AhnLab EDR을 활용한 Play 랜섬웨어 공격 사례 탐지

Play 랜섬웨어는 Balloonfly 또는 PlayCrypt라고도 불리며 2022년 6월 최초로 확인된 이후 현재까지 전 세계에서 300개 이상의 조직을 공격한 것으로 알려져 있다. 파일 암호화 이후 “.PLAY” 확장자를 추가하는 것이 특징이며 최근까지도 활발하게 활동하고 있다. 다른 랜섬웨어 공격자들과 동일하게 시스템들을 암호화하기 전에 정보를 탈취하여 피해자를 협박하며 웹 사이트에서 공격당한 업체의 리스트들을 공개한다.

Figure 1. 공개된 기업 정보

Palo Alto Networks사의 Unit42의 보고서에 따르면 Play 랜섬웨어와 Andariel 그룹과의 협력 관계가 확인되기도 하였다. 해당 사례에서는 Andariel 그룹이 Sliver 및 DTrack이라는 이름의 악성코드를 악용해 정보를 탈취한 후 동일한 공격 인프라를 통해 Play 랜섬웨어 공격이 이루어졌다. 참고로 Andariel 그룹은 과거에도 SHATTEREDGLASS와 Maui라는 랜섬웨어를 공격에 사용하기도 하였다. [1] [2]

초기 침투 방식으로는 유효한 계정을 악용하거나 노출된 서비스의 취약점을 공격하는 것으로 알려져 있다. 대표적으로 MS 익스체인지 서버의 ProxyNotShell취약점(CVE-2022-41040, CVE-2022-41082)이나 FortiOS의 CVE-2020-12812, CVE-2018-13379 취약점이 확인된다.

여기에서는 Play 랜섬웨어 공격자의 알려진 공격 방식들을 소개하고 최초 침투 이후 조직을 장악해가는 과정에서 확인되는 공격 기법들에 대해 AhnLab EDR을 활용해 탐지하는 방식들을 다룬다. [3] [4] [5]

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

Figure 2. AhnLab EDR 제품

 

1. Discovery

공격자들은 포트 스캐닝을 통해 특정 네트워크 즉 공격 대상 도메인에서 현재 활성화된 시스템 및 포트 번호 즉 동작 중인 서비스의 정보를 획득할 수 있다. 이러한 네트워크 탐색 과정을 통해 서브넷 정보, 호스트 정보 등 네트워크의 구조를 확인한다. Play 랜섬웨어 공격자는 네트워크 정보를 수집하는 과정에서 NetScan 도구를 활용하는 것으로 알려져 있다.

이후 도메인 컨트롤러나 도메인 트러스트 관계처럼 현재 네트워크 상의 액티브 디렉터리(Active Directory) 정보를 수집한다. 여기에는 윈도우 기본 도구인 Nltest를 활용할 수 있으며 가장 대표적인 도구인 AdFind를 설치하기도 한다. 공격자는 AdFind의 결과를 활용해 도메인 환경의 구조를 파악하고 측면 이동을 위한 공격 대상을 식별할 수 있다.

마지막으로 BloodHound도 사용되는 것으로 알려져 있는데 BloodHound는 액티브 디렉터리 도메인 관련 정보를 수집하여 권한 상승을 위한 공격 경로를 찾아주는 기능을 제공하는 도구이다. GUI 기반으로 모델링 한 결과를 보여주는데 공격자가 도메인 내에서 도메인 관리자 권한을 얻기 위한 최소 경로를 그래프 형태로 시각화하여 보여준다.

Figure 3. Discovery 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지

 

2. Privilege Escalation

공격자는 권한 상승 단계에서 깃허브에 공개된 오픈 소스 도구인 Windows Privilege Escalation Awesome Scripts (WinPEAS)를 사용하는 것으로 알려져 있다. WinPEAS는 시스템의 구성, 사용자 계정, 파일 권한 등 다양한 정보들을 수집하고 권한 상승에 활용 가능한 취약점과 잘못된 설정을 탐지하는 도구로서 공격자는 출력된 결과물을 활용해 관리자 권한을 획득할 수 있다.

Figure 4. Privilege Escalation단계에서 사용되는 WinPEAS에 대한 EDR 탐지

 

3. Credential Access

조직의 인프라가 액티브 디렉터리를 사용하는 환경인 경우 공격자는 위의 Discovery 과정을 거쳐 도메인 환경의 정보를 수집하고 자격 증명 정보를 탈취한 후 이를 기반으로 측면 이동하여 최종적으로 도메인 환경을 장악할 수 있다.

공격자는 이를 위해 Mimikatz를 사용하거나 작업 관리자(taskmgr.exe)를 악용한 것으로 알려져 있다. 미미카츠는 윈도우 운영체제 환경에서 자격 증명 정보를 추출하는 기능을 갖는 프로그램이다. 오픈 소스 프로젝트로서 깃허브에 공개되어 있기 때문에 공격자들이 애용하고 있으며, 지원하는 기능들 중에는 LSASS 프로세스의 메모리에 저장되어 있는 NT Hash(NTLM 인증 프로토콜에서 사용하는 해시)를 추출하는 방식이 존재한다.

하지만 이러한 메모리 덤프 행위는 보안 제품들에 의해 의심스러운 행위로 간주되며 미미카츠와 같이 의심스러운 도구들은 보안 제품들의 주요한 탐지 대상이 되고 있다. 이를 우회하기 위한 방식으로 작업 관리자를 악용하는 방식이 있는데 작업 관리자가 현재 실행 중인 프로세스의 목록 조회 및 제어와 같은 기능들뿐만 아니라 실행 중인 프로세스에 대한 메모리 덤프를 생성하는 기능을 악용하는 것이다. 작업 관리자를 통해 생성된 LSASS 프로세스의 덤프는 추후 다른 분석 도구를 이용해 분석되어 필요한 정보를 추출할 수 있다.

Figure 5. Credential Access 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지

 

4. Command and Control

감염 시스템을 제어하는 단계에서는 주로 Cobalt Strike 및 Empire가 활용되는 것으로 알려져 있다. 이러한 유형은 악성코드로서 V3 제품에서 탐지 및 차단이 가능하다. 하지만 Play 랜섬웨어 공격자는 AnyDesk를 활용해 감염 시스템을 제어하기도 한다.

AnyDesk와 같은 원격 관리 도구들은 원격 제어 및 관리를 위한 정상적인 목적으로 사용하는 경우가 많으며 이에 따라 AntiVirus 제품에서 이를 단순하게 탐지하고 차단하는 데 한계가 존재한다. 공격자들은 이러한 점을 악용하며 실제 AnyDesk뿐만 아니라 GotoHTTP, RustDesk, Atera 등의 도구들이 악용된다. AhnLab EDR은 사용자가 원격 제어를 위해 정상적인 목적으로 원격 제어 도구들을 사용하는 행위에 대해서도 관련 정보를 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다.

공격자들은 직접적으로 C&C 서버와 통신하기도 하지만 프록시 도구들을 설치하기도 한다. 이는 감염 시스템이 사설 네트워크 즉 NAT 환경 내부에 존재할 경우 외부에서 접근이 불가하여 이러한 시스템을 외부에 노출시켜 주는 목적으로 주로 사용된다. Play 랜섬웨어 공격자도 Plink를 공격에 사용한 것으로 알려져 있는데, Plink는 PuTTY 도구 모음의 일부로서 SSH(Secure Shell) 클라이언트이다. 주로 명령 줄 기반으로 작동하며 원격 서버에 SSH 연결을 설정하거나 포트 포워딩을 수행하는 데 사용된다.

 

Figure 6. Command and Control 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지

 

5. Lateral Movement

공격자들은 Credential Access 단계에서 수집한 자격 증명 정보를 활용해 측면 이동하여 조직의 내부망을 장악해 나갈 수 있다. Cobalt Strike는 감염 시스템을 제어할 뿐만 아니라 정보 수집, 자격 증명 정보 탈취, 측면 이동 등 다양한 기능들을 제공한다. Play 랜섬웨어 공격자 또한 측면 이동 과정에서 Cobalt Strike의 SMB 비컨을 활용한 것으로 알려져 있다.

많은 수의 침해 사고에서는 Cobalt Strike뿐만 아니라 PsExec이라는 도구가 측면 이동 과정에서 악용된다. PsExec은 Microsoft사의 Sysinternals 도구 중 하나로 원격 시스템에서 명령을 실행할 수 있게 해주는 도구이다. 하지만 공격자가 Credential Access 단계에서 수집한 자격 증명 정보를 활용할 경우 네트워크 상의 다른 시스템에서 악성 명령이나 페이로드를 실행하는 방식으로 악용될 수 있다.

Figure 7. Lateral Movement 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지 [6]

 

6. Defense Evasion

일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 이에 따라 공격자들은 최초 침투 이후 설치되어 있는 보안 제품을 비활성화하려고 시도하는 경향이 많다. 공격자들은 여러 도구들을 이용해 보안 제품을 비활성화하려고 시도한다. 문제는 이러한 과정에서 사용되는 도구들이 악성코드가 아니라 실제 정상적인 목적에서도 사용 가능한 도구들이 많다는 점이다.

예를 들어 공격자들은 Process Hacker와 같은 도구들을 사용해 보안 제품을 비활성화시키는 경우가 많다. 이러한 도구들은 정상적인 목적으로도 자주 사용되는 도구들이기 때문에 AntiVirus에서 탐지하고 차단하는데 어려움이 존재한다. 실제 Play 랜섬웨어 공격자들도 Defense Evasion 단계에서 Process Hacker 외에도 GMER, IOBit Uninstaller를 악용하는 것으로 알려져 있다.

Process Hacker는 현재 실행 중인 프로세스들의 목록을 보여주고 관련 정보 조회 및 프로세스 제어와 같은 다양한 기능들을 제공하는 도구이며, GMER는 은폐된 프로세스, 서비스, 파일, 레지스트리, 드라이버를 찾아주는 Anti Rootkit 도구이다. IOBit Uninstaller는 이름처럼 컴퓨터에 설치된 프로그램들을 조회한 후 선택한 프로그램을 삭제해 주는 도구이다. 이러한 도구들은 침해 사고에서 자주 사용되는 대표적인 유형들로서 AhnLab EDR은 공격에 사용된 도구들을 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 8. Defense Evasion 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지

 

7. Collection / Exfiltration

Play 랜섬웨어 공격자 또한 다른 랜섬웨어 공격자들처럼 조직의 시스템들을 암호화할 뿐만 아니라 그 이전에 정보들을 탈취하고 협박에 활용한다. 공격자들은 제어를 탈취한 시스템들에서 조직의 민감한 정보들을 수집하고 압축한 후 이를 탈취한다.

파일 및 폴더를 압축하는 도구들을 많지만 Play 랜섬웨어 공격자는 주로 WinRAR를 활용하는 것으로 알려져 있으며 압축 파일은 이후 WinSCP를 활용해 탈취하였다.

Figure 9. 정보 탈취 과정에서 사용되는 공격자의 행위들에 대한 EDR 탐지

 

8. Impact

Paly 랜섬웨어는 사용자의 파일들을 암호화한 후 “.PLAY” 확장자를 덧붙이며 “ReadMe.txt”라는 이름의 랜섬노트를 생성한다. 랜섬노트에서는 공격자의 메일 주소와 함께 피해 조직 정보가 소개되는 Play 랜섬웨어 페이지에 대한 Tor 링크가 포함되어 있다.

Figure 10. Play 랜섬웨어에 대한 EDR 탐지

 

9. 결론

Play 랜섬웨어 공격자는 최근까지도 활발하게 활동하고 있는 랜섬웨어 공격자이며 북한의 지원을 받는 것으로 알려진 Andariel 그룹과의 협력 관계에 대한 의심도 받고 있다. 공격자는 취약점을 공격하거나 탈취한 계정을 악용하여 조직에 최초로 침투한 이후 내부망을 장악해가면서 민감한 정보를 수집하고 최종적으로 장악한 시스템들을 암호화한다.

AhnLab EDR은 외부에 알려진 Play 랜섬웨어 공격자의 공격 방식에 대해 각 단계별로 위협을 탐지하여 관리자가 원인을 파악하고 적절한 대응 및 재발 방지 프로세스를 수립할 수 있도록 도와준다. 또한 조직에서 의심스러운 도구가 설치되거나 실행되는 행위에 관한 정보를 주요 행위로 수집해 보여줌으로써 관리자가 의심스러운 행위를 인지하고 대응할 수 있도록 한다.

 

행위 진단
– LateralMovement/EDR.ADFind.M10710
– Infostealer/DETECT.Nltest.M10657
– Execution/EDR.Behavior.M10482
– Escalation/EDR.WinPEAS.M12246
– Execution/EDR.SharpHound.M11547
– CredentialAccess/EDR.Event.M11566
– CredentialAccess/EDR.Mimikatz.M12363
– Execution/DETECT.AnyDesk.M11495
– Execution/DETECT.Plink.M12255
– LateralMovement/EDR.PSExec.M10481
– DefenseEvasion/EDR.GMER.M11645
– DefenseEvasion/DETECT.IObit.M12365
– Execution/DETECT.ProcHacker.M11647
– Infostealer/DETECT.WinRAR.M12364
– Execution/DETECT.WinSCP.M11619
– Ransom/EDR.Decoy.M2470

 

Tactic	Technique
Discovery (TA0007)	Remote System Discovery (T1018) System Owner/User Discovery (T1033) Network Service Discovery (T1046) Permission Groups Discovery: Local Groups (T1069.001) Permission Groups Discovery: Domain Groups (T1069.002) Account Discovery: Local Account (T1087.002) Account Discovery: Domain Account (T1087.002) Domain Trust Discovery (T1482) Group Policy Discovery (T1615)
Credential Access (TA0006)	OS Credential Dumping: LSASS Memory (T1003.001)
Command and Control (TA0011)	Remote Access Software (T1219) Protocol Tunneling (T1572)
Lateral Movement (TA0008)	Lateral Tool Transfer (T1570)
Defense Evasion (TA0005)	Impair Defenses: Disable or Modify Tools (T1562.001)
Collection (TA0009)	Archive Collected Data: Archive via Utility (T1560.001)
Exfiltration (TA0010)	Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1048.003)
Impact (TA0040)	Financial Theft (T1657) Data Encrypted for Impact (T1486)

MITRE ATT&CK 매핑 정보