최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다.
- https://www.etnews.com/20210218000110
- https://news.mt.co.kr/mtview.php?no=2021021822141892938
- https://www.dailysecu.com/news/articleView.html?idxno=120820
- https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html
트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다.

출처 : https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html
보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행 파일을 특정 인자로 실행하는 샌드박스 우회 기법이 사용됨이 언급되었다. 자사는 DoppelPaymer 랜섬웨어의 드로퍼를 수집하여 샌드박스 우회 기법의 구동 방식을 살펴볼 수 있었다. 수집한 DoppelPaymer 랜섬웨어의 드로퍼는 인스톨러 형태로 제작되어 있었다. 악성 행위 발현을 위해 버튼 클릭이 필요하며, 이는 인자를 사용하는 방식과 별개로 행위를 탐지하는 샌드박스 환경에서 취약할 수 있다.

위 드로퍼로 인해 생성된 DoppelPaymer 랜섬웨어는 인자값 없이는 실행이 불가하며, 실행을 위해 서비스로 위장되어 생성되고 [그림 3] 과 같이 서비스의 ImagePath는 특정 인자와 함께 실행되도록 변경된다. 따라서 해당 류의 DoppelPaymer 랜섬웨어는 단독으로 수집될 경우 샌드박스에서 행위 발현이 우회될 수 있다.

위와 같이 특정 인자를 통해 실행된 DoppelPaymer 랜섬웨어는 사용자의 파일을 암호화 후 해당 경로에 [그림 4] 와 같이 금전을 요구하는 랜섬노트를 생성한다.

현재 해당 악성코드는 V3Lite 및 자사 샌드박스 제품(MDS) 에서 아래와 같이 진단하고 있다.


[파일 진단]
– Trojan/Win32.DoppelPaymer
[행위 진단]
– Malware/MDP.SystemManipulation.M2255
[MDS 진단]
– Malware/MDP.Ransom
Categories:악성코드 정보