1. 개요

- 23.02 말 새로운 랜섬웨어 단체 다크파워(Dark Power)가 확인됨

- 약 한달동안 최소 10개의 조직을 침해했다고 주장하며, 10,000달러라는 비교적 소액의 몸값을 요구

- 프로그래밍 언어로 "님(Nim)"을 사용

 

1.1 님(Nim)

- 범용 목적의 다중 패러다임의 정적 자료형, 컴파일 시스템 프로그래밍 언어

- 고차원적인 프로그래밍 언어로, 효율성이 높고 다양한 것을 구사할 수 있음

- 대중적이지 않고, 사용이 어렵지 않으며, 여러 플랫폼을 지원하는 장점으로 최근 멀웨어 개발자들이 적극 이용

> 님 기반으로 작성된 멀웨어에 대한 대응 방안이나 솔루션이 충분하지 않아 주의가 요구됨

> 새로운 언어를 익히는 것은 상대적으로 공격자보다 방어자가 더 어렵고 비용이 많이 듬

※ 공격자는 원하는 수준까지 익히지만, 방어자는 대응을위해 더 많은 영역을 알아야 함

 

2. 다크파워 (Dark Power)

- 다크파워를 비롯한 랜섬웨어의 유포 및 공격 방식은 다음과 같음

① 사회공학적기법 등으로 피해자에게 접근 ex) 피싱메일, 패치 되지않은 취약점

② 피해자 파일 다운로드 유도

③ 파일 다운 후 실행 시 랜섬웨어 실행 및 파일 암호화

④ 복호화를 빌미로 비트코인 등 몸값 지불 요구

 

2.1 동작과정

① 암호화 키 초기화

- 최초 랜섬웨어가 실행되면, 임의의 64자의 소문자 ASCII 문자열을 생성

- 해당 문자열은 암호화 알고리즘을 초기화하는데 사용됨

[사진 1] 암호화 키

 

② 서비스, 프로세스 종료 및 암호화 제외 파일 설정

- 서비스 종료

> 서비스를 비활성화함으로써 파일을 복구하기 어렵게 만듬

> 대표적으로 VSS(Volume Shadow Copy Service)이 있음

VSS(Volume Shadow Copy Service)
- 볼륨 백업을 수행하고 일관된 특정 시점의 데이터 복사본을 만들기위한 프레임 워크를 제공하는 Microsoft Windows의 COM 인터페이스 집합
- 특정한 시각의 파일, 폴더의 복사본이나 볼륨의 스냅샷을 저장해두고 복원할 수 있는 기능

 

- 프로세스 종료

> WMI "winmgmts:{impersonationLevel=impersonate}!.\root\cimv2"에 쿼리 "select * from win32_process" 수행

> 해당 쿼리는 실행 중인 모든 프로세스의 목록을 반환하고, 미리 정의된 프로세스 이름과 일치된 항목은 모두 종료

WMI(Windows Management Instrumentation)
- 시스템 내의 자원들을 로컬/원격 환경에서 관리할 수 있는 도구의 집합

 

[사진 2] 종료할 프로세스 목록

 

- 암호화 제외 대상 설정

> 서비스와 프로세스 종료 후 암호화 대상에서 제외할 파일 확장자, 파일 이름, 폴더 이름 설정

 

[사진 3] 암호화에서 제외할 확장자(上) 파일 이름(中) 폴더 이름(下)

 

③ 흔적 지우기

- 서비스, 프로세스 종료한 뒤 30초의 대기 후 콘솔과 로그를 지움

> 콘솔 지우기: "C:\Windows\system32\cmd.exe /c cls"

> 로그 지우기: WMI 쿼리 "Select * from Win32_NTEventLogFile" 및 "ClearEventLog()"

 

④ 랜섬노트 표시

- 피해 사실을 알리기 위해 랜섬노트 표시

 

2.2 특이사항

- 두 가지 버전의 랜섬웨어가 존재하며 각각 암호화 키와 형식이 다름

① 첫 번째 변형

> SHA-256 알고리즘으로 ASCII 문자열을 해시

> 해시 결과를 두 부분으로 분할

> 첫 번째 분할은 AES키로, 두 번째 분할은 초기화 벡터 IV로 사용

 

② 두 번째 변형

> SHA-256 다이제스트를 AES 키로 사용

> 암호 초기화 벡터로 고정 128비트 값 사용

 

3. 대응방안

① IoC 적용 [1]

 

② 랜섬웨어 기본 대응방안 준수 [4]

 

4. 참고

[1] https://www.trellix.com/en-us/about/newsroom/stories/research/shining-light-on-dark-power.html
[2] https://www.bleepingcomputer.com/news/security/new-dark-power-ransomware-claims-10-victims-in-its-first-month/
[3] https://www.boannews.com/media/view.asp?idx=115538&page=2&kind=1 

[4] https://ggonmerr.tistory.com/44

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04

+ Recent posts

티스토리툴바