악성코드

Lockis 랜섬웨어와 함께 사용된 해킹 툴

  • 12월 27 2022
Lockis 랜섬웨어와 함께 사용된 해킹 툴

 

안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다.

Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸 메일 발송, 익스플로잇 공격, RDP 접속 등의 공격 기법을 사용하는 것으로 알려져 있다.

현재 Lockis 랜섬웨어는 ‘lockisdog.exe’라는 파일명으로 유포되고 있으며, 파일을 암호화하고 확장자를 ‘.lockis’로 변경한다. 

[그림] GlobeImposter 변화 추이

이번 사례에서 공격자는 관리자 계정을 이용해 RDP로 피해 시스템에 접속한 후 Lockis 랜섬웨어인 lockisdog.exe을 실행했는데, 이때 몇 가지 유틸리티를 해킹에 이용한 것으로 확인됐다.

  • ProcessHacker.exe 48755f2d10f7ff1050fbd081f630aaa3
  • Netscan.Chs.exe 230c143d283842061b14967d4df972d0
  • dControl.exe 0a50081a6cd37aea0945c91de91c5d97

ProcessHacker.exe

ProcessHacker.exe는 프로세스 제어 프로그램으로 프로세스 모니터링, 프로세스 종료, 시스템 권한으로 프로세스 실행 등의 다양한 기능을 제공한다. 공격자는 이 도구를 보안 제품 우회를 위한 목적으로 사용할 수 있다. 이번 Lockis 랜섬웨어 피해 시스템에서는 러시아 버전의 ProcessHacker.exe가 발견됐다. 

[그림] ProcessHacker.exe의 실행 모습

[그림] ProcessHacker.exe 의 속성

Netscan.Chs.exe

Netscan은 SoftPerfect사의 상용 네트워크 스캐너 프로그램이다. 지정된 계정 정보를 이용해 네트워크 상의 다양한 프로토콜의 스캐닝이 가능해, 공격자는 네트워크의 구성을 파악하고, 공격 대상을 물색하기 위한 용도로 사용할 수 있다. Lockis 랜섬웨어 피해 시스템에서는 중국어 버전의 Netscan이 발견됐다. 

[그림] Netscan.Chs.exe의 실행 모습

[그림] Netscan.Chs.exe의 속성

 

dControl.exe

dControl.exe는 Sordum사의 Windows Defender 제어 유틸리티로, 간편하게 Windows Defender를 온/오프하는 기능을 제공한다. 

[그림] dControl.exe의 실행 모습

[그림] dControl.exe의 속성

 

다음과 같은 도구들은 시스템 및 네트워크 관리 목적의 유틸리티이지만, 공격자가 내부망 시스템 해킹 해 성공 후 보안 제품 우회 및 래터럴 무브먼트 등의 공격에도 활용될 수 있다. 안랩에서는 이런 유형의 툴을 HackTool로 진단하고 있다. 이와 같은 HackTool이 탐지이력이 확인되는 경우 내부 직원들이 업무 상 사용하지 않는 툴이라면, 침해를 의심하고 조사해 봐야한다.

[파일 진단]

  • HackTool/Win.ProcHack
  • HackTool/Win.NetScan
  • HackTool/Win.Disabler

 

관련글

동일한 패스워드가 설정된 Local Administrator 계정을 사용하는 기업의 랜섬웨어 감염 사례 – ASEC BLOG

ASEC 분석팀은 최근 Lockis 랜섬웨어 감염 피해를 입은 업체의 피해 시스템들을 분석한 결과, 공격자가 피해 시스템들에 로컬 Administrator 계정으로 RDP 접속 후 랜섬웨어를 실행시킨 것을 확인했다. 피해 시스템들의 로컬 Administrator 정보를 조사한 결과, 1~2년동안 패스워드를 변경하지 않았으며, 모두 동일한 패스워드가 설정돼 있는 것으로 확인됐다. 게다가 해당 NTLM 해시를 복호화한 결과 Administrator 계정의 평문 패스워드는 `1qazxcv 인 것으로 확인됐다. 이 패스워드 문자열은 영…

기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례 – ASEC BLOG

지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다. Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월 16일에 최초 발견됐다. 안랩에서는 2018년 5월경부터 GlobImposter 류의 랜섬웨어를 진단명 Troja…

 

MD5

0a50081a6cd37aea0945c91de91c5d97
230c143d283842061b14967d4df972d0
48755f2d10f7ff1050fbd081f630aaa3

Tags:
Previous Post

Next Post