DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지

최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다.

트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다.

보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행 파일을 특정 인자로 실행하는 샌드박스 우회 기법이 사용됨이 언급되었다. 자사는 DoppelPaymer 랜섬웨어의 드로퍼를 수집하여 샌드박스 우회 기법의 구동 방식을 살펴볼 수 있었다. 수집한 DoppelPaymer 랜섬웨어의 드로퍼는 인스톨러 형태로 제작되어 있었다. 악성 행위 발현을 위해 버튼 클릭이 필요하며, 이는 인자를 사용하는 방식과 별개로 행위를 탐지하는 샌드박스 환경에서 취약할 수 있다.

[그림 2] 인스톨러로 제작된 DoppelPaymer 랜섬웨어 드로퍼

위 드로퍼로 인해 생성된 DoppelPaymer 랜섬웨어는 인자값 없이는 실행이 불가하며, 실행을 위해 서비스로 위장되어 생성되고 [그림 3] 과 같이 서비스의 ImagePath는 특정 인자와 함께 실행되도록 변경된다. 따라서 해당 류의 DoppelPaymer 랜섬웨어는 단독으로 수집될 경우 샌드박스에서 행위 발현이 우회될 수 있다.

[그림 3] 특정 인자와 함께 실행되는 DoppelPaymer 랜섬웨어

위와 같이 특정 인자를 통해 실행된 DoppelPaymer 랜섬웨어는 사용자의 파일을 암호화 후 해당 경로에 [그림 4] 와 같이 금전을 요구하는 랜섬노트를 생성한다.

[그림 4] DoppelPaymer 랜섬웨어의 랜섬노트

현재 해당 악성코드는 V3Lite 및 자사 샌드박스 제품(MDS) 에서 아래와 같이 진단하고 있다.

[그림 5] DoppelPaymer 랜섬웨어의 V3 행위 탐지 화면

[그림 6] DoppelPaymer 랜섬웨어의 MDS 탐지 화면

[파일 진단]
– Trojan/Win32.DoppelPaymer

[행위 진단]
– Malware/MDP.SystemManipulation.M2255

[MDS 진단]
– Malware/MDP.Ransom

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments