위협분석보고서-genians

EDR을 활용한 LockBit 랜섬웨어 추적하기

Written by Genians | Jul 3, 2023 12:00:00 AM

1. 개요 (Overview)

1.1. 위협 케이스 분석(Threat Case Study)

○ GSC(Genians Security Center)는 위협 케이스 분석을 통해 지속적으로 고도화되는 공격자의 Operations과 TTPs에 효율적으로 대응하기 위한 연구를 진행하고 있습니다.

○ 위협 케이스 중 탐지를 피하기 위한 보안 우회 전술의 의도가 반영되어 만들어진 LockBit 랜섬웨어 배포용 DeliveryBox를 분석해 공격자의 도구들(Tools)과 TTPs를 식별했습니다.

○ 이번 LockBit 랜섬웨어 케이스는 IMG 파일로 유포되며, 내부에 패키징된 LNK, BAT 및 VBS 파일을 통해 LockBit 랜섬웨어를 실행하는 복잡한 과정을 가지고 있습니다. 또한, 보안 솔루션의 탐지를 피하기 위해 안전 모드를 악용하는 정황을 보여주고 있습니다.


1.2. LockBit 랜섬웨어란?

○ 2019년 말에 등장한 LockBit 랜섬웨어 조직은 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동하고 있습니다. 모든 랜섬웨어 조직들 중 가장 활발히 활동하고 있으며, 올해 상반기에만 300개 이상의 기업을 공격해 전체 랜섬웨어 공격의 3분의 1이상을 기록하고 있습니다.

○ 국내에서는 이력서와 저작권 관련 내용으로 위장한 피싱 메일을 통해 꾸준히 유포되고 있으며, 올해 3월에는 국세청을 해킹했다고 주장해 화제가 되기도 했습니다.


[그림 01] 2023 상반기 랜섬웨어 그룹별 활동 빈도(Dark Web Profile)
출처 : SOCRadar - Dark Web Profile: LockBit 3.0 Ransomware

 


1.3. 공격 흐름도(Attack Flow)

○ 공격자는 사용자의 의심을 피하기 위해 해외 컨설팅 업체의 이름으로 위장한 IMG 파일로 LockBit 랜섬웨어를 유포했으며, IMG 파일 내부에는 LNK 파일을 제외한 BAT, VBS, 7z.exe, Autologon.exe, LockBit 랜섬웨어가 숨겨져 있습니다.

○ 공격자는 LNK 파일을 초기 실행 단계로 사용했으며, LNK 파일을 실행할 경우, 각 BAT 파일이 단계별로 실행됩니다. 실행된 각 파일들은 권한 상승과 지속성 유지 및 안전 모드 부팅 등의 악성 행위를 수행하고 최종적으로 안전 모드에서 LockBit 랜섬웨어를 실행합니다.

 


[그림 02] LockBit 랜섬웨어 실행 과정

 


2. 공격 단계 (Attack Step)

○ 이번 위협 케이스의 유포 과정은 정확히 알려지지 않았지만, 악성 IMG 파일이 첨부된 피싱 메일을 통해 유포된 것으로 예상하고 있습니다.


2.1. romeroconsultores.img

○ 공격자는 LockBit 랜섬웨어가 포함된 IMG 파일을 해외 컨설팅 업체의 이름으로 위장해 유포하고 있습니다.


[그림 03] romeroconsultores.img

 

파일명 romeroconsultores.img
파일 크기 2.37MB
MD5 012477baee020f9639e9002015492b99
SHA256 781ead305cdb5fa0153369431dedd40fe138308fcdf5dfda1cfeaaba296752e3

[표 01] romeroconsultores.img 파일 정보


○ 해당 IMG 파일을 더블 클릭할 경우 DVD 드라이브에 자동으로 마운트 되며, “Documentos.lnk” 파일을 제외한 나머지 파일들은 숨김 설정되어 보이지 않습니다. 공격자는 이 방법을 통해 사용자로부터 의심을 피하고 LNK 파일 실행하도록 유도합니다.

 


[그림 04] DVD 드라이브에 마운트된 IMG 파일

 


[그림 05] 숨김 설정된 파일

 


2.2. Documentos.lnk

○ “Documentos.lnk” 파일은 cmd 명령어를 포함하고 있으며, 실행 시 cmd.exe를 통해 IMG 파일 내부에 숨겨진 “anguisheddarkness.bat” 파일을 실행합니다.

 


[그림 06] Documentos.lnk 파일 속성

 


[그림 07] anguisheddarkness.bat 탐지 정보


2.3. anguisheddarkness.bat

○ LNK 파일에 의해 실행되는 “anguisheddarkness.bat” 파일은 “net session” 명령어를 실행한 뒤, 출력되는 에러 레벨을 통해 현재 사용자의 권한을 확인하고 권한에 따라 지정된 함수를 실행합니다.

 


[그림 08] anguisheddarkness.bat 상세 정보


1) 관리자 권한일 경우
- darknessuntrue.bat 파일을 실행합니다.

2) 관리자 권한이 아닐 경우
- “%temp%” 경로에 “subduedice.vbs” 파일을 생성하고 실행한 뒤 삭제합니다.

 


[그림 09] subduedice.vbs 관련 이벤트


2.4. subduedice.vbs

○ 이전 BAT 파일 실행 시 현재 사용자 권한이 낮을 경우, VBS(Visual Basic Script) 파일을 생성합니다. 해당 VBS 파일은 UAC(User Account Control) 창을 띄워 사용자로부터 권한 상승을 유도하고 이전 과정에서 실행했던 “anguisheddarkness.bat” 파일을 상승된 권한으로 다시 실행합니다.

 


[그림 10] subduedice.vbs 탐지 정보

 


[그림 11] UAC를 통한 권한 상승 유도


2.5. darknessuntrue.bat

○ 권한 상승 후, 실행되는 “darknessuntrue.bat” 파일은 LockBit 랜섬웨어의 실행 및 지속성 유지에 필요한 파일들을 임의 경로에 복사합니다. 이후, 현재 사용자 계정 비밀번호를 변경하고 Autologon.exe 도구를 통해 부팅 시 변경한 계정으로 자동 로그인하도록 설정합니다.

○ 또한, 공격자는 보안 솔루션이 안전 모드에서 정상적으로 실행이 어렵다는 점을 노리고 "bcdedit.exe" 도구를 통해 시스템이 안전 모드로 부팅되도록 설정합니다. 이후, 안전 모드에서도 지속성을 유지할 수 있도록 레지스트리 및 서비스를 추가하고 시스템을 재부팅 합니다.

 


[그림 12] darknessuntrue.bat 상세 정보


○ 먼저 xcopy 명령어를 통해 “C:\ProgramData” 경로에 BAT, VBS, LockBit 랜섬웨어를 복사하고 “C:\Windows\Temp” 경로에 7z.exe을 복사합니다.

 


[그림 13] 파일 복사 이벤트


○ 다음으로 “net user” 명령어를 통해 현재 사용자 계정 비밀번호를 변경하고 Microsoft Sysinternals에서 제공하는 자동 로그인 도구인 Autologon.exe을 통해 부팅 시 해당 계정으로 자동 로그인 되도록 설정합니다.

 


[그림 14] 자동 로그인 설정


○ 부팅 설정 관련 도구인 bcdedit.exe를 통해 안전 모드로 부팅되도록 설정을 변경합니다.

 


[그림 15] 안전 모드 부팅 설정


○ 이후, 안전 모드에서도 지속성을 유지하기 위해 안전 모드에서 자동 실행되는 서비스 레지스트리 경로에 “tckzpj” 이름의 키 생성을 시도하고 성공 여부에 따라 다음 과정을 수행합니다.

 


[그림 16] 레지스트리 키 생성


1) 성공할 경우
- “removalculpable.vbs” 파일이 안전 모드에서 지속성을 유지할 수 있도록 서비스를 생성하고 위 과정에서 생성한 “tckzpj” 레지스트리 키에 해당 서비스를 값을 추가합니다.

 


[그림 17] 서비스 생성

 


[그림 18] 레지스트리 값 추가


2) 실패할 경우
- 로그인 후 자동 시작되는 쉘 프로그램 레지스트리에 “darknessimmerse.bat” 를 추가합니다.


[그림 19] 레지스트리 추가


2.6. darknessimmerse.bat

○ 이전 단계의 “darknessuntrue.bat” 파일에 의해 시스템은 안전 모드로 부팅되며, “darknessimmerse.bat” 파일이 실행됩니다.

○ 해당 BAT파일은 “.7z” 형식으로 암호 압축된 LockBit 랜섬웨어를 7z.exe을 통해 “C:\ProgramData” 경로에 압축 해제한 이후, 특정 인자 값을 통해 실행합니다.

 


[그림 20] darknessimmerse.bat 상세 정보


2.7. LockBit 랜섬웨어

○ 실행된 LockBit 랜섬웨어는 사용자의 파일을 암호화하고 “.BQuqYjUgg” 확장자를 추가한 뒤, 파일 아이콘을 변경합니다.

○ 이후, “BQuqYjUgg.README.txt” 이름의 랜섬노트를 생성해 피해자로부터 랜섬머니를 요구합니다.

 


[그림 21] LockBit 랜섬웨어에 감염된 시스템

 


3. 결론 및 대응 방법(Conclusion)

 

3.1. 결론

○ 공격자는 LNK, BAT, VBS 파일을 통해 LockBit 랜섬웨어를 실행합니다. 이러한 과정을 거칠 경우 악성코드 자체의 코드와 행위를 줄일 수 있고 보안 솔루션의 탐지를 어렵게 합니다. 또한, 피해자의 시스템을 성공적으로 감염시키기 위해 보안 솔루션이 정상적으로 실행되지 않는 안전 모드 환경을 악용하고 있어 탐지 및 대응을 더욱 어렵게 만듭니다.

○ 또한, 이번 케이스에서는 공격자가 IMG 파일을 통해 LockBit 랜섬웨어를 유포하고 있습니다. 그 이유는 디스크 이미지(IMG, ISO, VHD) 형식의 파일이 MOTW(Mark of the Web)를 우회해 신뢰할 수 없는 다운로드 파일에 대해 아래 그림과 같은 SmartScreen 경고 창 없이 실행될 수 있기 때문입니다.

 

[그림 22] SmartScreen 창

 

3.2. Genian EDR 제품을 통한 대응(Response)

○ Genian EDR 환경에서는 탐지 시각에 따른 위협 이벤트 조회를 통해 빠르고 정확하게 해당 위협을 탐지할 수 있습니다. 이번 케이스는 다단계 방식을 사용하고 안전 모드를 악용해 탐지가 어려운 형태 중 하나입니다. 하지만 Genian EDR 제품을 사용할 경우, 실행 초기 단계에서 핵심 위협 이벤트를 탐지하고 대응할 수 있습니다.

 


[그림 23] Genian EDR 위협 탐지 스토리 라인


4. 공격 지표 (Indicator of Attack)

4.1. MITRE ATT&CK Matrix Tactic Technique Description

Tactic Technique Description
Initial Access T1566.001 Phishing: Spearphishing Attachment
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1059.005 Command and Scripting Interpreter: Visual Basic
T1204.002 User Execution: Malicious File
Persistence T1543.003 Create or Modify System Process: Windows Service
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
T1547.004 Boot or Logon Autostart Execution: Winlogon Helper DLL
Defense Evasion T1027.002 Obfuscated Files or Information: Software Packing
T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control
T1553.005 Subvert Trust Controls: Mark-of-the-Web Bypass
T1562.009 Impair Defenses: Safe Mode Boot
T1564.001 Hide Artifacts: Hidden Files and Directories
Impact T1486 Data Encrypted for Impact
T1529 System Shutdown/Reboot

[표 02] Mitre Att&ck Tactics and Techniques


4.2. 주요 MD5 Hash

- 012477baee020f9639e9002015492b99
- 86358056a97b768f1768e07e46c5540a
- ba0cdcb6efe81b188f346be3d45566e8
- c7fdc61e64c9311857c1fabb2e0dc436
- 2cf4d5f4535b5ea277b965d036174a4b
- 89f9bfb649abe4ae5ba693cae113d0bf
- 0563f083ab08c6f688a0a91136a7d801


5. 참고 자료 (Reference)

- Fortinet - Can You See It Now? An Emerging LockBit Campaign