지난 7월 2일, 전 세계 1천여개 기업 내 1백만여 개 시스템이 랜섬웨어에 감염되었다. 데이터 복호화를 위해 공격그룹이 제시한 금액만 당시 7천만 달러(한화 약 800억원)다. 피해규모는 산정조차 불가능하다.
이번 랜섬웨어 감염사태는 미국 보안소프트웨어 관리기업 카세야(Kaseya)사의 ‘VSA’ 제품 중앙배포시스템 해킹과 이로 인한 레빌(REvil) 랜섬웨어 배포에 의해 발생했다.
카세야는 중소기업 대상으로 원격 모니터링 및 소프트웨어 관리서비스를 판매하고 있다. 해당제품은 중앙에서 패치관리를 통해 소프트웨어 설치, 배포, 업데이트를 수행한다. 레빌 랜섬웨어 공격자들은 해당 시스템 특성을 악용해 중앙배포시스템을 해킹한 후 레빌 랜섬웨어를 배포하고 실행했다.
지난 2019년부터 유행하기 시작한 레빌 랜섬웨어는 이번 카세야로 촉발된 감염 사례 외에도 다양한 기업 및 기관을 대상으로 크고 작은 공격을 수행했으며, 지속적이고 포괄적으로 이루어졌다.
◇소만사, 레빌 랜섬웨어 샘플 확보해 심층 분석
소만사는 이번 7월, 카세야 공격으로 촉발된 레빌 랜섬웨어 샘플을 확보, 심층 분석해 보고서를 발간했다.
확보된 레빌 랜섬웨어 샘플은 Window Defender Service 실행 파일을 이용해 DLL-SideLoading 취약점을 이용한 공격을 수행했다. 공격자들은 레빌 랜섬웨어 배포 이후 실행 시 PowerShell 명령을 통해 Window Defender Service 관련 보안 설정을 모두 비활성화 시켰다.
즉, Window Defender Service의 보호를 받을 수 없는 상황에서 정상 Window Defender Service 실행 파일을 이용한 공격으로 레빌 랜섬웨어의 공격을 받은 시스템은 무방비 상태에서 내부 데이터가 모두 암호화되었다.
소만사는 보고서에 이번 사고를 유발한 레빌 랜섬웨어의 공격 방법과 그 행위를 분석해 상세히 서술했다. 특히 이 보고서는 레빌 랜섬웨어 감염에 대해 사전에 예방 및 차단할 수 있도록 보안 취약점 및 특성을 서술해, 감염 이전에 레빌 랜섬웨어를 예방, 차단할 수 있도록 했다.
카세야를 공격한 레빌 랜섬웨어 행위는 크게 네가지 단계로 진행됐다.
첫번째, 카세야 VSA 배포서버 해킹을 통해 Dropper가 각 사용자 PC에 배포되었다. 이 과정에서 강력한 PowerShell 명령이 수행되어 시스템 보안을 무력화했다.
두번째, 사용자 PC에 배포된 Dropper는 인증서 파일로 위장되어 생성되었으며, 위장된 Dropper는 시스템 유틸을 통해 디코딩됐다.
세번째, Dropper는 취약한 버전의 Window Defender 실행파일과 레빌 랜섬웨어 DLL을 생성했다.
마지막, 레빌 랜섬웨어 DLL은 Window Defender 실행파일에 의해 로드되어 사용자 PC를 모두 암호화해 시스템을 마비시켰다.
아래는 소만사의 EDR 솔루션 ‘Privacy-i EDR’이 탐지한 레빌 랜섬웨어 분석내용이다.
레빌 랜섬웨어에 대한 소만사의 EDR 솔루션 ‘Privacy-i EDR’의 탐지 내용 중 주요 행위는 다음과 같다.
첫번째, 네트워크 공유 폴더를 열거해, 공유 폴더 또한 암호화를 수행한다. 이를 위해 공유 폴더를 열거하는 행위를 Privacy-i EDR은 위와 같이 주요 행위 정보로서 탐지한다.
두번째, 방화벽 설정을 변경해 방화벽 보호를 우회한다. 이를 위해 netsh 명령을 수행하는 행위를 Privacy-i EDR은 위와 같이 주요 행위 정보로서 탐지한다.
세번째, 레빌 랜섬웨어의 다수의 파일 암호화 행위에 대해 주요 행위 정보로서 탐지한다.
Privacy-i EDR은 실제 악성코드의 행위에 기반한 최신 공격, 대응방식을 서술한 ‘MITRE ATT&CK 프레임’을 반영했다.
Privacy-i EDR은 악성행위의 전술, 탐지방법, 피해경감기법까지 모두 적용해 의심 행위 발생 시 실시간으로 탐지, 추적해 확산을 막고 피해를 최소화한다.
소만사 측은, 레빌 랜섬웨어 분석리포트에 관한 자세한 내용은 현재 유지관리 고객대상으로 배포 중이며 추후 소만사 공식 블로그(클릭)에 보고서를 공개할 예정이라고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
