AhnLab Security Emergency response Center(ASEC)에서는 LokiLocker 랜섬웨어가 국내 유포 중 임을 확인하였다. 해당 랜섬웨어는 BlackBit 랜섬웨어와 매우 유사한 형태이며 이전 블로그에서도 유사함이 언급된 바 있다. 유사점을 간추리면 다음과 같다.
LokiLocker 랜섬웨어와 BlackBit 랜섬웨어의 유사점
- svchost.exe 위장
- 동일 난독화 도구 사용 (닷넷 리액터)
- 작업스케줄러 및 레지스트리 등록 (악성코드 지속성)
- 랜섬노트 및 암호화 후 변경되는 파일 아이콘 이미지
svchost.exe 위장
지난번 소개한 BlackBit 랜섬웨어의 경우에도 svchost.exe를 위장하였으며, 이번에 수집한 LokiLocker 랜섬웨어도 동일하게 svchost.exe를 위장하여 유포되는 특징이 있다.
동일 패커 사용 (닷넷 리액터)
분석을 방해하기 위해 닷넷 리액터를 활용하여 코드 난독화가 되어있다. 언패킹한 BlackBit 랜섬웨어를 보면, LokiLocker 랜섬웨어에서 파생된 악성코드인 점을 확인할 수 있다.
작업스케줄러 및 레지스트리 등록 (악성코드 지속성)
행위적 측면에서도 유사한 점을 확인할 수 있다. 아래 그림을 보면, LokiLocker 랜섬웨어는 암호화 이전에 “Loki”로 작업 스케줄러 등록 및 레지스트리 등록을 수행한다. 또한, 암호화 행위 이전에 랜섬노트를 생성하는 특징이 있다. 이후에는 복구 방지를 위한 볼륨쉐도우 삭제 및 정보 유출과 탐지 방해를 위한 목적의 행위를 수행한다.
랜섬노트 및 암호화 후 변경되는 파일 아이콘 이미지
최종적으로 감염시, LokiLocker 랜섬웨어는 각 감염 경로 폴더에 Restore-My-Files.txt명의 랜섬노트를 생성하고 아래와 같이 랜섬 노트를 띄운다. 확인되는 랜섬노트와 감염 파일의 아이콘 역시 BlackBit 랜섬웨어와 굉장히 유사한 것을 확인할 수 있다.
안랩 V3 제품에서는 파일 진단, 행위 기반 진단 등을 포함하여 다양한 탐지 포인트로 LokiLocker 랜섬웨어를 탐지 및 대응하고 있다. 랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신 최신 업데이트가 필요하다. 해당 악성코드에 대해 자사 V3에서는 아래와 같이 진단 중이다.
[파일 진단]
Ransomware/Win.Loki.C5421356 (2023.05.03.00)
[행위 진단]
Ransom/MDP.Delete.M2117
[IOC]
d03823a205919b6927f3fa3164be5ac5
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보