RDP를 통해 유포 중인 GlobeImposter 랜섬웨어 (with MedusaLocker)

ASEC(AhnLab Security Emergency response Center)은 최근 GlobeImposter 랜섬웨어가 활발하게 유포되고 있는 것을 확인하였다. 해당 공격은 MedusaLocker 공격자들에 의해 이루어지고 있다. 구체적인 경로는 확인할 수 없었지만 감염 로그에서 확인되는 다양한 근거들을 통해 공격이 RDP를 통해 유포되고 있는 것으로 추정하고 있다.

공격자는 GlobeImposter 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였으며, 이를 이용해 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 것으로 보인다.

1. RDP를 이용한 랜섬웨어 설치

RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝한다. 스캐닝 과정에서 찾은 시스템들에 대해서는 무차별 대입 공격이나 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우 공격자는 쉽게 계정 정보를 획득할 수 있다.

공격자가 획득한 계정 정보로 원격 데스크탑을 이용해 시스템에 로그인할 경우 해당 시스템에 대한 제어를 획득할 수 있기 때문에 이후 다양한 악성 행위를 수행할 수 있다. GlobeImposter를 설치한 공격자들도 RDP를 공격 벡터로 사용한 것으로 추정된다. 각각의 사례들에 대해서는 뒤에서 상세하게 다루겠지만 근거는 다음과 같다.

A. 탐색기 프로세스(explorer.exe)에 의해 악성코드 생성
B. RDP 관련 설정 및 로그 삭제
C. RDP를 공격 벡터로 사용하는 MedusaLocker 랜섬웨어 공격자와의 연관성

공격자는 주로 “음악” 폴더 내에 “skynet work”라는 폴더를 생성한 후 해당 경로에 악성코드들을 설치한다. 해당 랜섬웨어 공격은 작년부터 꾸준히 이루어지고 있으며 최근까지도 동일한 경로를 사용하는 것이 특징이다. 다음은 과거 동일한 공격자의 공격 사례에서 확인된 로그로서 탐색기 프로세스 즉 explorer.exe가 악성코드를 생성하는 것을 확인할 수 있다. 이러한 행위는 RDP를 통해 연결한 시스템에 악성코드를 설치할 때와 동일하기 때문에 RDP가 공격 벡터로 사용되었다는 추정의 근거로 여겨진다.

이외에도 MedusaLocker 공격자와의 연관성도 존재한다. 최근 미국의 보건복지부에서는 MedusaLocker 랜섬웨어 공격자들이 RDP를 이용해 랜섬웨어를 감염시키고 있다는 보고서를 발표한 바 있다. [1] MedusaLocker 공격 그룹은 과거부터 RDP를 공격 벡터로 사용하고 있으며 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)에서도 관련 정보를 공개하였다. [2]

중요한 점은 최근 공격에 사용되고 있는 GlobeImposter 랜섬웨어의 랜섬노트에서 확인되는 이메일 주소와 onion 주소가 과거 CISA에서 공개한 MedusaLocker 공격 그룹이 사용하는 목록에 포함된다는 점이다.

그리고 다수의 로그들을 조사하던 중 몇몇 랜섬웨어 공격 사례에서 GlobeImposter와 MedusaLocker가 함께 사용된 사례도 확인되었다. 즉 MedusaLocker 랜섬웨어 공격자들은 RDP를 주요 공격 벡터로 사용하여 부적절하게 관리되고 있는 시스템들을 대상으로 공격을 수행하고 있으며, 최근에는 공격에 MedusaLocker 대신 GlobeImposter 랜섬웨어를 주로 사용하고 있다는 것을 알 수 있다.

2. 공격 과정에서 사용되는 악성코드들

Figure 1.에서 보이듯이 공격자는 다양한 악성코드들을 감염 시스템에 설치한다. 설치되는 도구들은 주로 스캐너 및 계정 정보 탈취 도구들이다. 이를 통해 감염 시스템 외에 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 점을 추정할 수 있다.

• advanced_port_scanner.exe, advanced_port_scanner_2.5.3869.exe : 포트 스캐너
• “kamikadze new” 폴더 내의 파일들 : 미미카츠
• netpass (1).exe : NirSoft 사의 Network Password Recovery 도구
• networkshare_pre2.exe : 공유 폴더 스캐너

공격자는 RDP로 시스템을 장악한 이후 위의 도구들을 이용해 네트워크를 스캐닝하여 감염 시스템이 특정 네트워크에 포함되었는지를 확인할 것이다. 만약 특정 네트워크에 포함된 경우에는 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집 그리고 측면 이동 과정을 진행할 수 있다.

다음은 자사 ASD(AhnLab Smart Defense) 인프라에서 확인된 로그로서 공격자가 공격에 사용한 미미카츠 명령이다. sekurlsa::logonpasswords 명령은 현재 시스템의 메모리에 저장되어 있는 확인 가능한 모든 계정 정보들을 출력해 주며 이를 도메인 환경에서 이렇게 획득한 계정 정보는 측면 이동에 사용될 수 있다.

공격자는 랜섬웨어 외에 XMRig 코인 마이너도 함께 설치하는 경우가 있는데, Figure 1.에서 확인되는 Miners.exe가 그것이다. 즉 MedusaLocker 공격자들은 랜섬웨어들을 이용해 감염 시스템을 암호화시키기도 하지만 XMRig를 설치하여 코인을 채굴하기도 한다.

• Mining Pool : pool.supportxmr[.]com:3333
• User : 49c2xjofxbxkydovzvfart2ekruhe6wiep55xcjaogaq1dugduyzgxphd1zx6j21nvv5emtupnfr39sulbp1ggczqwfzjmc
• Password : x

3. GlobeImposter

“Skynet work” 폴더 내의 ols.exe 파일은 GlobeImposter 랜섬웨어이다. GlobeImposter는 파일 암호화에는 AES 대칭키 알고리즘을, 암호화에 사용된 키는 RSA 공개키 / 개인키 알고리즘을 사용하는 랜섬웨어다. [3]

GlobeImposter는 실행 시 새로운 RSA-1024 공개키 / 개인키 쌍을 생성한 후 RSA 공개키를 이용해 파일 암호화에 사용되는 AES 키를 암호화한다. 생성된 RSA 개인키는 공격자의 RSA 공개키로 암호화하는데, 해당 키는 바이너리에 암호화되어 존재한다. RSA 공개키는 다음과 같이 하드코딩된 AES 키로 복호화 할 수 있다.

GlobeImposter는 지속성 유지를 위해 먼저 자신을 %LOCALAPPDATA% 경로에 복사한 후 RunOnce 키에 등록하여 재부팅 이후 동작할 수 있도록 설정한다. 그리고 공격자의 개인키에 대한 SHA256 해시 값을 이름으로 하는 파일을 %PUBLIC% 경로에 생성한 후 키 정보를 암호화하여 저장한다.

이후 시스템 내의 파일들을 암호화하는데, 암호화 제외 대상의 경로와 확장자 목록 같은 설정 데이터들은 AES 키로 암호화되어 있다. 참고로 설정 데이터를 복호화 하는데 사용되는 AES 키는 위와 동일하게 공격자의 개인키에 대한 SHA256 해시 값이다. 다음은 복호화 과정을 통해 획득한 암호화 제외 경로 및 암호화 제외 확장자들의 목록이다.

파일 암호화 과정이 완료되면 다음과 같은 Batch 파일을 생성하여 실행한다. Batch 파일은 볼륨 섀도우 복사본과 로그를 삭제하는 기능을 담당한다. 삭제되는 로그에는 이벤트 로그와 RDP 관련 로그가 있다. 이를 통해 랜섬웨어 공격은 RDP를 통해 이루어지며 공격자가 자신의 접속 기록을 제거하기 위한 목적으로 랜섬웨어에 이러한 기능을 추가한 것으로 보인다.

랜섬노트는 감염이 이루어진 폴더에 “how_to_back_files.html”라는 이름으로 생성된다. 랜섬노트 또한 기존에 알려진 GlobeImposter의 랜섬노트와 다르며, 과거 Carbon Black에서 공개한 보고서에서 확인된 MedusaLocker의 랜섬노트와 동일한 것이 특징이다. [4]

4. 결론

공격자들은 과거부터 꾸준히 초기 침투 과정 및 측면 이동 과정에서 RDP를 사용하고 있다. 이러한 공격은 주로 부적절한 계정 정보를 가지고 있는 시스템들에 대한 무차별 대입 공격 및 사전 공격을 통해 이루어진다. 특히 MedusaLocker 공격자들 외에도 많은 수의 랜섬웨어 공격자들이 RDP를 대표적인 초기 공격 벡터로써 사용하고 있다.

사용자들은 RDP를 사용하지 않을 경우 비활성화하여 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Ransomware/Win.MedusaLocker.R335910 (2022.11.23.00)
– Trojan/Win32.FileCoder.R228072 (2018.05.16.01)
– Trojan/Win32.RL_CoinMiner.C4078402 (2020.04.25.01)
– Trojan/Win32.RL_CoinMiner.C4078402 (2020.04.25.01)
– Trojan/Win32.RL_Mimikatz.R366782 (2021.02.18.01)
– Trojan/Win.Mimikatz.R433236 (2021.07.23.01)
– Trojan/Win.Mimikatz.R434976 (2021.07.31.01)
– HackTool/Win.Scanner.C5310311 (2022.11.21.03)
– HackTool/Win.Scanner.C5310305 (2022.11.21.03)
– Trojan/Win.Mimikatz.R433236 (2021.07.23.01)
– Trojan/RL.Mimikatz.R248084 (2018.12.10.01)
– Unwanted/Win32.Agent.R266440 (2019.04.23.00)
– HackTool/Win.PSWTool.R345815 (2022.09.02.00)

행위 진단
– Persistence/MDP.AutoRun.M224
– Ransom/MDP.Event.M4428

IOC
MD5
– 715ddf490dbaf7d67780e44448e21ca1: GlobeImposter 랜섬웨어 (ols.exe)
– 646698572afbbf24f50ec5681feb2db7: MedusaLocker 랜섬웨어 (olm.exe)
– 70f87b7d3aedcd50c9e1c79054e026bd: XMRig 코인 마이너 (Miners.exe)
– f627c30429d967082cdcf634aa735410: NirSoft 사의 Network Password Recovery (netpass (1).exe)
– 597de376b1f80c06d501415dd973dcec: 공유 폴더 스캐너 (networkshare_pre2.exe)
– 4fdabe571b66ceec3448939bfb3ffcd1: 포트 스캐너 (advanced_port_scanner.exe)
– 6a58b52b184715583cda792b56a0a1ed: 포트 스캐너 (Advanced_Port_Scanner_2.5.3869.exe)
– 4edd26323a12e06568ed69e49a8595a5: 미미카츠 (mimik.exe)
– a03b57cc0103316e974bbb0f159f78f6: 미미카츠 (mimispool.dll)
– ddfad0d55be70acdfea36acf28d418b3: 미미카츠 (mimilib.dll)
– 21ea77788aa2649614c9ec739f1dd1b8: 미미카츠 (mimikatz.dll)
– 5e1a53a0178c9be598edff8c5170b91c: 미미카츠 (86.exe)
– bb8bdb3e8c92e97e2f63626bc3b254c4: 미미카츠 (64.exe)

C&C
– hxxp://46.148.235[.]114/cmd.php : XMRig 코인 마이너

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.