파일리스(Fileless), 코드 주입식 SOREBRECT 랜섬웨어 분석

게시일: 2017-06-20 l 작성자: Buddy Tancio (위협 분석가)

파일리스 위협과 랜섬웨어는 각각 보았을 때 새로운 위협은 아니지만 이 두가지가 결합되면 위험한 멀웨어로 재 탄생할 수 있습니다. 트렌드마이크로가 탐지명 RANSOM_SOREBRECT.ARANSOM_SOREBRECT.B로 탐지한 파일리스 코드 주입식 랜섬웨어 SOREBRECT가 바로 그러한 예입니다.

트렌드마이크로는 올해 2분기가 시작될 시점에 SOREBRECT를 처음 발견하였으며 이 랜섬웨어는 중동 지역 기업들의 시스템과 네트워크를 감염시킨 것으로 밝혀졌습니다. SOREBRECT 샘플을 추출하여 분석한 결과, 피해자의 데이터를 암호화하기 위해 색다른 기법을 사용하는 것으로 나타났습니다. SOREBRECT의 운영자는 PsExec 유틸리티를 악용하여 랜섬웨어의 코드 주입 기능을 이용하는 것으로 밝혀졌습니다.

SOREBRECT의 은폐 기능

SOREBRECT의 최종 목표는 파일 암호화이지만 주된 활동은 ‘은폐’입니다. 랜섬웨어의 자폭 루틴을 통해 SOREBRECT는 파일리스 위협의 특성을 갖게 되는데, 이러한 과정은 메인 바이너리가 종료되기 전에 랜섬웨어가 정상적인 시스템 프로세스에 (사실은 암호화 루틴을 실행하는) 코드를 주입하는 방식을 통하여 이루어집니다. SOREBRECT는 또한 시스템의 이벤트 로그와 타임스탬프 (예: appcompat / shimcache / prefetch 등)을 포함하여 시스템에서 실행되는 파일과 같은 포렌식 정보를 제공하는 기타 아티팩트를 삭제합니다. 이를 삭제함으로써 랜섬웨어 분석을 막고 SOREBRECT의 활동을 추적하지 못하도록 방해합니다.

초기의 SOREBREC는 쿠웨이트, 레바논과 같은 중동 국가에서만 한정적으로 관찰되었습니다. 하지만 5월 초부터 캐나다, 중국, 크로아티아, 이탈리아, 일본, 멕시코, 러시아, 대만 및 미국에서도 SOREBRECT가 탐지되었고 감염된 산업 부문으로는 제조업, 기술 및 이동통신사들이 포함되었습니다. 랜섬웨어의 잠재적 영향력수익성을 고려해볼 때 다른 국가에서도 SOREBRECT가 활동할 가능성이 높으며 사이버범죄 지하조직을 통해 하나의 서비스로 전파될 가능성 또한 배제할 수 없습니다.

그림 1: SOREBRECT의 공격 체인

SOREBRECT, 코드 주입 방식을 이용한 파일리스 위협

SOREBRECT의 공격 패턴에는 시스템 관리자가 명령을 실행하거나 원격으로 파일을 실행하는 정상적 Windows 명령 유틸리티인 PsExec를 악용하는 것이 포함되어있습니다. PsExec을 악용하여 SOREBRECT를 설치한다는 것은 곧 관리자의 자격 증명이 해킹을 당했거나 원격 기기가 노출되어 무작위 공격을 받았다는 것을 의미합니다. 하지만 SOREBREC가 PsExec를 악용한 최초의 공격은 아닙니다. SAMSAM(RANSOM_SAMSAM), Petya(RANSOM_PETYA), 그리고 Petya에서 파생된 PetrWrap도 PsExec를 이용하여 감염된 서버나 엔드포인트에 랜섬웨어를 설치한 선례가 있습니다.

그러나 SOREBRECT는 PsExec을 악의적으로 배포하고 코드 주입을 실행함으로써 다른 랜섬웨어 보다 한 단계 더 나아갔습니다. 그 점은 바로 메인 바이너리가 자폭을 하는 동안 Windonws의 svchost.exe 프로세스에 코드를 삽입하는 것입니다. 이 둘의 조합은 강력한 힘을 발휘합니다. 파괴된 랜섬웨어 바이너리의 실행이 중단되면 주입된 svchost.exe(정상적인 Windows 서비스를 호스팅 하는 시스템 프로세스)가 페이로드, 즉 파일 암호화를 재개합니다. 이렇게 되면 SOREBRECT는 코드 주입 후 파일리스 상태가 되기 때문에 엔드포인트에서 바이너리 샘플을 찾아내기가 어렵게 됩니다.

그렇다면 왜 PsExec를 이용하는 것일까요? 공격자들은 PsExec뿐 아니라 원격 데스크톱 프로토콜(RDP)을 이용해도 감염된 기기에 SOREBRECT를 설치할 수 있지만, 코드 주입 기능이 더 효과적이기 때문입니다. RDP를 사용하는 것에 비해 PsExec은 사용이 더 간편하고 SOREBRECT의 파일리스 및 코드 주입 기능을 활용할 수 있다는 장점이 있습니다. 또한 PsExec은 양방향 로그인 세션을 이용하거나 수작업으로 원격 기기에 멀웨어를 전송하는 대신 공격자가 원격으로 명령을 실행할 수 있도록 합니다. 결과적으로 SOREBRECT의 경우 메인 바이너리가 실행되면 악성코드가 주입된 svchost.exe 프로세스가 페이로드를 계속 진행할 수 있기 때문에 공격자들에겐 PsExec을 이용하는 것이 더 합리적입니다.

SOREBRECT는 추적을 피하기 위해 wevtutil.exe를 이용하여 시스템의 이벤트 로그를 삭제하고 vssadmin을 이용하여 쉐도우 복사본을 삭제합니다. 악성코드가 주입된 svchost.exe 프로세스는 로컬 기기와 네트워크 공유의 파일들을 암호화하는 페이로드를 실행합니다. SOREBRECT는 Tor 네트워크 프로토콜을 이용하여 C&C 서버로의 연결을 익명으로 처리합니다.

그림2. SOREBRECT는 암호화된 파일에 .pr0tect라는 확장자를 첨부

그림3. SOREBRECT 랜섬노트 중 하나

네트워크 공유도 암호화할 수 있는 SOREBRECT

SOREBRECT는 로컬 네트워크를 통해 감염된 기기에 연결하는 다른 컴퓨터의 파일도 변조시킬 수 있습니다. 먼저 네트워크를 스캔하여 자산을 검색하고 다른 사람들이 네트워크를 통해 지속적으로 접근하는 공개된 공유(폴더, 콘텐츠 또는 주변기기)를 나열합니다. 활성 호스트를 발견하면 공유를 검색한 후에 연결을 개시하는데, 공개 공유인 경우 인증이 성공합니다. 이 공유가 연결하는 모든 사람이 읽기와 쓰기 권한이 부여 되도록 설정되어 있다면 해당 공유 또한 암호화됩니다.

그림4. 공개 공유가 있는 기기를 나열하기 위한 SOREBRECT의 네트워크 스캔

그림5. 라이브 호스트의 공유에 대해 연결을 개시하는 SOREBRECT

대응 방법

SOREBRECT가 기업의 서버와 엔드포인트에 미칠 수 있는 잠재적 피해에 대한 위험을 감안할 때, IT 및 시스템 관리자와 IT 보안 전문가는 랜섬웨어에 맞서 보안에 대한 보다 심층적인 방어 접근법을 고려해야 합니다.

  • 사용자 쓰기 권한 제한. 네트워크 공유가 랜섬웨어에 노출되는 가장 큰 원인은 사용자들에게 모든 권한을 부여하기 때문입니다. 권한을 제한함으로써 랜섬웨어가 네트워크에서 파일 암호화 루틴을 실행하지 못하도록 방지할 수 있습니다. 도메인 내의 각 사용자에 대한 권한을 검토하는 작업부터 시작하는 것이 좋습니다. 액티브 디렉터리 내 각 사용자 계정/그룹을 검토하여 필요한 권한만을 부여합니다. 네트워크 상의 공유 파일과 폴더들에 대해서도 보안을 구성하는 것이 좋습니다(폴더에 누구나 손쉽게 접근할 수 있도록 구성하지 않습니다).

  • PsExec에 대한 권한 제한. PsExec은 기업 네트워크에서 주로 사용되며 시스템 관리자가 보다 유연하게 원격 기기와 상호 작용할 수 있도록 합니다. 하지만 사이버범죄자의 손에 넘어가게 되면 해킹된 자격 증명을 이용하여 원격 시스템에서 자유롭게 작동시킬 수 있는 기회를 제공하게 되며 이로써 사이버범죄자들은 랜섬웨어와 같은 위협들을 설치하고 전파할 수 있게 됩니다. PsExec와 같은 도구와 서비스의 사용을 제한 및 보안하고 꼭 필요한 관리자 계정에만 실행 권한을 제공함으로써 PsExec을 악용하는 위협들을 사전에 방지해야 합니다.

  • 파일 백업. 사이버범죄자들은 중요한 정보 및 개인 정보의 손실 가능성에 대한 불안감을 조성하는 전술을 이용하여 피해자들이 몸값을 지불하도록 유도합니다. 조직 및 사용자들은 파일을 백업해둠으로써 이러한 위험을 예방할 수 있습니다. 최소 3개의 사본을 만들고 두 개는 서로 다른 기기에 보관하고 나머지 1개는 오프라인 또는 안전한 장소에 보관합니다.

  • 시스템 및 네트워크를 최신 상태로 유지. 운영 체제, 소프트웨어 및 애플리케이션들에 최신 패치를 설치함으로써 위협들이 보안 공백을 악용하여 시스템이나 네트워크에 침투하지 못하도록 합니다. WannaCry, UIWIX 및 Adylkuzzz와 같은 멀웨어들이 바로 이러한 취약점을 악용하는 전형적인 예입니다. 패치가 발표되지 않은 경우엔 가상 패치를 이용할 수도 있습니다.

  • 직장 내 사이버 보안 인식 강화. 사용자 교육 및 인식 강화를 통해 보안 태세를 강화할 수 있습니다. 다른 멀웨어와 마찬가지로 랜섬웨어의 진입점은 주로 이메일과 악성 파일 다운로드 또는 도메인입니다. 조직들은 정기 교육을 통해 직원들이 기업의 보안 정책, 절차 및 대응 방안을 정확히 인지할 수 있도록 해야 합니다.

  • 다계층 보안 방식 도입. 랜섬웨어가 발전을 거듭하고 있는 위협 환경 속에서 공격 방식과 대상은 계속 다양해질 것입니다. 랜섬웨어를 차단할 완벽한 해결책은 없기 때문에 기업들은 사전 예방적 보안 방식의 심층 방어가 필요합니다. 데이터 분류네트워크 세분화는 공격에 노출되었을 때 피해를 완화시키는 데 도움이 됩니다. 고급 샌드박싱 기능은 알 수 없는 파일이나 의심스러운 파일들을 격리시켜 분석하고, 어플리케이션 컨트롤과 행동 모니터링 기능은 의심스러운 파일의 실행을 방지하고 시스템이 무단 변경되지 않도록 보호합니다.

트렌드마이크로 솔루션

Trend Micro™ Deep Security™는 물리, 가상, 클라우드 서버 또는 컨테이너에 상관없이 랜섬웨어가 기업의 서버 및 워크로드를 손상시키지 않도록 합니다. Deep Security™ 는 IPS 및 호스트 방화벽으로 네트워크 위협을 방어하고 소프트웨어 패치가 적용될 때까지 취약한 서버를 가상 패치를 통해 보호합니다. 또한 Deep Security™ 는 정교한 안티 멀웨어와 행동 분석을 이용해 랜섬웨어를 비롯한 멀웨어를 차단하여 시스템 내의 악의적 행동을 바로 중단합니다. Deep Security™에는 서버를 잠그는 응용 프로그램 제어를 비롯한 시스템 보안 기능이 있으며 무결성 모니터링을 통해 랜섬웨어를 포함한 잠재적 IOC를 탐지합니다.

관련 해시:

RANSOM_SOREBRECT.A (SHA256) 로 탐지:

  • 4854A0CA663588178B56754CD50626B2E8A121F66A463E1C030836E9BD5B95F8
  • AC4184EEC32795E1CBF2EFC5F4E30D0CBE0B7F982BC2060C180BE432994DCEFF
  • 05CEFE71615F77D9A386BF6F48AD17ACA2BAE433C95A6F2443184462832A3E90

RANSOM_SOREBRECT.A (SHA-1) 로 탐지:

  • 36fa4c4a7bd25f086394b06fe50e41410f78dbb3
  • 9f327c5168b07cec34e1b89aba5f45b78f20e753

RANSOM_SOREBRECT.B (SHA256) 로 탐지:

  • 4142ff4667f5b9986888bcb2a727db6a767f78fe1d5d4ae3346365a1d70eb76


원문: Analyzing the Fileless, Code-injecting SOREBRECT Ransomware