보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

블랙빗 랜섬웨어, 정보 유출과 탐지 방해 기능 무장한 채 국내 유포

입력 : 2023-04-18 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
안랩 ASEC 분석팀, 국내 유포 중인 블랙빗 포착...분석 방해 위해 코드 난독화

[보안뉴스 김영명 기자] 마이크로소프트 윈도 NT 호스트 프로세스인 svchost.exe로 위장한 블랙빗(BlackBit) 랜섬웨어가 유포 중인 것이 확인됐다. svchost.exe은 마이크로소프트 윈도 NT(Windows NT)에서 백그라운드 서비스들을 처리하기 위한 포괄적인 호스트 프로세스다.

▲블랙빗 랜섬웨어가 남긴 랜섬노트[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 블랙빗 랜섬웨어가 지난해 9월 무렵부터 국내에 유포되기 시작한 이래 현재까지 꾸준히 유포되고 있다고 밝혔다. 블랙빗 랜섬웨어는 닷넷 리액터(.NET Reactor)를 활용해 코드 난독화가 돼 있었으며, 이는 분석을 방해하기 위한 것으로 추정된다. 실제 동작하는 이 랜섬웨어는 지난해 초에 발견됐던 로키로커(LokiLocker) 랜섬웨어의 특징과 유사한 것을 확인할 수 있다.

▲BlackBit.exe 파일 속성[자료=안랩 ASEC 분석팀]

블랙빗 랜섬웨어는 암호화 행위 수행 이전에 △지속성 △복구방지 △정보유출 △프로세스 종료 등 다양한 준비 작업을 수행한다. 첫 번째로 ‘지속성’ 작업에서는 악성코드가 설치된 이후 지속성을 유지하기 위해 자기 자신을 ‘winlogin.exe’의 파일명으로 시작 프로그램 경로와 %AppData% 경로에 복사한 뒤, 작업 스케줄러에 등록한다. 또한, 작업관리자를 통한 프로세스 종료를 방해하기 위해 BAT 파일을 활용해 관련 레지스트리를 등록한다.

지속성 유지를 위한 기능이 끝나게 되면, 두 번째로 ‘복구방지’ 작업에서는 파일 암호화 이전 복구를 방해하기 위해 ‘Recycle.bin’에 존재하는 파일과 볼륨 쉐도 등을 삭제하게 된다.

세 번째로, ‘정보유출’ 작업에서는 네트워크 설정 변경과 함께 윈도 자체 안티바이러스 소프트웨어인 윈도 디펜더(Windows Defender)를 종료해 정보 유출과 탐지를 방해하기 위한 행위를 수행한다.

네 번째로, 블랙빗 랜섬웨어는 ‘프로세스 종료’ 행위도 확인할 수 있다. 종료되는 프로세스는 △wxserverview △qbcfmonitorservice △qbidpservice △fdlauncher △zhudongfangyu 등의 프로세스를 종료하는 특징도 확인할 수 있다. 종료되는 프로세스는 총 25개가 확인되고 있다. 이 같은 행위는 VM(Virtual Machine, 가상 컴퓨터) 환경에 대한 검사 및 암호화 대상의 범위를 확장하려는 의도로 추정된다.

이러한 다양한 과정을 모두 거친 이후에는 본격적으로 파일 암호화를 진행한다. 마지막으로 블랙빗 랜섬웨어는 각각의 감염된 경로 폴더에 ‘Restore-My-Files.txt’를 생성하고 랜섬노트를 띄운다.

▲정보 유출 및 탐지 방해 행위[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 “랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신을 최신 버전으로 업데이트하는 것이 중요하다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)