본문 바로가기
뉴스,지식창고/잡지식,추천정보

[AhnLab 보안이슈]랜섬웨어 최신 공격 동향 공개!

by 범피디 BumPD 2021. 5. 28.

랜섬웨어 최신 공격 동향 공개!

  • AhnLab
  • 2021-05-26

기업을 대상으로 하는 랜섬웨어 공격이 날이 갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 또한, 국내 유명 배달 플랫폼 기업이 랜섬웨어 공격을 받아 수만개 점포와 라이더들이 피해를 입기도 했다. 

이번 글에서는 기업들을 노린 랜섬웨어 최신 공격 동향에 대해 알아본다. 


최근 과학기술정보통신부가 배포한 보도자료에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐 등 금전을 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스를 재개 해야하는 기업을 대상으로 공격이 증가하고 있는 것이다. 

 

[그림 1] 최근 3년간 랜섬웨어 침해사고 신고 현황 (출처: 과학기술정보통신부)

전반적으로 악성코드 기능 역시 기업 대상 공격이 증가하고 있는 상황이다. 일반 개인 사용자와 기업을 확인하여 다른 기능이 동작되도록 했다. 많은 사용자가 있는 기업의 특성상, 시스템이 AD(Active Directory) 환경으로 구성된 도메인에 속해 있는 경우가 대다수이다. 악성코드는 도메인 존재 여부를 기업인지 판단하기 위한 기준으로 삼았다. 도메인에 가입된 시스템일 경우 계정 탈취와 내부 전파를 위해 해킹툴을 설치하거나 추가 악성코드를 다운로드 받는다. 악성코드는 기업 정보를 탈취하고 최종적으로는 랜섬웨어를 실행한다.

그동안 안랩이 분석하여 공개한 악성코드 중 기업을 타깃으로 한 악성코드로 다음과 같은 사례들이 있다. 

- 바자로더(BazarLoader), 바자백도어(BazarBackdoor)

-​ 류크 랜섬웨어(Ryuk Ransomware)

-​ 한시터 다운로더(Hancitor Downloader)

-​ 블루크랩 다운로더(BlueCrab Downloader)

-​ 스네이크 랜섬웨어(Snake Ransomware)

-​ 아미 다운로더(FlawedAmmyy Downloader)

참고로 백도어나 다운로더류 악성코드는 랜섬웨어를 직접적으로 생성 및 실행하는 것이 아닌, 해킹툴로 제어하기 위한 백도어을 추가 설치하고 기업 시스템을 장악한다. 이후 공격자는 해킹툴을 이용해 시스템에 랜섬웨어를 실행한다. 현재까지 확인된 공격은 모두 코발트 스트라이크(Cobalt Strike) 해킹툴을 이용했다.

바자로더와 바자백도어, 그리고 류크 랜섬웨어 

바자로더가 다운로드하는 바자백도어는 사용자 PC 정보 및 기업 환경 정보를 수집한다. 공격자와의 C&C 통신을 통해 전달되는 데이터 중에는 연결 도메인 명, 연결된 도메인 자원(컴퓨터 이름) 목록, 도메인 트러스트 목록, 관리자(Administrators) 그룹에 속한 멤버 목록, 도메인 관리자 계정 결과 등이 있다. 기업으로 확인 된 경우 다른 악성코드를 다운받는 다운로더 기능을 수행한다. 해외 감염 사례를 토대로 보았을 때 코발트 스트라이크 이용해 류크 랜섬웨어나 콘티(Conti) 랜섬웨어를 기업 시스템에서 실행한다. 

류크 랜섬웨어는 국내 모 기업에도 피해를 입혔던 랜섬웨어로, 기업의 도메인 컨트롤러를 탈취한 뒤 유포되었다. 랜섬웨어 자체에도 내부 네트워크를 스캔하여 SMB 공유폴더에 접근해 전파되는 기능이 있다.

 

[그림 2] 류크 랜섬웨어 공격 구조도

한시터 다운로더

한시터는 스팸 메일 첨부 파일로 유포되는 다운로더로 추가 악성코드를 다운로드한다. 과거에는 정보 유출형 악성코드를 다운로드 했지만, 최근에는 피커스틸러(FickerStealer) 정보유출형 악성코드를 다운로드한다. 이 때 시스템이 도메인에 속해있을 경우에는 다음 [그림 3]과 같이 도메인 정보가 전달되고 피커스틸러 대신 코발트 스트라이크를 설치한다.  

 

[그림 3] 도메인 정보

블루크랩 랜섬웨어

블루크랩 랜섬웨어는 유포 과정에서 도메인 환경변수를 통해 기업인지 여부를 확인하는 기능이 있다. 기업이 아니라면 블루크랩 랜섬웨어가 설치 및 실행되지만, 기업이라면 코발트 스트라이크 해킹툴이 설치된다. C&C 서버 접속 전에 사용자 시스템의 %USERDNSDOMAIN% 환경변수 존재 여부를 확인하는 것으로 검사한다.  

 

[그림 4] %USERDNSDOMAIN% 환경변수 존재 여부를 확인

스네이크 랜섬웨어

현재는 나타나지 않지만 2020년 6월 발견된 스네이크 랜섬웨어는 IP 등 네트워크 쿼리를 통해 기업인지 여부를 확인했다. 소수의 특정 기업만을 대상으로 한 특이한 케이스로, 당시 혼다(Honda) 등이 표적 기업이었다. 

 [그림 5] 기업 여부 확인을 위한 네트워크 쿼리

아미 다운로더

아미백도어를 다운로드 받은 악성코드는 기업 여부에 따라 기능 동작을 달리하는 대표적인 사례이다. ‘cmd.exe /c net user /domain’ 명령으로 확인된 결과에 따라 기업인지 확인한다. 일반 개인 사용자는 기본 설정 이름 WORKGROUP이 출력되지만, 기업은 도메인명이 출력된다. 이후 기능은 기업 조건에 해당되었을 때만 동작한다. 

보다 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. 

▶ASEC 블로그 바로가기

  • AhnLab 로고
  • ASEC 분석팀

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다. 자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com

 

728x90

댓글0