도플페이머 랜섬웨어는 어떻게 기업을 공격하나?

도플페이머 랜섬웨어는 어떻게 기업을 공격하나? AhnLab ASEC 분석팀 l 2021-02-24     최근, 도플페이머 랜섬웨어가 미국 내 기업과 기관들을 공격해 이슈가 되고 있다. 도플페이머 랜섬웨어는 특정 기업을 대상으로 공격을 감행하는 표적형 랜섬웨어로, 지난해 9월 독일 뒤셀도르프 대학병원이 이 랜섬웨어의 공격을 받아 의료 시스템이 마비되어 응급환자가 사망하는 사건이 발생하기도 했다.   이번 글에서는 도플페이머 랜섬웨어의 최신 공격 방식에 대해 살펴본다.     지난 1월, 글로벌 정보보안 기업 트렌드마이크로는 ‘도플페이머(DoppelPaymer) 랜섬웨어’에 대한 조사 결과를 발표했다. 트렌드마이크로에 따르면 도플페이머 랜섬웨어는 정상 문서로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포된다. 실행된 악성코드는 공격자 서버(C&C) 통신을 통해 드리덱스(Dridex) 악성코드를 다운로드 하고 해당 악성코드로부터 도플페이머 랜섬웨어를 다운로드 한다.     추가적으로, 트렌드마이크로는 도플페이머 랜섬웨어가 악성 루틴을 실행하기 위해 실행 파일을 특정 인자로 실행하는 샌드박스 우회 기법이 사용됐다고 언급했다.   안랩은 도플페이머 랜섬웨어의 드로퍼(dropper)를 수집해 샌드박스 우회 기법의 구동 방식을 살펴봤다. 수집한 랜섬웨어의 드로퍼는 인스톨러(installer) 형태로 제작되어 있었다. 악성 행위 발현을 위해 버튼 클릭이 필요하며, 이는 인자를 사용하는 방식과 별개로 행위를 탐지하는 샌드박스 환경에서 취약할 수 있다.     이 드로퍼를 통해 생성된 도플페이머 랜섬웨어는 인자값 없이는 실행이 불가능하다. 실행을 위해 서비스로 위장해 생성되고 서비스의 ImagePath는 특정 인자와 함께 실행되도록 변경된다. 따라서, 해당 랜섬웨어가 단독으로 수집될 경우 샌드박스를 우회해 행위를 발현할 수 있다.     특정 인자를 통해 실행된 도플페이머 랜섬웨어는 사용자의 파일을 암호화한 후 해당 경로에 다음과 같이 금전을 요구하는 랜섬노트를 생성한다.     현재 안랩 V3 Lite는 해당 악성코드를 아래와 같이 진단하고 있다.     [파일 진단] Trojan/Win32.DoppelPaymer   [행위 진단] Malware/MDP.SystemManipulation.M2255   도플페이머 랜섬웨어에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.   ▶ASEC 블로그 바로가기