2021-06-18 23:35 (금)
소만사, 美 최대 송유관 마비시킨 ‘다크사이드 랜섬웨어’ 분석보고서 발간
상태바
소만사, 美 최대 송유관 마비시킨 ‘다크사이드 랜섬웨어’ 분석보고서 발간
  • 길민권 기자
  • 승인 2021.06.03 14:44
이 기사를 공유합니다

소만사에서 발간한 '다크사이드 랜섬웨어' 분석보고서.
소만사에서 발간한 '다크사이드 랜섬웨어' 분석보고서.

소만사(대표 김대환)가 ‘다크사이드 랜섬웨어’에 대한 상세 분석보고서를 3일 공개했다.

2020년 8월 최초로 발견된 다크사이드(DarkSide) 랜섬웨어는 동명의 동유럽 및 러시아 지역 기반의 다크사이드 해킹 그룹이 사용하는 랜섬웨어다.

지난 5월, 다크사이드 그룹은 미국 동부해안 연료 공급의 절반을 담당하는 회사 ‘콜로니얼 파이프라인(Colonial Pipeline)’에 다크사이드 랜섬웨어를 감염시키고, 송유관을 마비시켰다. 이에 대한 여파로 미 동남부 지역 휘발유 공급이 일시적으로 중단됐다. 미국 정부는 18개 주에 비상사태를 발표했으며, 콜로니얼 파이프라인은 당시 몸값으로 500만 달러 (약 56억 4000만원)의 비트코인을 지불했다. 조 바이든 미국 행정부는 해당사태를 심각하게 받아들이고 송유관 해킹사태 재발방지를 위한 ‘사이버 보안강화 명령’을 내렸다.

사회공급망 공격은 일상에 심각한 위협을 초래한다. 콜로니얼 파이프라인 사태와 얼마 전 발생한 글로벌 유가공업체 JBS 사태에서 알 수 있듯이 랜섬웨어 감염으로 인한 생산설비 마비는 제품수급, 물가폭등 문제뿐만 아니라 노동자의 일자리 문제에도 치명적인 영향을 끼치기 때문이다.

데이터보호 전문기업 소만사는 ‘콜로니얼 파이프라인’ 공격에 사용된 다크사이드 랜섬웨어와 동일한 버전의 샘플을 확보, 신중하게 분석하여 보고서를 발간했다. 소만사는 보고서에 다크사이드 랜섬웨어의 동작방식과 대응방안을 상세히 서술해, 사전에 다크사이드 랜섬웨어 감염을 예방, 차단할 수 있도록 했다.

다크사이드 랜섬웨어 행위에는 다섯가지 주요한 특징이 있다.

첫번째, PECompact와 VMProtect Packer를 통해 이중 패킹을 사용했다. 이를 통해 내부코드를 난독화하는 동시에 실행파일을 압축하여 기존 시그니처 탐지 기반의 안티바이러스 솔루션이 신속하게 탐지, 대응할 수 없었다.

두번째, 데이터 암호화를 진행하고 감염 PC 내 주요 데이터를 C&C 서버로 탈취한다. 이를 통해 데이터 유포 협박과 암호화 데이터 복호화를 빌미로 피해자가 이중으로 비용을 지불하도록 유도한다.

세번째, 지역·국가별 상이한 행위를 보인다. 구소련 및 시리아 지역에서는 감염이 이루어지지 않으며, 암호화에 있어, 특정 국가/지역을 대상으로만 암호화 프로세스를 진행한다.

네번째, 데이터 탈취 및 암호화 행위에 방해되는 서비스와 프로세스는 사전에 제거한다. 암호화 작업 수행 시 방해가 되지 않도록 하는 목적이지만, 탐지 회피 효과도 있어 보안솔루션의 위협대응분석이 쉽지 않다.

다섯번째, 난독화된 파워쉘 스크립트를 이용하여 보안솔루션 제품의 탐지를 피해 볼륨 쉐도우 복사본을 삭제하여 시스템 복원을 무력화한다. 시스템 복원을 무력화시켜, 피해자가 몸값을 지불할 수밖에 없도록 유도한다.

아래는 소만사의 EDR 솔루션 ‘Privacy-i EDR’가 탐지한 다크사이드 랜섬웨어 분석내용이다.

[Privacy-I EDR 탐지 정보]

다크사이드 랜섬웨어에 대한 소만사의 EDR 솔루션 ‘Privacy-i EDR’의 탐지 내용 중 주요 행위는 다음과 같다.

[난독화 해제 후 볼륨 쉐도우 복사본 삭제 시도]

첫번째, 난독화된 파워쉘 스크립트를 사용하여 보안솔루션 제품의 탐지를 피해 시스템 복원을 무력화하는 볼륨 쉐도우 복사본 삭제시도를 주요 행위정보로 탐지한다.

[폴더 및 파일 열거 행위]

두번째, 암호화 대상 파일을 찾기 위해 PC 내 폴더 및 파일들을 열거하는 작업을 주요 행위정보로 탐지한다.

[파일 암호화 및 파일명 변경]

세번째, 파일 암호화 및 파일명을 변경하는 작업을 주요 행위정보로서 탐지한다.

Privacy-i EDR은 실제 악성코드의 행위에 기반한 최신 공격, 대응방식을 서술한 ‘MITRE ATT&CK 프레임’을 반영했다.

[파일 암호화에 대한 MITRE ATT&CK]

악성행위의 전술, 탐지방법, 피해경감기법까지 모두 적용하여 의심 행위 발생 시 실시간으로 탐지, 추적하여 확산을 막고 피해를 최소화한다.

다크사이드 랜섬웨어 분석리포트에 관한 자세한 내용은 소만사 공식 블로그(클릭)에서 확인 가능하며, PDF 보고서는 유지관리 고객 대상으로 배포 예정이다.

★정보보안 대표 미디어 데일리시큐!★