MSP(Managed Service Provider)및 기업 관리 솔루션 개발사 Kaseya의 프로그램 VSA(각종 패치 관리와 클라이언트 모니터링을 수행할 수 있는 cloud 기반 매니지먼트 서비스) 취약점으로 배포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 BlueCrab(Sodinikibi)랜섬웨어로 확인되었다. 아래의 그림은 해당 랜섬웨어 감염 시, 바탕화면의 모습을 나타내며 국내 활발하게 유포중인 BlueCrab과 동일함을 알 수 있다. 국내 이슈되는 BlueCrab이 불특정 다수의 일반 사용자를 대상으로 구글, MS Bing 검색 사이트를 통해 자바스크립트 형태(*.JS)로 유포 중인 것과 달리 이번 피해 사례는 타겟 공격 형태로 유포되었으며, 랜섬웨어 동작 방식에 있어서도 차이가 확인되었다.
해당 공격의 배후로 보이는 REvil 그룹은 효과적인 배포를 위해 공급망을 통해 공격하였으며, 감염 과정에서도 Windows Defender 무력화 및 AV벤더의 탐지를 회피하기 위해 정상 MS파일을 이용하여 파일 암호화까지 용의주도하게 수행하였다.
상세 감염 내역은 다음과 같다.
- Initial-Access: Supply Chian Compromise(TID: T1195)
Keseya社 VSA 취약점을 이용하여 C:\kworking 폴더에 agent.crt 파일(base64 인코딩파일) 생성
- Execution: Command and Scripting Interpreter(TID: 1059)
Keseya社 AgentMon.exe에 의해 Powershell 명령어 실행
- Defence Evasion: Impair Defenses(TID: 1562) & Masquerading(TID: 1036) & Obfuscated Files or Information(TID: 1027) & Indicator Removal on Host(TID: 1070)
| “C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe |
V3 제품 사용자의 경우, 이러한 파워쉘 명령 실행 시, 행위탐지 기능에 의해 Execution/MDP.Behavior.M3792 진단으로 사전 탐지가 가능한 것으로 확인되었다. 상세 기능과 설명은 아래와 같다.
- DisableRealtimeMonitoring: Windows Defender 실시간 감시 종료
- DisableIntrusionPreventionSystem: Windows Defender 다운로드 파일 검사 비활성화
- DisableScriptScanning: Windows Defender 스크립트 검사 비활성화
- EnableControlledFolderAccess Disabled: 제한된 폴더 접근 허용
- EnableNetworkProtection AuditMode –Force: 네트워크 보호 모드 비활성화
- MAPSReporting Disabled: Microsoft Active Protection Service 보고 비활성화
- SubmitSamplesConsent NeverSend: Windows Defender 샘플 자동 발송 비활성화
- copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe: 정상 certutil.exe windows경로에 cert.exe로 복사
- echo %RANDOM% >> C:\Windows\cert.exe: 복사한 cert.exe의 파일 뒤에 임의의 바이트를 붙여 AV의 certutil.exe 실행 탐지 회피
- C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe: 취약점으로 생성된 난독화 된 파일 복호화(agent.crt -> agnet.exe)
- del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe: 난독화 파일 및 복사한 certutil.exe 삭제 후 최종 복호화 된 exe파일 실행
- Persistance: Hijack Execution Flow(TID: 1574)
해당 exe파일은 실행 시 %temp%경로에 MS 정상 파일(msmpeng.exe)와 BlueCrab기능의 dll(mpsvc.dll)을 같은 경로에 생성한다. msmpeng.exe의 실행 시 mpsvc.dll의 ServiceCrtMain을 호출하게 되는데, 공격자가 생성한 dll은 해당 함수에 랜섬웨어 기능을 탑재하여 악성 행위는 해당 dll을 로드한 정상 msmpeng.exe가 실행되게 된다.
정상 프로세스인 msmpeng.exe의 행위로 AV벤더의 탐지를 회피하려고 한 것으로 보인다. V3 제품에서는 파일진단 외에 msmpeng.exe에 의한 랜섬웨어 DLL 모듈(mpsvc.dll) 실행 시점에 ‘프로세스 메모리 검사’ 기능에 의해 탐지가 가능하다. 그 외에 MDS, EDR 제품에서도 이러한 동작 방식의 BlueCrab 랜섬웨어가 잘 탐지하는 것을 확인하였다.
V3 탐지 현황
- Data/BIN.EncPe (2021.07.03.03)
- Ransomware/Win.Sodinokibi (2021.07.03.03)
- Ransomware/Win.REvil (2021.07.03.03)
- Execution/MDP.Behavior.M3792(행위 탐지 2021.07.10.00)
- Ransomware/Win.BlueCrab.XM120(메모리 진단 2021.07.09.03)
[EDR 제품 탐지 화면]
[MDS 제품 탐지 현황]
*출처
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
https://www.fortinet.com/blog/threat-research/new-supply-chain-ransomware-attack-targets-kaseya-platform
https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보