Home > 전체기사

메이즈 랜섬웨어 운영자들, 가상기계 설치 기능까지 활용 중

  |  입력 : 2020-09-21 14:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 라그나 로커 랜섬웨어 운영자들이 시도한 ‘가상기계’ 활용
엔드포인트 보호 솔루션 회피에 큰 도움...대신 공격 페이로드 용량이 너무 커


[보안뉴스 문가용 기자] 악명 높은 메이즈(Maze) 랜섬웨어의 운영자들이 새로운 기술을 추가했다. 바로 가상기계를 통해 랜섬웨어 페이로드를 배포하는 기능이다. 보안 업체 소포스(Sophos)에 의하면 메이즈는 현재 버추얼박스(VirtualBox) 디스크 이미지 파일(VDI) 형태로 배포되고 있는데, 이 VDI 파일은 윈도 MSI 파일에 포함되어 전파되는 중이라고 한다.

[이미지 = utoimage]


메이즈 운영자들은 제일 먼저 피해자의 시스템에 가상기계를 구축한다. 이 때 사용되는 건 11년 된 버추얼박스 하이퍼바이저의 복사본이다. 성공적으로 설치될 경우 ‘헤드(head)’가 없는 가상의 장비가 생성된다. 사용자가 조작할 수 있는 인터페이스도 존재하지 않는다. 하지만 이 가상기계 자체는 신뢰할 수 있는 애플리케이션으로 실행되기 때문에 이 안에 다른 애플리케이션들이 설치되어도 보안 솔루션들에 걸리지 않는다. 보안 솔루션 대부분 물리적 장비만 탐지하지, 가상 장비까지 탐지하지 않기 때문이다.

이 전략은 얼마 전 라그나 록커(Ragnar Locker)라는 랜섬웨어의 운영자들이 가장 먼저 사용하기 시작했다. 이 역시 소포스의 전문가들이 제일 먼저 발견했었다. 당시 라그나 록커 공격자들은 오라클 버추얼박스 윈도 XP 가상기계를 설치했었다. 공격 페이로드는 122MB짜리 인스톨러에 가상기계 이미지가 282MB였다. 그러나 주인공인 랜섬웨어 실행파일은 49KB에 불과했다. 용량만 생각하면 우스운 전략이었지만, 엔드포인트 솔루션들을 잘 피해갔기 때문에 꽤나 위협적이기도 했다.

메이즈 랜섬웨어 사건의 경우 공격 페이로드의 용량은 훨씬 컸다. 733MB 인스톨러에 윈도 7 가상기계 이미지가 1.9GB였다. 여기에 숨어 있던 랜섬웨어 실행파일은 494KB였다. 윈도 7 가상기계의 경우 용량이 대폭 늘어난다는 단점이 있긴 하지만 “추가 랜섬웨어를 삽입하기가 훨씬 편하다는 장점”을 가지고 있어 공격자들이 활용한 것으로 분석된다.

메이즈가 퍼트리는 가상 이미지의 루트에는 세 개의 파일이 저장되어 있는 것으로 나타났다.
1) preload.bat : 가상기계의 이름을 무작위로 바꾸고 피해자의 네트워크에 연결시킨다.2) vrun.exe : 가상기계 실행 파일이다.
3) payload(파일 확장자 없음) : 메이즈 DLL 페이로드다.
그 외에 공격 지속성을 확보하기 위해 startup_vrun.bat이라는 파일이 사용되기도 했다.

소포스가 이 공격을 계속해서 추적한 결과 공격자들이 실제 랜섬웨어 공격을 실시하기 최소 6일 전에 피해자 네트워크에 침투한 것으로 밝혀졌다. “네트워크 내 IP 주소들을 파악하고 구조화 하는 데 수일을 투자한 것으로 보입니다. 이 때 피해자의 도메인 제어기 서버들을 활용했고 유출시킨 데이터는 mega.nz라는 클라우드 스토리지에 보관하고 있었습니다.” 또한 가상기계의 세팅이 세밀하게 달라진 부분도 눈에 띈다고 소포스는 지적했다. “누군가 피해자의 내부 상황을 잘 아는 사람이 설정을 만진 것 같습니다.”

메이즈 랜섬웨어는 2020년 가장 바쁜 한 해를 보내고 있는 공격 단체라고 말할 수 있을 정도로 활발하게 활동 중이다. 가치가 높은 표적들을 주로 골라 공격하며, 피해자가 돈을 내지 않을 경우 정보를 공개하는 방식으로 전환하기도 한다.

메이즈 운영자들은 계속해서 전략과 기술을 수정하기도 한다. 위에서 언급한 이중 전략 역시 메이즈가 가장 먼저 도입한 것으로, 이들은 데이터 공개를 위한 사이트를 별도로 만들어 다른 범죄자들이 편리하게 사용하도록 설계하기도 했다. 이는 꽤 효과가 높아 다른 랜섬웨어 운영자들도 따라 하기에 이르렀다. 소포스는 “방어 기술과 전략이 향상됨에 따라 공격자들도 이런 식으로 적응한다”며 “이제 표적화 되고 수위 높은 협박이 가능해진 랜섬웨어에 방어자들이 대응해야 할 차례”라고 말했다.

3줄 요약
1. 메이즈 운영자들, 라그나 로커라는 랜섬웨어의 공격 전략 도입함.
2. 그건 바로 가상기계를 설치해, 그 안에서 랜섬웨어를 실행시키는 것.
3. 보통 보안 솔루션들, 가상기계 내부까지는 들여다보지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)