국내 공격 사례에서 확인된 Makop 랜섬웨어
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 사용자를 대상으로 한 Makop 랜섬웨어 공격 사례를 확인하였다. Makop 랜섬웨어는 수년 전부터 국내 사용자들을 대상으로 이력서나 저작권 관련 메일로 위장하여 유포되었으며 최근에는 RDP를 악용해 공격하고 있는 것으로 알려졌다.
1. RDP를 이용한 악성코드 설치
RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝한다. 스캐닝 과정에서 찾은 시스템들에 대해서는 무차별 대입 공격이나 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우 공격자는 쉽게 계정 정보를 획득할 수 있다.
공격자가 획득한 계정 정보로 원격 데스크탑을 이용해 시스템에 로그인할 경우 해당 시스템에 대한 제어를 획득할 수 있기 때문에 이후 다양한 악성 행위를 수행할 수 있다. RDP를 공격하는 랜섬웨어 공격자들로는 Phobos [1], GlobeImposter, MedusaLocker [2], Hakuna matata [3], Venus, Crysis [4] 등이 있다.
2024년부터는 RDP를 공격해 Makop 랜섬웨어를 설치하는 사례도 보고되었다. [5] 직접적인 로그는 확인되지 않았지만 GUI 형태의 랜섬웨어를 사용한다는 점이나 탐색기 프로세스를 통해 악성코드를 실행하는 점 그리고 RDP를 공격 벡터로 사용하였던 기존 Makop 보고서와 유사한 형태라는 점을 보면 정황상 RDP를 이용해 랜섬웨어를 설치한 것으로 추정된다.
2. 악성코드 설치
공격자는 다양한 악성코드들을 감염 시스템에 설치하였다. 설치되는 도구들은 스캐너 및 계정 정보 탈취 기능을 담당하는 도구들이며 대부분 NirSoft사에서 제작한 것이 특징이다. 이를 통해 감염 시스템 외에 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 점을 추정할 수 있다.
참고로 초기 침투 과정에서 RDP를 악용한다는 점이나 NirSoft사의 여러 도구들 및 Mimikatz를 설치하고 설치 경로가 “mimik”인 부분은 과거 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 설치했던 사례와 동일하다. 이는 동일한 공격자가 Crysis 랜섬웨어뿐만 아니라 Venus 랜섬웨어를 사용하다가 최근에는 Makop 랜섬웨어를 사용하고 있을 가능성을 보여준다.
| 종류 | 경로명 |
|---|---|
| Makop Ransomware | %USERPROFILE%\documents\air_visual.exe |
| NetworkShare | %USERPROFILE%\documents\networkshare v.2.exe |
| Web Browser Pass View | %USERPROFILE%\documents\mimik\pass\webbrowserpassview.exe |
| RouterPassView | %USERPROFILE%\documents\mimik\pass\routerpassview.exe |
| Remote Desktop PassView | %USERPROFILE%\documents\mimik\pass\rdpv.exe |
| MessenPass | %USERPROFILE%\documents\mimik\pass\mspass.exe |
| Mail PassView | %USERPROFILE%\documents\mimik\pass\mailpv.exe |
| Dialupass | %USERPROFILE%\documents\mimik\pass\dialupass.exe |
| VNCPassView | %USERPROFILE%\documents\mimik\pass\vncpassview.exe |
| Wireless Key View | %USERPROFILE%\documents\mimik\pass\wirelesskeyview64.exe |
| Network Password Recovery | %USERPROFILE%\documents\mimik\pass\netpass64.exe |
| BulletsPassView | %USERPROFILE%\documents\mimik\pass\bulletspassview64.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimik.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimidrv.sys |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x64\mimilib.dll |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimilove.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimik.exe |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimilib.dll |
| Mimikatz | %USERPROFILE%\documents\mimik\mimik\x32\mimidrv.sys |
Table 1. 설치된 악성코드
공격자는 RDP로 시스템을 장악한 이후 위의 도구들을 이용해 네트워크를 스캐닝하여 감염 시스템이 특정 네트워크에 포함되었는지를 확인할 것이다. 만약 특정 네트워크에 포함된 경우에는 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집 그리고 측면 이동 과정을 진행할 수 있다. 다음은 자사 AhnLab Smart Defense (ASD) 인프라에서 확인된 로그로서 공격자가 공격에 사용한 미미카츠 명령으로 다양한 자격 증명 정보들을 추출하였다.
Figure 1. Mimikatz 실행 로그
> .\Mimik\x64\mimik.exe “privilege::debug” “sekurlsa::bootkey” “token::elevate” “event::clear” “log .\!logs\Result.txt” “sekurlsa::logonPasswords” “vault::cred” “lsadump::secrets” “lsadump::cache” “lsadump::sam” exit”
3. Makop 랜섬웨어
| 개요 | 설명 |
|---|---|
| 확장자 | .[고유 문자열].[xueyuanjie@onionmail.org].AIR |
| 랜섬 노트 | +README-WARNING+.txt |
| 암호화 알고리즘 | AES-256, RSA-1024 |
| 암호화 제외 파일 | “boot.ini”, “bootfont.bin”, “ntldr”, “ntdetect.com”, “io.sys”, “+README-WARNING+.txt”, “desktop.ini” |
| 암호화 제외 경로 | “windows”, “winnt”, “C:\Windows”, “C:\ProgramData\microsoft\windows\caches”, “C:\Users\All Users\Microsoft\Windows\Caches”, “C:\Users\Public” |
| 암호화 제외 확장자 | “.exe”, “.dll”, “.AIR” |
| 기타 | 프로세스 종료. 볼륨 쉐도우 및 백업 카탈로그 삭제. |
Table 2. Makop 랜섬웨어
Makop은 다음과 같이 GUI 형태로서 기본적으로 전체 시스템을 대상으로 암호화를 수행하지만 직접 암호화 대상 경로를 지정할 수 있다.
Figure 2. Makop 랜섬웨어의 GUI 화면
암호화를 시작하면 먼저 다음과 같은 명령으로 볼륨 쉐도우와 백업 카탈로그를 삭제한다.
> vssadmin delete shadows /all /quiet
> wbadmin delete catalog -quiet
> wmic shadowcopy delete
이외에도 더 많은 파일들을 암호화하기 위해 다음과 같은 프로세스들을 종료시킨다.
|
프로세스 목록 |
|---|
| “sqlbrowser.exe”, “sqlwriter.exe”, “sqlservr.exe”, “msmdsrv.exe”, “MsDtsSrvr.exe”, “sqlceip.exe”, “fdlauncher.exe”, “Ssms.exe”, “sqlagent.exe”, “fdhost.exe”, “ReportingServicesService.exe”, “msftesql.exe”, “pg_ctl.exe”, “postgres.exe”, “UniFi.exe”, “armsvc.exe”, “IntelCpHDCPSvc.exe”, “OfficeClickToRun.exe”, “DellOSDService.exe”, “DymoPnpService.exe”, “Agent.exe”, “FJTWMKSV.exe”, “IPROSetMonitor.exe”, “IRMTService.exe”, “MBCloudEA.exe”, “QBCFMonitorService.exe”, “QBIDPService.exe”, “RstMwService.exe”, “TeamViewer_Service.exe”, “dasHost.exe”, “IntelCpHeciSvc.exe”, “RAVBg64.exe”, “vds.exe”, “unsecapp.exe”, “TodoBackupService.exe”, “MediaButtons.exe”, “IAStorDataMgrSvc.exe”, “jhi_service.exe”, “LMS.exe”, “DDVDataCollector.exe”, “DDVCollectorSvcApi.exe”, “TeamViewer.exe”, “tv_w32.exe”, “tv_x64.exe”, “Microsoft.Photos.exe”, “MicrosoftEdge.exe”, “ApplicationFrameHost.exe”, “browser_broker.exe”, “MicrosoftEdgeSH.exe”, “MicrosoftEdgeCP.exe”, “RtkNGUI64.exe”, “WavesSvc64.exe”, “OneDrive.exe”, “DYMO.DLS.Printing.Host.exe”, “FtLnSOP.exe”, “FjtwMkup.exe”, “FTPWREVT.exe”, “FTErGuid.exe”, “qbupdate.exe”, “QBWebConnector.exe”, “ShellExperienceHost.exe”, “RuntimeBroker.exe”, “IAStorIcon.exe”, “PrivacyIconClient.exe”, “SupportAssistAgent.exe”, “SecurityHealthService.exe”, “taskhostw.exe”, “taskhosta.exe”, “wijca.exe”, “ktfwswe.exe”, “HeciServer.exe”, “mdm.exe”, “ULCDRSvr.exe”, “WLIDSVC.exe”, “WLIDSVCM.exe”, “GoogleCrashHandler.exe”, “GoogleCrashHandler64.exe”, “RAVCpl64.exe”, “igfxtray.exe”, “hkcmd.exe”, “igfxpers.exe”, “PsiService_2.exe”, “UNS.exe”, “taskeng.exe”, “AdobeARM.exe”, “LenovoReg.exe”, “dwm.exe”, “wuauclt.exe”, “avp.exe”, “FBService.exe”, “LBAEvent.exe”, “PDFProFiltSrvPP.exe”, “avpsus.exe”, “klnagent.exe”, “vapm.exe”, “ScanToPCActivationApp.exe”, “BrStMonW.exe”, “BrCtrlCntr.exe”, “concentr.exe”, “redirector.exe”, “BrccMCtl.exe”, “BrYNSvc.exe”, “Receiver.exe”, “BrCcUxSys.exe”, “LSCNotify.exe”, “SelfServicePlugin.exe”, “wfcrun32.exe”, “HPNETW~1.exe”, “HPScan.exe”, “taskhost.exe”, “Teams.exe”, “AuthManSvr.exe”, “WLXPhotoGallery.exe”, “outlook.exe”, “prevhost.exe”, “excel.exe”, “chrome.exe”, “AcroRd32.exe”, “RdrCEF.exe”, “vssadmin.exe”, “WmiPrvSE.exe”, “oracle.exe”, “ocssd.exe”, “dbsnmp.exe”, “synctime.exe”, “agntsrvc.exe”, “mydesktopqos.exe”, “isqlplussvc.exe”, “xfssvccon.exe”, “mydesktopservice.exe”, “ocautoupds.exe”, “encsvc.exe”, “firefoxconfig.exe”, “tbirdconfig.exe”, “ocomm.exe”, “mysqld.exe”, “mysqld-nt.exe”, “mysqld-opt.exe”, “dbeng50.exe”, “sqbcoreservice.exe”, “infopath.exe”, “msaccess.exe”, “mspub.exe”, “onenote.exe”, “powerpnt.exe”, “steam.exe”, “thebat.exe”, “thebat64.exe”, “thunderbird.exe”, “visio.exe”, “winword.exe”, “wordpad.exe” |
Table 3. 종료 대상 프로세스
파일을 암호화할 때 추가되는 확장자는 “.[고유 문자열].[xueyuanjie@onionmail[.]org].AIR”과 같은 형태인데 고유 문자열은 시스템의 ProductId와 Volume Serial Number를 이용해 조합하여 생성한 8개의 16진수 문자이다. 암호화가 완료된 폴더에는 “+README-WARNING+.txt”라는 이름의 랜섬 노트가 생성된다. 랜섬 노트에는 다음과 같은 메일 주소가 포함되어 있다.
- xueyuanjie@onionmail[.]org
- xueyuanjie@mail2tor[.]com
- xueyuanjie@exploit[.]im
Figure 3. 랜섬 노트
마지막으로 다음과 같이 바탕화면을 변경하여 사용자가 인지할 수 있도록 한다.
Figure 4. 변경된 바탕화면
4. 결론
공격자들은 과거부터 꾸준히 초기 침투 과정 및 측면 이동 과정에서 RDP를 사용하고 있다. 이러한 공격은 주로 부적절한 계정 정보를 가지고 있는 시스템들에 대한 무차별 대입 공격 및 사전 공격을 통해 이루어진다. 특히 Makop 공격자 외에도 많은 수의 랜섬웨어 공격자들이 RDP를 대표적인 초기 공격 벡터로써 사용하고 있다.
사용자들은 RDP를 사용하지 않을 경우 비활성화하여 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
