ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다.
1. AweSun 취약점 공격
Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1]
AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin 취약점을 악용한 동일한 공격자라는 사실과 AweSun 프로세스의 자식 프로세스로 생성된 파워쉘에 의해 Sliver C2가 설치되었다는 점을 통해 해당 공격 또한 취약점 공격인 것을 추정할 수 있다. 그리고 현재 v2.0 이상인 최신 버전의 AweSun.exe와 비교해서 공격에 사용된 AweSun은 수 년 전에 배포된 v1.5, v1.6 버전이 사용되었다.
이외에도 공격에 사용된 명령을 보면 이전 Sunlogin 취약점에서 사용된 PoC와 유사하게 다음과 같이 ping 명령이 포함된 공격 명령을 확인할 수 있다. 현재 해당 주소에서 다운로드는 불가하지만 URL의 형태를 보면 코발트 스트라이크를 설치하는 명령으로 추정된다.
공격자는 AweSun에 대한 취약점 공격을 Sunlogin 취약점 공격과 함께 사용하는 것으로 보인다. 위에서 언급한 Sliver나 BYOVD 악성코드, XMRig 코인 마이너 모두 두 개의 취약점 공격에서 동일하게 확인된다.
여기에서는 해당 취약점 공격의 최신 사례로서 Paradise 공격 사례를 다룬다. 다음은 자사 ASD(AhnLab Smart Defense) 로그이며, AweSun 프로세스에 의해 생성된 cmd 및 파워쉘을 통해 “DP_Main.exe” 즉 Paradise 랜섬웨어가 설치된 것을 확인할 수 있다.
- Paradise 랜섬웨어 다운로드 주소 : hxxps://upload.paradisenewgenshinimpact[.]top/DP_Main.exe
2. Paradise 랜섬웨어 분석
AweSun 취약점 공격으로 설치되는 Paradise는 닷넷으로 개발된 RaaS (Ransomware as a Service) 유형의 랜섬웨어로서 2017년부터 확인되기 시작했다. [2]
| 개요 | 설명 |
|---|---|
| 암호화 방식 | RSA-1024 / RSA-1024 |
| 암호화 제외 경로 | “windows”, “firefox”, “chrome”, “google”, “opera”, “%APPDATA%\DP\”(설치 경로) |
| 확장자 | [id-EaObwi8A].[main@paradisenewgenshinimpact.top].honkai |
| 랜섬노트 | DECRYPT MY FILES#.html |
| 기타 | Run 키 등록. 볼륨 쉐도우 서비스 제거 |
Paradise는 다양한 설정 파일을 이용한다. 먼저 암호화가 완료될 경우 “%APPDATA%DP\welldone.dp” 파일을 생성하며, 만약 현재 해당 파일이 존재할 경우에는 암호화 단계를 건너띄고 랜섬노트를 보여준다. Paradise는 관리자 권한으로 시스템을 암호화하기 때문에 현재 관리자 권한으로 실행되지 않은 경우에는 관리자 권한으로 다시 시작하는데 이때 “%APPDATA%DP\RunAsAdmin.dp” 파일이 사용된다. PCID는 감염 시스템을 의미하는 값으로서, 현재 경로에 생성하는 “id.dp” 파일에 저장된다. PCID는 이후 랜섬노트와 C&C 서버에 감염 정보를 전달할 때도 사용된다.
| 설정 파일 | 설명 |
|---|---|
| %APPDATA%DP\welldone.dp | 암호화 행위 완료 여부 |
| %APPDATA%DP\RunAsAdmin.dp | 관리자 권한 실행 여부 |
| 현재 경로\id.dp | PCID |
| %USERPROFILE%\documents\DecryptionInfo.auth %PROGRAMFILES%\DP\DecryptionInfo.auth | RSA Private Key(Masater RSA Public Key로 암호화), RSA Public Key |
Paradise는 1024 bit RSA 키를 생성하고 해당 키를 이용해 파일을 암호화한다. 파일 복호화에 필요한 RSA Private Key는 설정 데이터에 저장되어 있는 공격자의 Master RSA Public Key를 이용해 암호화한다.
설정 파일 중 “DecryptionInfo.auth”에는 생성한 RSA Public Key와 공격자의 Master RSA Public Key로 암호화한 RSA Private Key가 저장되어 있다.
암호화 제외 경로는 폴더 경로를 기준으로 하는데, “windows”, “firefox”, “chrome”, “google”, “opera” 그리고 “%APPDATA%\DP\” 즉 설정 경로를 제외한 모든 경로를 대상으로 한다. Pradise 랜섬웨어만의 특징이 있다면 전체 경로들 중에서도 “mysql”, “firebird”, ” mssql”, “microsoft sql”, “backup” 경로를 암호화 대상에서 높은 우선순위로 둔다는 것이다.
이외에도 %APPDATA%DP\DP_Main.exe에 복사한 후 Run Key에 등록하거나, 다음 명령을 이용해 볼륨 쉐도우 서비스를 제거하는 기능이 존재한다.
“cmd.exe” /C sc delete VSS
암호화가 끝나면 Paradise는 PCID, 컴퓨터 이름과 같은 기본적인 정보와 암호화된 파일의 수량, 암호화에 걸린 시간 등의 정보를 C&C 서버에 전달한다.
| 항목 | 설명 |
|---|---|
| v | vector (하드코딩) |
| fc | 암호화 파일 수량 |
| computer_name | 컴퓨터 이름 |
| et | 암호화에 걸린 시간 |
| decryption_info | RSA Private Key(Masater RSA Public Key로 암호화) |
| id | PCID |
최종적으로 랜섬노트를 실행하여 사용자에게 랜섬웨어가 감염된 사실을 알린다. 랜섬노트에는 접촉을 위한 이메일 주소와 비트코인 지갑 주소가 포함되어 있다.
- 비트코인 지갑 주소 : 392vKrpVxMF7Ld55TXyXpJ1FUE8dgKhFiv
- 공격자의 이메일 주소 : main@paradisenewgenshinimpact.top
3. 결론
최근 패치되지 않은 취약한 소프트웨어를 대상으로 Paradise 랜섬웨어를 포함한 다양한 악성코드들을 설치하는 사례들이 확인되고 있다. 사용자들은 설치된 소프트웨어를 최신 버전으로 패치하여 취약점 공격을 사전에 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Trojan/Win.Agent.C4590824 (2021.08.15.00)
행위 진단
– Execution/MDP.Powershell.M1185
– Execution/MDP.Powershell.M2514
– Persistence/MDP.AutoRun.M224
– Ransom/MDP.Decoy.M1171
IOC
MD5
– 5cbbc1adfd22f852a37a791a2415c92c
다운로드 주소
– hxxps://upload.paradisenewgenshinimpact[.]top/DP_Main.exe
C&C
– hxxp://upload.paradisenewgenshinimpact[.]top:2095/api/Encrypted.php
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보