○ GSC(Genians Security Center)는 위협 케이스 분석을 통해 지속적으로 고도화되는 공격자의 Operations과 TTPs에 효율적으로 대응하기 위한 연구를 진행하고 있습니다.
○ 위협 케이스 중 탐지를 피하기 위한 보안 우회 전술의 의도가 반영되어 만들어진 LockBit 랜섬웨어 배포용 DeliveryBox를 분석해 공격자의 도구들(Tools)과 TTPs를 식별했습니다.
○ 이번 LockBit 랜섬웨어 케이스는 IMG 파일로 유포되며, 내부에 패키징된 LNK, BAT 및 VBS 파일을 통해 LockBit 랜섬웨어를 실행하는 복잡한 과정을 가지고 있습니다. 또한, 보안 솔루션의 탐지를 피하기 위해 안전 모드를 악용하는 정황을 보여주고 있습니다.
○ 2019년 말에 등장한 LockBit 랜섬웨어 조직은 러시아에 기반을 두고 전 세계의 기업 및 공공기관을 대상으로 활동하고 있습니다. 모든 랜섬웨어 조직들 중 가장 활발히 활동하고 있으며, 올해 상반기에만 300개 이상의 기업을 공격해 전체 랜섬웨어 공격의 3분의 1이상을 기록하고 있습니다.
○ 국내에서는 이력서와 저작권 관련 내용으로 위장한 피싱 메일을 통해 꾸준히 유포되고 있으며, 올해 3월에는 국세청을 해킹했다고 주장해 화제가 되기도 했습니다.
[그림 01] 2023 상반기 랜섬웨어 그룹별 활동 빈도(Dark Web Profile)
출처 : SOCRadar - Dark Web Profile: LockBit 3.0 Ransomware
○ 공격자는 사용자의 의심을 피하기 위해 해외 컨설팅 업체의 이름으로 위장한 IMG 파일로 LockBit 랜섬웨어를 유포했으며, IMG 파일 내부에는 LNK 파일을 제외한 BAT, VBS, 7z.exe, Autologon.exe, LockBit 랜섬웨어가 숨겨져 있습니다.
○ 공격자는 LNK 파일을 초기 실행 단계로 사용했으며, LNK 파일을 실행할 경우, 각 BAT 파일이 단계별로 실행됩니다. 실행된 각 파일들은 권한 상승과 지속성 유지 및 안전 모드 부팅 등의 악성 행위를 수행하고 최종적으로 안전 모드에서 LockBit 랜섬웨어를 실행합니다.
[그림 02] LockBit 랜섬웨어 실행 과정
○ 이번 위협 케이스의 유포 과정은 정확히 알려지지 않았지만, 악성 IMG 파일이 첨부된 피싱 메일을 통해 유포된 것으로 예상하고 있습니다.
○ 공격자는 LockBit 랜섬웨어가 포함된 IMG 파일을 해외 컨설팅 업체의 이름으로 위장해 유포하고 있습니다.
[그림 03] romeroconsultores.img
| 파일명 | romeroconsultores.img |
| 파일 크기 | 2.37MB |
| MD5 | 012477baee020f9639e9002015492b99 |
| SHA256 | 781ead305cdb5fa0153369431dedd40fe138308fcdf5dfda1cfeaaba296752e3 |
[표 01] romeroconsultores.img 파일 정보
○ 해당 IMG 파일을 더블 클릭할 경우 DVD 드라이브에 자동으로 마운트 되며, “Documentos.lnk” 파일을 제외한 나머지 파일들은 숨김 설정되어 보이지 않습니다. 공격자는 이 방법을 통해 사용자로부터 의심을 피하고 LNK 파일 실행하도록 유도합니다.
[그림 04] DVD 드라이브에 마운트된 IMG 파일
[그림 05] 숨김 설정된 파일
○ “Documentos.lnk” 파일은 cmd 명령어를 포함하고 있으며, 실행 시 cmd.exe를 통해 IMG 파일 내부에 숨겨진 “anguisheddarkness.bat” 파일을 실행합니다.
[그림 06] Documentos.lnk 파일 속성
[그림 07] anguisheddarkness.bat 탐지 정보
○ LNK 파일에 의해 실행되는 “anguisheddarkness.bat” 파일은 “net session” 명령어를 실행한 뒤, 출력되는 에러 레벨을 통해 현재 사용자의 권한을 확인하고 권한에 따라 지정된 함수를 실행합니다.
[그림 08] anguisheddarkness.bat 상세 정보
1) 관리자 권한일 경우
- darknessuntrue.bat 파일을 실행합니다.
2) 관리자 권한이 아닐 경우
- “%temp%” 경로에 “subduedice.vbs” 파일을 생성하고 실행한 뒤 삭제합니다.
[그림 09] subduedice.vbs 관련 이벤트
○ 이전 BAT 파일 실행 시 현재 사용자 권한이 낮을 경우, VBS(Visual Basic Script) 파일을 생성합니다. 해당 VBS 파일은 UAC(User Account Control) 창을 띄워 사용자로부터 권한 상승을 유도하고 이전 과정에서 실행했던 “anguisheddarkness.bat” 파일을 상승된 권한으로 다시 실행합니다.
[그림 10] subduedice.vbs 탐지 정보
[그림 11] UAC를 통한 권한 상승 유도
○ 권한 상승 후, 실행되는 “darknessuntrue.bat” 파일은 LockBit 랜섬웨어의 실행 및 지속성 유지에 필요한 파일들을 임의 경로에 복사합니다. 이후, 현재 사용자 계정 비밀번호를 변경하고 Autologon.exe 도구를 통해 부팅 시 변경한 계정으로 자동 로그인하도록 설정합니다.
○ 또한, 공격자는 보안 솔루션이 안전 모드에서 정상적으로 실행이 어렵다는 점을 노리고 "bcdedit.exe" 도구를 통해 시스템이 안전 모드로 부팅되도록 설정합니다. 이후, 안전 모드에서도 지속성을 유지할 수 있도록 레지스트리 및 서비스를 추가하고 시스템을 재부팅 합니다.
[그림 12] darknessuntrue.bat 상세 정보
○ 먼저 xcopy 명령어를 통해 “C:\ProgramData” 경로에 BAT, VBS, LockBit 랜섬웨어를 복사하고 “C:\Windows\Temp” 경로에 7z.exe을 복사합니다.
[그림 13] 파일 복사 이벤트
○ 다음으로 “net user” 명령어를 통해 현재 사용자 계정 비밀번호를 변경하고 Microsoft Sysinternals에서 제공하는 자동 로그인 도구인 Autologon.exe을 통해 부팅 시 해당 계정으로 자동 로그인 되도록 설정합니다.
[그림 14] 자동 로그인 설정
○ 부팅 설정 관련 도구인 bcdedit.exe를 통해 안전 모드로 부팅되도록 설정을 변경합니다.
[그림 15] 안전 모드 부팅 설정
○ 이후, 안전 모드에서도 지속성을 유지하기 위해 안전 모드에서 자동 실행되는 서비스 레지스트리 경로에 “tckzpj” 이름의 키 생성을 시도하고 성공 여부에 따라 다음 과정을 수행합니다.
[그림 16] 레지스트리 키 생성
1) 성공할 경우
- “removalculpable.vbs” 파일이 안전 모드에서 지속성을 유지할 수 있도록 서비스를 생성하고 위 과정에서 생성한 “tckzpj” 레지스트리 키에 해당 서비스를 값을 추가합니다.
[그림 17] 서비스 생성
[그림 18] 레지스트리 값 추가
2) 실패할 경우
- 로그인 후 자동 시작되는 쉘 프로그램 레지스트리에 “darknessimmerse.bat” 를 추가합니다.
[그림 19] 레지스트리 추가
○ 이전 단계의 “darknessuntrue.bat” 파일에 의해 시스템은 안전 모드로 부팅되며, “darknessimmerse.bat” 파일이 실행됩니다.
○ 해당 BAT파일은 “.7z” 형식으로 암호 압축된 LockBit 랜섬웨어를 7z.exe을 통해 “C:\ProgramData” 경로에 압축 해제한 이후, 특정 인자 값을 통해 실행합니다.
[그림 20] darknessimmerse.bat 상세 정보
○ 실행된 LockBit 랜섬웨어는 사용자의 파일을 암호화하고 “.BQuqYjUgg” 확장자를 추가한 뒤, 파일 아이콘을 변경합니다.
○ 이후, “BQuqYjUgg.README.txt” 이름의 랜섬노트를 생성해 피해자로부터 랜섬머니를 요구합니다.
[그림 21] LockBit 랜섬웨어에 감염된 시스템
○ 공격자는 LNK, BAT, VBS 파일을 통해 LockBit 랜섬웨어를 실행합니다. 이러한 과정을 거칠 경우 악성코드 자체의 코드와 행위를 줄일 수 있고 보안 솔루션의 탐지를 어렵게 합니다. 또한, 피해자의 시스템을 성공적으로 감염시키기 위해 보안 솔루션이 정상적으로 실행되지 않는 안전 모드 환경을 악용하고 있어 탐지 및 대응을 더욱 어렵게 만듭니다.
○ 또한, 이번 케이스에서는 공격자가 IMG 파일을 통해 LockBit 랜섬웨어를 유포하고 있습니다. 그 이유는 디스크 이미지(IMG, ISO, VHD) 형식의 파일이 MOTW(Mark of the Web)를 우회해 신뢰할 수 없는 다운로드 파일에 대해 아래 그림과 같은 SmartScreen 경고 창 없이 실행될 수 있기 때문입니다.
[그림 22] SmartScreen 창
○ Genian EDR 환경에서는 탐지 시각에 따른 위협 이벤트 조회를 통해 빠르고 정확하게 해당 위협을 탐지할 수 있습니다. 이번 케이스는 다단계 방식을 사용하고 안전 모드를 악용해 탐지가 어려운 형태 중 하나입니다. 하지만 Genian EDR 제품을 사용할 경우, 실행 초기 단계에서 핵심 위협 이벤트를 탐지하고 대응할 수 있습니다.
[그림 23] Genian EDR 위협 탐지 스토리 라인
| Tactic | Technique | Description |
| Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
| Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
| T1059.005 | Command and Scripting Interpreter: Visual Basic | |
| T1204.002 | User Execution: Malicious File | |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service |
| T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | |
| T1547.004 | Boot or Logon Autostart Execution: Winlogon Helper DLL | |
| Defense Evasion | T1027.002 | Obfuscated Files or Information: Software Packing |
| T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | |
| T1553.005 | Subvert Trust Controls: Mark-of-the-Web Bypass | |
| T1562.009 | Impair Defenses: Safe Mode Boot | |
| T1564.001 | Hide Artifacts: Hidden Files and Directories | |
| Impact | T1486 | Data Encrypted for Impact |
| T1529 | System Shutdown/Reboot |
[표 02] Mitre Att&ck Tactics and Techniques
- 012477baee020f9639e9002015492b99
- 86358056a97b768f1768e07e46c5540a
- ba0cdcb6efe81b188f346be3d45566e8
- c7fdc61e64c9311857c1fabb2e0dc436
- 2cf4d5f4535b5ea277b965d036174a4b
- 89f9bfb649abe4ae5ba693cae113d0bf
- 0563f083ab08c6f688a0a91136a7d801
- Fortinet - Can You See It Now? An Emerging LockBit Campaign