 등 관련 피해가 급증하는 것으로 확인되어 주의 필요

2. 내용

- 공격자는 피싱메일에서 자신이 "Midnight"이라 소개

- 또 다른 메일에서 Midnight 그룹이 "Surtr 랜섬웨어"와 "Silent 랜섬웨어"를 사칭하는 것으로 확인됨

Surtr 랜섬웨어
- 2021년 말 처음 등장한 RaaS
- 파일 암호화 후 ".Surtr" 확장자 추가
- Revil 랜섬웨어 그룹과 협력했을 가능성이 존재

Silent 랜섬웨어
- 비싱(Vishing, VoIP + Phishing)으로 랜섬웨어 유포하며, 콜백 피싱으로도 불리는 기법을 이용
- 피해자에게 자동 결제 연장 등의 피싱메일 발송
- 피해자가 메일 내 제공된 전화번호로 연락
- 공격자는 피해자에게 정보를 요구하거나 문제 해결을 위해 RDP 등의 원격 접속 도구 등 설치 유도
- 설치된 원격 접속 도구를 이용해 네트워크 접속 및 랜섬웨어 유포

- 피해 대상을 어떤 기준으로 선정되었는지 불분명하나 DDW, SNS, 뉴스 등에서 정보를 얻었을 것으로 판단

- 그러나 일부 랜섬웨어 피해자가 포함되어 있어, 다른 랜섬웨어 조직과의 협력의 가능성도 대두

- 공격자는 메일을 통해 서버에서 900GB의 "필수 데이터"를 탈취 하였다고 주장

- 공격자는 대상의 고유 데이터를 사용하여 신뢰성을 부여하고, 실제 공격보다 훨씬 적은 비용을 요구

- 관련된 또 다른 메일에서는 피해자가 금전을 지불하도록 압력을 목적으로 DDoS 공격 협박

- "Phantom Squad"라는 이름을 가진 DDoS 협박 그룹의 방식과 유사

- 실제로 금전을 지불하지 않은 피해자에게 DDoS 공격을 진행하였으나, 낮은 수준의 공격크기 였음

Phantom Squad (팬텀 스쿼드)
- 금전을 지불하지 않으면 DDoS 공격을 하겠다고 협박한 스팸성 피싱메일로 다수 판단
- 그러나 실제로, Xbox Live, Sony PlayStation, Steam 등에 DDoS 공격을 감행한 이력이 있음
- 0.2 비트코인(~$720)을 요구

3. 참고

[1] https://www.bleepingcomputer.com/news/security/fake-ransomware-gang-targets-us-orgs-with-empty-data-leak-threats/
[2] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=67084
[3] https://www.bleepingcomputer.com/news/security/ransomware-gangs-move-to-callback-social-engineering-attacks/
[4] https://www.bleepingcomputer.com/news/security/ddos-extortion-group-sends-ransom-demand-to-thousands-of-companies/

1. 개요

- 23.02 말 새로운 랜섬웨어 단체 다크파워(Dark Power)가 확인됨

- 약 한달동안 최소 10개의 조직을 침해했다고 주장하며, 10,000달러라는 비교적 소액의 몸값을 요구

- 프로그래밍 언어로 "님(Nim)"을 사용

1.1 님(Nim)

- 범용 목적의 다중 패러다임의 정적 자료형, 컴파일 시스템 프로그래밍 언어

- 고차원적인 프로그래밍 언어로, 효율성이 높고 다양한 것을 구사할 수 있음

- 대중적이지 않고, 사용이 어렵지 않으며, 여러 플랫폼을 지원하는 장점으로 최근 멀웨어 개발자들이 적극 이용

> 님 기반으로 작성된 멀웨어에 대한 대응 방안이나 솔루션이 충분하지 않아 주의가 요구됨

> 새로운 언어를 익히는 것은 상대적으로 공격자보다 방어자가 더 어렵고 비용이 많이 듬

※ 공격자는 원하는 수준까지 익히지만, 방어자는 대응을위해 더 많은 영역을 알아야 함

2. 다크파워 (Dark Power)

- 다크파워를 비롯한 랜섬웨어의 유포 및 공격 방식은 다음과 같음

① 사회공학적기법 등으로 피해자에게 접근 ex) 피싱메일, 패치 되지않은 취약점

② 피해자 파일 다운로드 유도

③ 파일 다운 후 실행 시 랜섬웨어 실행 및 파일 암호화

④ 복호화를 빌미로 비트코인 등 몸값 지불 요구

2.1 동작과정

① 암호화 키 초기화

- 최초 랜섬웨어가 실행되면, 임의의 64자의 소문자 ASCII 문자열을 생성

- 해당 문자열은 암호화 알고리즘을 초기화하는데 사용됨

② 서비스, 프로세스 종료 및 암호화 제외 파일 설정

- 서비스 종료

> 서비스를 비활성화함으로써 파일을 복구하기 어렵게 만듬

> 대표적으로 VSS(Volume Shadow Copy Service)이 있음

VSS(Volume Shadow Copy Service)
- 볼륨 백업을 수행하고 일관된 특정 시점의 데이터 복사본을 만들기위한 프레임 워크를 제공하는 Microsoft Windows의 COM 인터페이스 집합
- 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

- 프로세스 종료

> WMI "winmgmts:{impersonationLevel=impersonate}!.\root\cimv2"에 쿼리 "select * from win32_process" 수행

> 해당 쿼리는 실행 중인 모든 프로세스의 목록을 반환하고, 미리 정의된 프로세스 이름과 일치된 항목은 모두 종료

WMI(Windows Management Instrumentation)
- 시스템 내의 자원들을 로컬/원격 환경에서 관리할 수 있는 도구의 집합

- 암호화 제외 대상 설정

> 서비스와 프로세스 종료 후 암호화 대상에서 제외할 파일 확장자, 파일 이름, 폴더 이름 설정

③ 흔적 지우기

- 서비스, 프로세스 종료한 뒤 30초의 대기 후 콘솔과 로그를 지움

> 콘솔 지우기: "C:\Windows\system32\cmd.exe /c cls"

> 로그 지우기: WMI 쿼리 "Select * from Win32_NTEventLogFile" 및 "ClearEventLog()"

④ 랜섬노트 표시

- 피해 사실을 알리기 위해 랜섬노트 표시

2.2 특이사항

- 두 가지 버전의 랜섬웨어가 존재하며 각각 암호화 키와 형식이 다름

① 첫 번째 변형

> SHA-256 알고리즘으로 ASCII 문자열을 해시

> 해시 결과를 두 부분으로 분할

> 첫 번째 분할은 AES키로, 두 번째 분할은 초기화 벡터 IV로 사용

② 두 번째 변형

> SHA-256 다이제스트를 AES 키로 사용

> 암호 초기화 벡터로 고정 128비트 값 사용

3. 대응방안

① IoC 적용 [1]

② 랜섬웨어 기본 대응방안 준수 [4]

4. 참고

[1] https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html
[2] https://www.bleepingcomputer.com/news/security/new-dark-power-ransomware-claims-10-victims-in-its-first-month/
[3] https://www.boannews.com/media/view.asp?idx=115538&page=2&kind=1 

[4] https://ggonmerr.tistory.com/44

보안뉴스