ASEC 분석팀은 이전에 수차례 소개한 Lockbit 2.0 랜섬웨어가 기존에 소개한 방식인 NSIS 형태가 아닌 MalPE 형태로 유포되고 있음을 확인하였다. MalPE 형태는 실제 악성코드의 분석을 방해하는 패킹 방식의 일종이며, 내부 쉘코드를 통해 PE파일을 복호화하여 실행한다.
랜섬웨어 모니터링을 통해 최근 1월 들어 LockBit 랜섬웨어의 유포가 증가한 것이 확인되었고, LockBit 랜섬웨어는 이전에 소개한 바와 같이 여전히 입사 지원서를 사칭한 파일명으로 유포중이다. 과거 파일명을 포함하여 새롭게 확인된 파일명들은 아래와 같다.
- _이력서_220926(경력사항도 같이 기재하였습니다 잘 부탁드립니다).exe
- #이력서_221116(경력사항도 같이 기재하였습니다 잘 부탁드립니다).exe
- (이력서_221112(빠릿하게 일하는모습 모여드리겠습니다).exe
- 221208_이력서(열심히하겠습니다 잘부탁드리겠습니다 감사합니다).exe
- ~이력서_230116.exe
- $이력서_230108.exe
- 이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe
- [이_력_서] 230130 경력사항을 같이 기재하였으니 확인 부탁드립니다.exe
“이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe”의 파일명으로 유포된 Lockbit 2.0 랜섬웨어는 MalPE 형태로 [그림 1]과 같이 리소스 영역에 특정한 문자열을 포함하고 있다. 일반적인 MalPE 형태의 악성코드는 같은 아이콘의 형태로 유포되는 특징이 있지만, Lockbit 2.0 랜섬웨어의 경우 이력서를 사칭한 특징을 반영해 한글 아이콘으로 변경하여 유포되고 있다.
해당 악성코드는 전형적인 MalPE 패킹 방식과 같이 쉘코드 및 PE 데이터를 디코딩 후 실행한다.
실행된 랜섬웨어는 기존에 소개된 블로그와 같이 볼륨 쉐도우 복사본 삭제, 레지스트리 런키 등록, 파일 감염 및 분석 회피를 위한 서비스 및 프로세스 종료가 진행되는데 해당 랜섬웨어는 기존에 소개되지 않았던 이벤트 로그 삭제 행위도 수행한다.
| bcdedit /set {default} bootstatuspolicy ignoreallfailures bcdedit /set {default} recoveryenabled no vssadmin delete shadows /all /quiet wmic shadowcopy delete wevutil cl application wevutil cl system |
이 후 사용자 시스템의 파일을 암호화며, 암호화된 파일은 .lockbit의 확장자와 특정 아이콘을 가진다. 또한 감염 경로에 Restore-My-Files.txt 파일명의 랜섬노트 생성과 바탕화면 변경을 수행한다.
MalPE 형태로 유포되는 악성코드는 최근 이력서로 위장한 메일 내용으로 기업들을 타겟으로 하여 LockBit 랜섬웨어 뿐만 아니라 다양한 악성코드로 유포되고 있다. 각 기업에서는 백신 최신 업데이트 뿐 아니라 사용자의 각별한 주의가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단]
- Trojan/Win.Generic.R553808 (2023.01.25.03)
- Ransomware/Win.LockBit.R487041 (2022.04.22.01)
[행위 진단]
- Ransomware/MDP.Command.M1751
[IOC 정보]
- 6a98b2b6e37c7c92368548e902e9a139
- cfbc3e71c945dd9918f0013acb652cbd
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보