랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 랜섬웨어를 배포해 시스템들을 암호화하며 복구를 위한 금전을 요구하는 방식으로 수익을 얻었다. 하지만 최근에는 시스템들을 암호화하는 것 외에도 조직의 내부 데이터를 유출한 이후 대가를 지불하지 않을 시 이를 공개하겠다는 협박을 함께 사용하고 있다.
일반적으로 랜섬웨어 공격자들은 데이터들을 수집한 이후 이를 압축하고 외부에 유출한다. 데이터를 유출할 때는 여러 정상 유틸리티들이 사용된다. 파일 암호화에 사용되는 랜섬웨어나 초기 침투 시 사용하는 악성코드들과 달리 굳이 직접 제작하지 않더라도 이미 대용량의 데이터를 안정적으로 전송하는 기능을 지원하는 유틸리티들이 다수 존재하기 때문이다.
수년간 많은 수의 랜섬웨어 공격자들이 활동해 왔지만 데이터 유출 과정에서 사용된 것으로 알려진 도구들은 몇 종류가 대부분을 차지한다. 공격자들은 주로 FTP 프로토콜이나 클라우드를 이용해 데이터를 유출하는데 FTP 방식의 경우 WinSCP, FileZilla가 주로 사용되며 클라우드의 경우 MegaSync 및 Rclone이 자주 사용된다. 이러한 프로그램들은 일반 사용자나 관리자들이 업무나 개인적인 목적으로 사용하는 유명한 도구이다. 즉 기업 내부 시스템에 존재하는 데이터를 유출할 때는 정상 도구들을 사용하기 때문에 AntiVirus 제품 단독으로 이를 완벽하게 차단하는 데에는 한계가 존재한다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
여기에서는 데이터 유출 단계에서 관리자가 이를 인지하고 원인 파악과 적절한 대응을 진행할 수 있도록 공격자들이 주로 사용하는 도구들을 AhnLab EDR을 활용해 탐지할 수 있는 사례들을 다룬다.
1. WinSCP
WinSCP는 클라이언트와 서버 사이의 파일 전송을 지원하는 FTP 클라이언트 도구이다. 무료이면서 FTP뿐만 아니라 FTPS, SFTP, SCP 등 다양한 프로토콜을 지원하기 때문에 일반 사용자들도 자주 사용하는 유명한 FTP 클라이언트 도구들 중 하나이다.
이에 따라 Hive [1], Akira [2], Maze [3] 랜섬웨어 등 다양한 공격자들이 데이터 유출 단계에서 이를 사용했던 사례들이 알려져 있다. AhnLab EDR은 정상 프로그램인 WinSCP를 이용해 정보를 전송하는 행위에 대해 다음과 같이 주요 행위로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.
2. FileZilla
FileZilla 또한 WinSCP처럼 FTP, FTPS, SFPT 프로토콜을 지원하는 FTP 클라이언트 도구로서 대부분의 기능들을 무료로 사용할 수 있어 많은 사용자들이 이를 사용하고 있다.
조직의 내부 데이터를 탈취하는 데 FileZilla를 사용하는 랜섬웨어 공격자들로는 LockBit [4], Conti [5], BlackCat (ALPHAV) [6] 랜섬웨어 공격자들이 있다. AhnLab EDR은 정상 프로그램인 FileZilla를 이용해 정보를 전송하는 행위에 대해 다음과 같이 주요 행위로 탐지하여 관리자가 이를 인지할 수 있도록 도와준다.
3. MegaSync
MEGA는 클라우드 스토리지 서비스를 제공하는 업체이며 대용량의 파일에 대한 업로드/다운로드를 위해 MegaSync라는 클라이언트 프로그램을 지원한다. 랜섬웨어 공격자들은 내부 네트워크를 장악한 이후 탈취한 데이터들을 압축하여 MEGA 클라우드에 업로드하는데 이때 MEGA 클라우드에서 제공하는 MegaSync를 설치하여 업로드하는 사례가 다수 존재한다.
데이터 유출 단계에서 MegaSync를 사용하는 것으로 알려진 랜섬웨어 공격자들로는 Nefilim [7], Money Message [8], Revil [9]이 있다. AhnLab EDR은 정상 프로그램인 MegaSync를 이용해 정보를 전송하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.
4. Rclone
Rclone은 다양한 클라우드 스토리지 서비스들에 대해 파일 전송 기능을 지원하는 프로그램이다. 지원하는 운영체제도 윈도우, 리눅스, 맥 등 대부분의 운영체제들이며 지원하는 클라우드 서비스도 Dropbox, 구글 드라이브, 마이크로소프트 원 드라이브, MEGA 클라우드 등 대부분을 지원하는 것이 특징이다. 공격자들은 업로드에 사용할 클라우드 서비스와 계정 정보를 설정 파일에 저장한 후 다음과 같은 명령으로 유출할 데이터를 업로드한다. [10]
Rclone이 다양한 클라우드 서비스를 지원하다 보니 위에서 다룬 다른 도구들보다 훨씬 많은 공격자들 및 공격 사례에서 사용되는 경향이 있다. 위에서 다룬 Revil, Conti, Akira, BlackCat 외에도 BlackBasta [11], Cactus [12], DarkSide [13], Royal [14] 랜섬웨어 공격자들이 Rclone을 사용한 사례들이 확인된다. AhnLab EDR은 정상 프로그램인 Rclone을 이용해 정보를 전송하는 행위에 대해 다음과 같이 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.
5. 결론
랜섬웨어 공격자들은 조직의 내부 네트워크를 장악한 이후 시스템들을 암호화하기 전에 내부 데이터를 탈취하여 협박에 사용하고 있다. 공격자들은 내부 데이터 유출 과정에서 주로 WinSCP, FileZilla, MegaSync, Rclone과 같은 도구들을 사용한다. 이러한 도구들을 많은 수의 사용자들이 정상적인 목적으로 사용하고 있는 도구들이다. 이에 따라 이러한 도구들을 AntiVirus 단독으로 탐지하거나 차단하는 데에는 어려움이 존재한다.
AhnLab EDR은 내부 데이터 유출 과정에서 사용되는 정상 도구들을 위협 및 주요 행위로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다. 관리자는 이를 통해 원인 파악과 적절한 대응을 진행할 수 있으며 랜섬웨어 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로서 침해 사고 조사에 필요한 데이터를 확인할 수 있다.
행위 진단
– Execution/DETECT.WinSCP.M11619
– Execution/DETECT.FileZilla.M11618
– Execution/EDR.Behavior.M10486
– Infostealer/EDR.Rclone.M11475
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지