Home > 전체기사
메이즈 랜섬웨어 운영자들, 가상기계 설치 기능까지 활용 중
  |  입력 : 2020-09-21 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 라그나 로커 랜섬웨어 운영자들이 시도한 ‘가상기계’ 활용
엔드포인트 보호 솔루션 회피에 큰 도움...대신 공격 페이로드 용량이 너무 커


[보안뉴스 문가용 기자] 악명 높은 메이즈(Maze) 랜섬웨어의 운영자들이 새로운 기술을 추가했다. 바로 가상기계를 통해 랜섬웨어 페이로드를 배포하는 기능이다. 보안 업체 소포스(Sophos)에 의하면 메이즈는 현재 버추얼박스(VirtualBox) 디스크 이미지 파일(VDI) 형태로 배포되고 있는데, 이 VDI 파일은 윈도 MSI 파일에 포함되어 전파되는 중이라고 한다.

[이미지 = utoimage]


메이즈 운영자들은 제일 먼저 피해자의 시스템에 가상기계를 구축한다. 이 때 사용되는 건 11년 된 버추얼박스 하이퍼바이저의 복사본이다. 성공적으로 설치될 경우 ‘헤드(head)’가 없는 가상의 장비가 생성된다. 사용자가 조작할 수 있는 인터페이스도 존재하지 않는다. 하지만 이 가상기계 자체는 신뢰할 수 있는 애플리케이션으로 실행되기 때문에 이 안에 다른 애플리케이션들이 설치되어도 보안 솔루션들에 걸리지 않는다. 보안 솔루션 대부분 물리적 장비만 탐지하지, 가상 장비까지 탐지하지 않기 때문이다.

이 전략은 얼마 전 라그나 록커(Ragnar Locker)라는 랜섬웨어의 운영자들이 가장 먼저 사용하기 시작했다. 이 역시 소포스의 전문가들이 제일 먼저 발견했었다. 당시 라그나 록커 공격자들은 오라클 버추얼박스 윈도 XP 가상기계를 설치했었다. 공격 페이로드는 122MB짜리 인스톨러에 가상기계 이미지가 282MB였다. 그러나 주인공인 랜섬웨어 실행파일은 49KB에 불과했다. 용량만 생각하면 우스운 전략이었지만, 엔드포인트 솔루션들을 잘 피해갔기 때문에 꽤나 위협적이기도 했다.

메이즈 랜섬웨어 사건의 경우 공격 페이로드의 용량은 훨씬 컸다. 733MB 인스톨러에 윈도 7 가상기계 이미지가 1.9GB였다. 여기에 숨어 있던 랜섬웨어 실행파일은 494KB였다. 윈도 7 가상기계의 경우 용량이 대폭 늘어난다는 단점이 있긴 하지만 “추가 랜섬웨어를 삽입하기가 훨씬 편하다는 장점”을 가지고 있어 공격자들이 활용한 것으로 분석된다.

메이즈가 퍼트리는 가상 이미지의 루트에는 세 개의 파일이 저장되어 있는 것으로 나타났다.
1) preload.bat : 가상기계의 이름을 무작위로 바꾸고 피해자의 네트워크에 연결시킨다.2) vrun.exe : 가상기계 실행 파일이다.
3) payload(파일 확장자 없음) : 메이즈 DLL 페이로드다.
그 외에 공격 지속성을 확보하기 위해 startup_vrun.bat이라는 파일이 사용되기도 했다.

소포스가 이 공격을 계속해서 추적한 결과 공격자들이 실제 랜섬웨어 공격을 실시하기 최소 6일 전에 피해자 네트워크에 침투한 것으로 밝혀졌다. “네트워크 내 IP 주소들을 파악하고 구조화 하는 데 수일을 투자한 것으로 보입니다. 이 때 피해자의 도메인 제어기 서버들을 활용했고 유출시킨 데이터는 mega.nz라는 클라우드 스토리지에 보관하고 있었습니다.” 또한 가상기계의 세팅이 세밀하게 달라진 부분도 눈에 띈다고 소포스는 지적했다. “누군가 피해자의 내부 상황을 잘 아는 사람이 설정을 만진 것 같습니다.”

메이즈 랜섬웨어는 2020년 가장 바쁜 한 해를 보내고 있는 공격 단체라고 말할 수 있을 정도로 활발하게 활동 중이다. 가치가 높은 표적들을 주로 골라 공격하며, 피해자가 돈을 내지 않을 경우 정보를 공개하는 방식으로 전환하기도 한다.

메이즈 운영자들은 계속해서 전략과 기술을 수정하기도 한다. 위에서 언급한 이중 전략 역시 메이즈가 가장 먼저 도입한 것으로, 이들은 데이터 공개를 위한 사이트를 별도로 만들어 다른 범죄자들이 편리하게 사용하도록 설계하기도 했다. 이는 꽤 효과가 높아 다른 랜섬웨어 운영자들도 따라 하기에 이르렀다. 소포스는 “방어 기술과 전략이 향상됨에 따라 공격자들도 이런 식으로 적응한다”며 “이제 표적화 되고 수위 높은 협박이 가능해진 랜섬웨어에 방어자들이 대응해야 할 차례”라고 말했다.

3줄 요약
1. 메이즈 운영자들, 라그나 로커라는 랜섬웨어의 공격 전략 도입함.
2. 그건 바로 가상기계를 설치해, 그 안에서 랜섬웨어를 실행시키는 것.
3. 보통 보안 솔루션들, 가상기계 내부까지는 들여다보지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상