신종 디스크 삭제형 멀웨어 KillDisk 변종, 남미 금융기관 공격

게시일: 2018-01-24 l 작성자: Trend Micro

남미의 금융 기관을 대상으로 하는 신종 KillDisk 변종이 발견되었습니다. (트렌드마이크로 탐지명: TROJ_KILLDISK.IUB) 트렌드마이크로의 Deep Discovery™ 는 신종 KillDisk 변종 공격을 차단합니다. 초기 분석에 따르면 이 공격은 다른 페이로드의 구성 요소 이거나 더 큰 공격의 일부일 수 있음이 확인되었습니다. 따라서 트렌드마이크로는 신종 KillDisk 에 대한 지속적인 분석을 이어 나가고 있으며, 자세한 내용은 계속 업데이트될 예정입니다.

다양한 목적을 띄는 KillDisk 는 지난 2015년 12월 우크라이나의 에너지 산업, 은행, 철도, 광산업에 이루어졌던 사이버 공격 BlackEnergy 캠페인에 사용되었습니다. 이후에 디지털 강탈에 사용되는 멀웨어로 변모하여 Windows리눅스 플랫폼에 영향을 줍니다. 그러나 디스크나 온라인에 암호화 키를 저장하지 않고 파일을 덮어쓰거나 삭제함으로써 Petya 의 경우처럼 랜섬웨어 버전에 나타나는 메모는 속임수로 밝혀졌습니다. 하지만 이번에 발견된 신종 변종에는 랜섬노트가 포함되어 있지 않습니다.


그림 1. KillDisk 감염 체인

시스템에 드랍되는 방법

신종 KillDisk 변종은 다른 프로세스 및 공격자에 의해 의도적으로 드랍되는 것으로 추정됩니다. 파일 경로는 멀웨어에 하드코드 되어 설치 프로그램과 밀접하게 결합되거나 더 큰 패키지의 일부입니다.


그림 2. 시스템을 종료하는 신종 KillDisk 변종의 매개 변수

KillDisk 는 자체 삭제 기능이 없지만 자체 폐기 프로세스를 제공하며, 실행 중에 파일의 이름을 c : \ windows \ 0123456789 로 변경합니다. 이 문자열은 분석한 샘플에 하드코딩 되어 있습니다. 이 문자열은 하드코드된 c : \ windows \ dimens.exe 가 될 것으로 예상됩니다. 따라서 디스크 포렌직이 수행되고 dimens.exe 가 검색되면 검색될 파일은 0x00 바이트 내용으로 새로 생성된 파일이 됩니다.

파일 삭제하는 방법

신종 KillDisk는 드라이브 b : 에서 시작하여 모든 로직컬 드라이브 (고정 및 이동식) 를 거칩니다. 로직컬 드라이브에 시스템 디렉토리가 있으면 아래의 디렉토리 및 하위 디렉토리의 파일과 폴더가 삭제되지 않습니다.

  • WINNT
  • Users
  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery (case-sensitive check)
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

파일이 삭제되기 전에 먼저 임의로 이름이 변경됩니다. KillDisk 는 파일의 처음 0x2800 바이트를 덮어쓰며 0x2800 바이트가 큰 0x00 블록을 덮어씁니다.



그림 3. KillDisk 가 파일을 덮어쓰고 파일을 삭제하는 방법을 보여주는 코드

신종 KillDisk 변종이 디스크를 지우는 방법

멀웨어는 \\. \ PhysicalDrive0에서 \\. \ PhysicalDrive4로 삭제하려고 시도합니다. 성공적으로 열리는 모든 장치의 MBR (마스터 부트 레코드) 을 읽고 장치의 첫 번째 0x20 섹터를 “0x00” 으로 덮어씁니다. 다음으로 MBR 의 정보를 사용하여 목록에 있는 파티션을 손상시킵니다. 찾은 파티션이 확장 파티션이 아닌 경우 실제 볼륨의 첫 번째 0x10 과 마지막 섹터를 덮어씁니다. 확장 파티션을 찾으면 EBR (확장 부트 레코드) 를 가리키는 두 개의 추가 파티션을 덮어씁니다.




그림 4. KillDisk 가 MBR 을 읽거나 스캔 하는 방법을 나타내는 코드와 (맨 위, 가운데)
EBR 을 덮어쓰는 방법을 보여주는 코드 (맨 아래)

MBR, 파일, 폴더를 덮어쓰거나 삭제한 후 나타나는 양상

KillDisk 에는 시스템을 종료하기 전에 대기하는 시간을 나타내는 숫자 매개변수가 있습니다. 컴퓨터를 재부팅하기 위해 신종 변종은 다음의 프로세스를 종료하려고 합니다.

  • Client/server run-time subsystem (csrss.exe)
  • Windows Start-Up Application (wininit.exe)
  • Windows Logon Application (winlogon.exe)
  • Local Security Authority Subsystem Service (lsass.exe)

이는 사용자가 컴퓨터를 재부팅 하도록 강요하기 위한 행위입니다. 예를 들어, csrss.exe 및 wininit.exe 를 종료하면 블루 스크린 (BSOD) 이 나타납니다. winlogon.exe 를 종료하면 사용자에게 다시 로그인하라는 메시지가 표시되고 lsass.exe 를 종료하면 다시 부팅됩니다. 또한 KillDisk 는 ExitWindowsEx 함수를 사용하여 강제로 컴퓨터를 다시 시작합니다.


그림 5. 시스템을 강제로 재부팅하는 KillDisk 를 보여주는 코드

기업의 대응 방안

KillDisk 의 파괴적인 기능과 더 큰 공격의 일부가 되는 것을 막는 방법은 방어가 최선입니다. 즉, 게이트웨이, 엔드포인트 및 네트워크에서 서버에 이르기까지 경계선을 확보하여 공격의 대상을 줄여야 합니다. 다음의 내용을 참고하여 주시기 바랍니다.

  • 시스템과 애플리케이션을 업데이트 / 패치하여 공격자가 보안의 틈을 악용하지 못하게 하십시오. 레거시 시스템에 대한 가상패치 또한 중요합니다.
  • 데이터를 정기적으로 백업하고 무결성을 보장하십시오.
  • 최소 권한 원칙을 적용하십시오. 네트워크 세분화데이터 분류는 멀웨어의 네트워크 내 이동과 위협에 대한 추가 노출을 방지합니다.
  • 의심스러운 프로그램이 실행되는 것을 차단하고 비정상적인 시스템 수정을 막을 수 있는 응용프로그램 제어 / 화이트리스팅 및 동작 모니터링과 같은 보안 메커니즘을 배포하십시오.
  • 시스템 및 네트워크를 사전에 모니터링하십시오. 침입 방지 및 탐지 시스템뿐만 아니라 방화벽을 사용하십시오.
  • 사전 예방적 방어를 주도할 수 있는 사고 대응 정책을 구현하십시오. 기업 내 사이버 보안 인식을 높여 기업의 보안 상태를 더욱 강화하시기 바랍니다.

트렌드마이크로 XGen™ 보안데이터센터, 클라우드 환경, 네트워크엔드포인트의 위협 요소에 대한 Cross-generational 위협 방어 기술을 제공합니다. 또한 게이트웨이엔드포인트 데이터 및 애플리케이션을 보호하고 물리, 가상, 클라우드 워크로드를 보호할 수 있는 하이파이 머신러닝 기능을 갖추고 있습니다. 웹 / URL 필터링, 행위 분석, 사용자 정의 샌드박스와 같은 기능을 통해 XGen 은 기존의 제어를 우회하는 위협, 알려진 취약점뿐만 아니라 알려지지 않거나 공개되지 않은 취약점을 악용하는 위협으로부터 시스템을 보호합니다. 강력하고 시스템에 최적화된 XGen 은 하이브리드 클라우드 보안, 사용자 보호 및 네트워크 방어와 같은 보안 솔루션 제품군의 바탕이 됩니다.

관련 해시 (SHA-256) :

  • 8a81a1d0fae933862b51f63064069aa5af3854763f5edc29c997964de5e284e5 —
    TROJ_KILLDISK.IUB

이 블로그는 신종 KillDisk 변종에 랜섬노트가 없음을 알리기 위해 1월 15일 11:58 PM PDT 기준으로 업데이트 되었습니다.

[원문: New KillDisk Variant Hits Financial Organizations in Latin America]