크라이시스 랜섬웨어 공격자의 새로운 계정 탈취 방법은?
안랩 분석팀이 최근 크라이시스(Crysis) 랜섬웨어 공격자가 비너스(Venus) 랜섬웨어를 공격에 함께 사용하고 있는 정황을 확인했다. 크라이시스, 비너스 랜섬웨어는 외부에 노출된 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 주요 표적으로 삼는다는 공통적인 특징이 있다. 자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에서도 공격자가 RDP(Remote Desktop Protocol)를 통해 악성 행위를 하는 것을 확인할 수 있었다. 크라이시스 랜섬웨어 공격자가 RDP를 이용해 비너스 랜섬웨어를 설치하는 과정을 알아보자.
1. RDP를 이용한 랜섬웨어 설치
RDP를 공격 벡터로 사용하는 공격자는 일반적으로 외부에서 접근 가능하고, RDP가 활성화된 시스템을 스캔한다. 스캐닝 과정에서 발견한 시스템을 대상으로 무차별 대입 공격 또는 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우, 공격자는 계정 정보를 손쉽게 획득할 수 있다.
공격자가 획득한 계정 정보를 사용해 원격 데스크톱으로 시스템에 로그인할 경우, 해당 시스템에 대한 제어를 획득하고 이후 다양한 악성 행위를 수행할 수 있다. 비너스 랜섬웨어를 설치한 공격자도 RDP를 공격 벡터로 사용한 것으로 추정되는데, 그 근거로는 [그림 1]과 같이 탐색기 프로세스(explorer.exe)에 의해 다수의 악성코드가 생성된 것을 들 수 있다.
[그림 1] 다양한 악성코드들의 설치 로그
과거 공격자는 먼저 크라이이스 랜섬웨어를 이용해 감염 대상 시스템을 암호화하려고 했으며, 실패한 이후 다시 비너스 랜섬웨어로 암호화를 시도했다.
[그림 2] 비너스 랜섬웨어보다 먼저 설치된 크라이이스 랜섬웨어
참고로 해당 공격자는 이후에도 동일한 크라이시스 랜섬웨어를 이용해 다른 시스템을 지속적으로 공격했다. 확인된 공격들 중 외부에 노출된 RDP 서비스를 표적을 삼고, 공격에 성공한 이후 RDP를 통해 다른 시스템에 접속하고, 해당 시스템을 크라이시스 랜섬웨어에 감염시킨 사례도 있다.
2. 공격 과정에서 사용되는 악성코드
공격자는 감염 대상 시스템에 다양한 악성코드를 설치한다. 설치되는 툴은 스캐너 및 계정 정보탈취 기능을 담당하며, 대부분 니르소프트(NirSoft)에서 제작됐다. 이를 통해 감염 대상 시스템 외에도 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 것을 알 수 있다.
[표 1] 공격에 사용된 툴
공격자는 RDP를 통해 시스템을 장악한 이후, [표 1]의 툴로 네트워크를 스캐닝해 감염 대상 시스템이 특정 네트워크에 포함됐는지 확인한다. 만약 포함돼 있는 경우 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집을 진행한다. 이 과정에 미미카츠가 사용되며, 수집된 계정 정보를 이용해 네트워크 내 다른 시스템으로 측면 이동할 수 있다.
공격자는 크라이시스 랜섬웨어를 실행해 시스템 암호화를 시도했으며, 몇 시간이 지난 후 암호화에 실패한 것을 인지했을 때 비너스 랜섬웨어를 공격에 사용했다. 만약 크라이시스 랜섬웨어가 정상적으로 동작했다면, 사용자는 [그림 3]과 같은 랜섬노트를 확인할 수 있을 것이다.
[그림 3] 공격에 사용된 크라이시스 랜섬웨어의 랜섬노트
공격자의 메일 주소: datacentreback@msgsafe[.]io, moriartydata@onionmail[.]org
3. 비너스 랜섬웨어
“Download” 폴더 내에 공격자가 복사한 파일들 중 비너스 랜섬웨어는 “bild.exe_”라는 이름을 갖는다.
[표 2] 비너스 랜섬웨어 개요
비너스 랜섬웨어는 더 많은 파일을 암호화하기 위해 먼저 오피스, 이메일 클라이언트, 데이터베이스 등 다양한 프로그램들을 종료시킨다.
[표 3] 종료 대상 프로세스 목록
“.venus” 확장자에 대한 아이콘을 등록한 이후 파일 암호화를 진행하는데, 암호화된 파일들의 확장자는 “.venus”로 변경된다. 따라서 사용자는 [그림 4]와 같은 아이콘으로 변경된 파일들을 보게 된다.
[그림 4] 암호화된 파일들
비너스 랜섬웨어가 볼륨 섀도 복사본을 제거하기 위해 사용하는 명령은 다음과 같다.
> cmd.exe /C wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE
여기까지의 과정이 끝나면 바탕화면을 변경하고 사용자에게 README 파일을 보여준다. README 파일에는 자신들이 시스템의 정보를 탈취하고 파일들을 암호화했다는 내용과 함께 48시간 내로 연락하라는 내용이 담겨있다.
공격자의 메일 주소: venusdata@onionmail.org
[그림 5] 변경된 바탕화면
[그림 6] 비너스 랜섬웨어의 랜섬노트
공격자들은 과거부터 초기 침투 및 측면 이동 과정에서 RDP를 꾸준히 사용해오고 있다. 이런 공격은 주로 계정 정보가 부적절한 시스템에 대한 무차별 대입 공격 또는 사전 공격을 통해 이루어진다. 비너스를 유포한 크라이시스 랜섬웨어 공격자 외에도 수많은 랜섬웨어 공격자가 RDP를 대표적인 초기 공격 벡터로 사용하고 있다.
사용자들은 RDP를 사용하지 않을 경우 비활성화해 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격을 방지해야 한다. 또한, V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
출처 : AhnLab
