보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

블랙빗 랜섬웨어, 정보 유출과 탐지 방해 기능 무장한 채 국내 유포

입력 : 2023-04-18 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
안랩 ASEC 분석팀, 국내 유포 중인 블랙빗 포착...분석 방해 위해 코드 난독화

[보안뉴스 김영명 기자] 마이크로소프트 윈도 NT 호스트 프로세스인 svchost.exe로 위장한 블랙빗(BlackBit) 랜섬웨어가 유포 중인 것이 확인됐다. svchost.exe은 마이크로소프트 윈도 NT(Windows NT)에서 백그라운드 서비스들을 처리하기 위한 포괄적인 호스트 프로세스다.

▲블랙빗 랜섬웨어가 남긴 랜섬노트[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 블랙빗 랜섬웨어가 지난해 9월 무렵부터 국내에 유포되기 시작한 이래 현재까지 꾸준히 유포되고 있다고 밝혔다. 블랙빗 랜섬웨어는 닷넷 리액터(.NET Reactor)를 활용해 코드 난독화가 돼 있었으며, 이는 분석을 방해하기 위한 것으로 추정된다. 실제 동작하는 이 랜섬웨어는 지난해 초에 발견됐던 로키로커(LokiLocker) 랜섬웨어의 특징과 유사한 것을 확인할 수 있다.

▲BlackBit.exe 파일 속성[자료=안랩 ASEC 분석팀]

블랙빗 랜섬웨어는 암호화 행위 수행 이전에 △지속성 △복구방지 △정보유출 △프로세스 종료 등 다양한 준비 작업을 수행한다. 첫 번째로 ‘지속성’ 작업에서는 악성코드가 설치된 이후 지속성을 유지하기 위해 자기 자신을 ‘winlogin.exe’의 파일명으로 시작 프로그램 경로와 %AppData% 경로에 복사한 뒤, 작업 스케줄러에 등록한다. 또한, 작업관리자를 통한 프로세스 종료를 방해하기 위해 BAT 파일을 활용해 관련 레지스트리를 등록한다.

지속성 유지를 위한 기능이 끝나게 되면, 두 번째로 ‘복구방지’ 작업에서는 파일 암호화 이전 복구를 방해하기 위해 ‘Recycle.bin’에 존재하는 파일과 볼륨 쉐도 등을 삭제하게 된다.

세 번째로, ‘정보유출’ 작업에서는 네트워크 설정 변경과 함께 윈도 자체 안티바이러스 소프트웨어인 윈도 디펜더(Windows Defender)를 종료해 정보 유출과 탐지를 방해하기 위한 행위를 수행한다.

네 번째로, 블랙빗 랜섬웨어는 ‘프로세스 종료’ 행위도 확인할 수 있다. 종료되는 프로세스는 △wxserverview △qbcfmonitorservice △qbidpservice △fdlauncher △zhudongfangyu 등의 프로세스를 종료하는 특징도 확인할 수 있다. 종료되는 프로세스는 총 25개가 확인되고 있다. 이 같은 행위는 VM(Virtual Machine, 가상 컴퓨터) 환경에 대한 검사 및 암호화 대상의 범위를 확장하려는 의도로 추정된다.

이러한 다양한 과정을 모두 거친 이후에는 본격적으로 파일 암호화를 진행한다. 마지막으로 블랙빗 랜섬웨어는 각각의 감염된 경로 폴더에 ‘Restore-My-Files.txt’를 생성하고 랜섬노트를 띄운다.

▲정보 유출 및 탐지 방해 행위[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 “랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신을 최신 버전으로 업데이트하는 것이 중요하다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대