BlackBit 랜섬웨어 국내 유포 중

AhnLab Security Emergency response Center(ASEC)에서는 모니터링 중 svchost.exe로 위장한 BlackBit 랜섬웨어가 유포중인 것을 확인하였다. ASEC 내부 인프라를 통해 확인한 결과, BlackBit 랜섬웨어는 작년 9월경부터 유포되기 시작하여 현재까지 유포되고 있는 것으로 확인되었다.

BlackBit 랜섬웨어는 닷넷 리액터를 활용하여 코드 난독화가 되어있는데, 이러한 형태는 분석을 방해하기 위함으로 추정된다. 실제 동작하는 랜섬웨어는 LokiLocker 랜섬웨어와 유사한 특징을 확인할 수 있다.

BlackBit 랜섬웨어는 암호화 행위 수행 이전에 아래와 같은 여러 준비 작업을 수행한다.

지속성

악성코드의 지속성을 위해 자기 자신을 winlogin.exe의 파일명으로 시작 프로그램 경로와 %AppData%경로에 복사한 뒤, 작업 스케줄러 등록을 수행한다. 또한, 작업관리자를 통한 프로세스 종료를 방해하기 위해 BAT 파일을 활용하여 관련 레지스트리를 등록한다.

  • “C:\Windows\System32\cmd.exe” /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR C:\Users\rapit\AppData\Roaming\winlogon.exe /RU SYSTEM /RL HIGHEST /F
  • REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f

복구방지

위와 같은 지속성 유지를 위한 기능이 끝나면 랜섬웨어는 파일 암호화 이전 복구를 방해하기 위해 Recycle.bin에 존재하는 파일 삭제 및 볼륨쉐도우 삭제와 같은 행위를 수행한다.

  • vssadmin delete shadows /all /quiet
  • wbadmin DELETE SYSTEMSTATEBACKUP
  • wmic shadowcopy delete
  • wbadmin delete catalog -quiet
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no

정보유출

또한, 네트워크 설정 변경과 Windows Defender를 종료하여 정보 유출과 탐지를 방해하기 위한 행위를 수행한다.

  • netsh advfirewall set currentprofile state off
  • netsh firewall set opmode mode=disable
  • Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
  • Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection
  • Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable
  • Set registry value HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware

프로세스 종료

BlackBit 랜섬웨어는 아래와 같은 프로세스를 종료하는 특징도 확인할 수 있다. VM 환경에 대한 검사 및 암호화 대상의 범위를 확장하려는 의도로 추정된다.

  • wxserverview
  • qbcfmonitorservice
  • qbidpservice
  • fdlauncher
  • zhudongfangyu
  • vmware-usbarbitator64
  • vmware-converter
  • sqlbrowser
  • mydesktopqos
  • isqlplussvc
  • xfssvccon
  • mydesktopservice
  • ocautoupds
  • firefoxconfig
  • tbirdconfig
  • mysqld-nt
  • mysqld-opt
  • sqbcoreservice
  • thunderbird
  • culserver
  • quickboooks.fcs
  • zhundongfangyu
  • mssqlserver
  • mssql$contoso1
  • sqlserveragent

위 과정이 모두 진행되고, 파일 암호화가 진행된다. 이 후, BlackBit 랜섬웨어는 각 감염 경로 폴더에 Restore-My-Files.txt를 생성하고 아래와 같은 랜섬 노트를 띄운다.

안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 BlackBit 랜섬웨어를 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.

[파일 진단]

Trojan/Win.Avkiller.C5402891 (2023.03.30.01)

[행위 진단]

Malware/MDP.Behavior.M29
Ransomware/MDP.Delete.M2117

[IOC]

3a7c3e8a378cd7a4fd83910937c23b19

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments