안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다.
Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸 메일 발송, 익스플로잇 공격, RDP 접속 등의 공격 기법을 사용하는 것으로 알려져 있다.
현재 Lockis 랜섬웨어는 ‘lockisdog.exe’라는 파일명으로 유포되고 있으며, 파일을 암호화하고 확장자를 ‘.lockis’로 변경한다.
이번 사례에서 공격자는 관리자 계정을 이용해 RDP로 피해 시스템에 접속한 후 Lockis 랜섬웨어인 lockisdog.exe을 실행했는데, 이때 몇 가지 유틸리티를 해킹에 이용한 것으로 확인됐다.
- ProcessHacker.exe 48755f2d10f7ff1050fbd081f630aaa3
- Netscan.Chs.exe 230c143d283842061b14967d4df972d0
- dControl.exe 0a50081a6cd37aea0945c91de91c5d97
ProcessHacker.exe
ProcessHacker.exe는 프로세스 제어 프로그램으로 프로세스 모니터링, 프로세스 종료, 시스템 권한으로 프로세스 실행 등의 다양한 기능을 제공한다. 공격자는 이 도구를 보안 제품 우회를 위한 목적으로 사용할 수 있다. 이번 Lockis 랜섬웨어 피해 시스템에서는 러시아 버전의 ProcessHacker.exe가 발견됐다.
Netscan.Chs.exe
Netscan은 SoftPerfect사의 상용 네트워크 스캐너 프로그램이다. 지정된 계정 정보를 이용해 네트워크 상의 다양한 프로토콜의 스캐닝이 가능해, 공격자는 네트워크의 구성을 파악하고, 공격 대상을 물색하기 위한 용도로 사용할 수 있다. Lockis 랜섬웨어 피해 시스템에서는 중국어 버전의 Netscan이 발견됐다.
dControl.exe
dControl.exe는 Sordum사의 Windows Defender 제어 유틸리티로, 간편하게 Windows Defender를 온/오프하는 기능을 제공한다.
다음과 같은 도구들은 시스템 및 네트워크 관리 목적의 유틸리티이지만, 공격자가 내부망 시스템 해킹 해 성공 후 보안 제품 우회 및 래터럴 무브먼트 등의 공격에도 활용될 수 있다. 안랩에서는 이런 유형의 툴을 HackTool로 진단하고 있다. 이와 같은 HackTool이 탐지이력이 확인되는 경우 내부 직원들이 업무 상 사용하지 않는 툴이라면, 침해를 의심하고 조사해 봐야한다.
[파일 진단]
- HackTool/Win.ProcHack
- HackTool/Win.NetScan
- HackTool/Win.Disabler
[IOC 정보]
- 48755f2d10f7ff1050fbd081f630aaa3
- 230c143d283842061b14967d4df972d0
- 0a50081a6cd37aea0945c91de91c5d97
관련글
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보, 침해사고 분석 사례