블루크랩 랜섬웨어, 기업이 특히 조심해야 하는 이유

블루크랩 랜섬웨어, 기업이 특히 조심해야 하는 이유 AhnLab ASEC 분석팀 l 2021-02-03     ASEC 분석팀은 자바스크립트 형태로 유포되는 블루크랩(BlueCrab) 랜섬웨어, 일명 소디노키비(Sodinokibi)와 레빌(REvil) 랜섬웨어가 감염 과정 중 대상이 기업 사용자로 확인되면 추가 공격을 위해 코발트 스트라이크(Cobalt Strike) 해킹 툴을 유포하는 것으로 확인했다.     코발트 스트라이크 해킹 툴은 원래 합법적인 모의 해킹 테스트를 위해 제한적으로 활용되어 왔으나, 최근 소스코드 유출 이후 악성코드에서도 활발하게 사용 중이다. 최근 확인된 블루크랩 랜섬웨어 유포 자바스크립트는 기업 AD(Active Directory) 환경을 체크한 후, 기업 사용자인 경우 랜섬웨어가 아닌 코발트 스트라이크 해킹 툴을 설치한다.   코발트 스트라이크 감염 과정에 대해 알아보자. 먼저, 자바스크립트 파일은 공격자 서버(C2) 접속 시, 사용자 시스템의 %USERDNSDOMAIN% 환경변수 존재 여부를 검사한다     만약 %USERDNSDOMAIN% 환경변수가 존재하면 인자에 특정 값(“278146”)을 추가해 요청한다. 해당 값의 유무에 따라 C2에서 응답하는 내용이 다른 것으로 확인되었다. 과거에는 이러한 조건에서도 블루크랩 랜섬웨어를 다운로드 하였으나, 현재는 코발트 스트라이크를 다운로드한다. 일반 사용자 환경과 달리 기업의 AD서버 환경 등 도메인이 설정된 경우에는 해당 환경변수가 존재하여 코발트 스트라이크에 감염된다.   이는 기존 블루크랩 랜섬웨어 유포 과정인 ‘자바스크립트 → 파워쉘(PowerShell) → .NET 인젝터(Injector) → 델피 로더(Delphi Loader)’의 감염 흐름과 비슷하지만 단계 별 세부내용에서 차이를 보인다.   코발트 스트라이크를 유포하는 페이로드는 .NET 인젝터가 두 부분으로 나뉘어 있다. 편의 상 1차 .NET PE는 ‘로더(Loader)’로, 2차 .NET PE는 ‘인젝터(Injector)’로 칭한다. 먼저 \HKEY_CURRENT_USER\Software\[사용자이름]+’1 키에 .NET 로더 바이너리, 그리고 \HKEY_CURRENT_USER\Software\[사용자이름] 키에 .NET 인젝터 바이너리가 삽입된다.   이후 실행되는 파워쉘 명령어는 ‘[사용자이름]’ 키를 읽어 로더를 실행하고, 실행된 로더는 ‘[사용자이름]+’1′ 키를 읽어 인젝터를 실행한다.       로더는 실행할 때 파워쉘 명령어를 자동실행 키에 등록해, 재부팅 시에도 동일한 행위를 하도록 한다. 이후 [사용자이름] 키에서 인젝터 바이너리를 읽어 메모리에 로드해 실행한다. 이때 실행되는 인젝터는 ‘C:\Program Files (x86)\Windows Photo Viewer\ImagingDevices.exe’ 프로세스를 실행한 뒤 델피 로더 바이너리를 인젝션한다.       위 과정에서 실행된 델피 로더는 내부에 있는 ‘코발트 스트라이크 비콘(Cobalt Strike Beacon)’ 바이너리를 실행한다. 코발트 스트라이크 비콘의 설정은 다음과 같다.     공격자는 일반 사용자의 경우 랜섬웨어, 기업 환경 사용자는 추가적인 공격을 위해 코발트 스트라이크를 감염시킨다. 따라서, AD 서버 등으로 도메인이 설정된 기업 환경에서는 특히 주의가 요구되며 의심스러운 파일을 지양하고 파일 다운로드 시 공식 배포처를 이용할 것을 권장한다.   한편 V3 제품군은 이러한 파일리스(Fileless) 형태의 공격에 대해 시그니처 없이 아래와 같은 행위 진단으로 차단할 수 있다.   [행위 진단] Malware/MDP.Inject.M3044 Malware/MDP.Behavior.M3491   [IOC 정보] http://www.esist.org http://www.dischner-kartsport.de http://www.ehiac.com 78.128.113.14   코발트 스트라이크를 설치하는 블루크랩 랜섬웨어에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다. ▶ASEC 블로그 바로가기