.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: 다단계 공격

이 시리즈의 1부에서는 랜섬웨어가 악성 기법에 사용할 수 있는 프로그래밍 기능의 예를 살펴보았습니다. 그런 다음 2부에서는 이러한 기능이 어떻게 가능한지 이해하기 위해 Microsoft의 .Net 소프트웨어 프레임워크와 관련 어셈블리인 EXE 및 DLL의 기본 사항을 살펴봤습니다.  

이 마지막 파트에서는 지금까지 논의한 모든 내용을 단계별 페이로드 세트에 결합하여 다단계 페이로드 공격의 기본을 설명합니다.

페이로드 및 공격 설정

공격에 사용할 페이로드를 배치하는 것부터 시작합니다. 새로운 기능을 포함한 모든 이전 기능을 고려하여 단계별 페이로드를 생성합니다. 이는 랜섬웨어의 일반적인 경우처럼 지금까지 살펴본 다양한 전술과 기법이 어떻게 조합될 수 있는지를 전반적으로 보여주기 위한 것입니다.

다음 페이로드를 사용하겠습니다:

• 초기 EXE 애플리케이션: 스테이저 페이로드
• 주요 랜섬웨어 EXE: 1단계 페이로드
• ^{두 번째} 주요 랜섬웨어 DLL: 2단계 페이로드

이 공격 예시에서 여러 페이로드를 사용하여 다양한 작업을 수행하는 것은 다단계 공격에 해당합니다. 멀웨어 페이로드와 비콘에 대한 이전 시리즈를 되돌아보며 2부에서는 악성 페이로드의 유형에 대해 더 자세히 설명했습니다. 이 글에서는 스테이저와 스테이지 페이로드 유형의 차이점에 대해 설명했습니다. 요약하자면, 스테이저는 스테이지로 알려진 더 크고 더 많은 기능을 갖춘 메인 페이로드 파일을 위한 다운로더, 드롭퍼 및/또는 페이로드 역할을 할 수 있는 작은 초기 실행 애플리케이션입니다. 스테이저 페이로드의 목적은 메인 스테이지를 설정하는 것입니다. 이 공격 예시에서는 위에서 설명한 대로 페이로드 스테이징을 사용하여 다양한 페이로드가 다음과 같은 다양한 작업을 수행합니다:

스테이저 EXE 페이로드는 다음을 수행합니다:

• 회피 기술
• 두 개의 '텍스트' 파일을 디스크에 다운로드합니다. 이러한 파일은 실제로 EXE와 DLL입니다.
• ^{두 번째} EXE 파일 실행
• 그런 다음 스테이저가 종료됩니다.
• 실행 중인^{두 번째} EXE(1단계)는 DLL(2단계)을 로드합니다.

그런 다음 1단계 EXE 및 2단계 DLL 페이로드는 다음과 같은 악성 랜섬웨어 작업을 수행합니다:

• 회피 기술
• 발견
• 프로세스 조작
• 드라이브 및 파일 열거
• 파일 암호화

스테이저: 초기 페이로드 실행 파일(EXE)

공격은 초기 페이로드인 스테이저가 피해 컴퓨터로 전달되면서 시작됩니다. 피싱과 같은 소셜 엔지니어링 기법을 이용하는 경우가 많습니다. 초기 페이로드가 전달되고 실행되면 악성 명령어 집합을 실행하기 시작합니다.

회피

먼저 아무 작업도 수행하지 않고 지정된 시간 동안 기다립니다. 이는 가상 머신 위협 분석보다 오래 지속되도록 설계된 회피 기법입니다. 그런 다음 메모장 앱과 같이 인터넷에서 잘 알려진 실행 파일을 다운로드합니다. 이는 탐지를 피하기 위한 미끼이자 또 다른 회피 전술입니다.

다른 기술로는 위협 분석에 사용되는 샌드박스 가상 머신이 아닌 컴퓨터 시스템의 정상적인 사용과 관련된 파일의 증거를 찾기 위해 마우스 클릭을 확인하거나 문서 디렉터리를 확인하는 것 등이 있습니다.

다운로더, 드롭퍼, 로더

이러한 초기 회피 동작이 실행되면 스테이저(초기) 페이로드는 다시 세 번째 절전 동작을 실행합니다. 스테이지 페이로드 파일을 다운로드하는 다음 지침을 계속하기 전에 지정된 시간 동안 다시 기다립니다. 이러한 파일은 아래와 같이 공격자가 원격으로 호스팅합니다.

그런 다음 스테이저는 두 개의 텍스트 파일 "notepadlog0120231224.txt"를 다운로드합니다. and “notepadlog0120231513.txt.” 이 다음 단계는 아래 예시에서 빨간색 텍스트로 표시되어 있습니다.

페이로드 파일의 다운로드 링크는 이 시리즈의 첫 번째 파트에서 네 번째 기법으로 설명한 base64 인코딩을 사용하여 실제로 난독화되어 있음을 알 수 있습니다.

초기 페이로드는 내부적으로 즉석에서 base64를 원본 다운로드 링크로 변환합니다.

다운로드한 두 개의 텍스트 파일은 실제로는 각각 실행 파일(EXE)과 동적 링크 라이브러리(DLL)로, 텍스트 파일로 위장한 것입니다. 다음은 이 다단계 랜섬웨어 공격 사례의 1단계 및 2단계 페이로드입니다. 다운로드가 성공하면 이러한 파일의 이름이 원래 유형으로 변경됩니다.

그런 다음 스테이저 페이로드가 1단계 실행 페이로드를 실행하여 실제 랜섬웨어 공격을 시작합니다. 이제 스테이저는 1단계 페이로드가 메모리에 로드되고 실행이 시작되면 목적을 완료하고 종료됩니다. 따라서 이 시리즈 1부의 첫 번째 기술에서 설명한 것처럼 이 초기 단계 페이로드는 1단계 EXE 및 2단계 DLL 페이로드에 대한 다운로더 및 드롭퍼이며 1단계 페이로드에 대해서만 로더입니다. DLL 페이로드는 현재 실행 중인 1단계 EXE 페이로드에 의해 2단계 페이로드로 로드되므로 다단계 페이로드 공격이 이루어집니다.

↪cf_200D↩1단계실행 파일(EXE)

1단계 실행 파일에 실행 권한이 전달되면먼저 아래와 같이 지정된 시간 동안 절전 모드로 전환됩니다.

그런 다음 증거를 제거하기 위해 파일 시스템에서 스테이저 페이로드 파일 "payload_initial_stager.exe"를 삭제합니다. 아래 예에서는 파일이 삭제되어 더 이상 디렉터리에 없습니다.

이제 1단계 페이로드는 나머지 공격을 계속하기 위해 일련의 작업을 실행할 준비가 되었습니다. ‍

발견↪CF_200D↩

다음으로 감염된 시스템에서 몇 가지 검색 기술을 수행합니다. 이러한 검색 기술을 통해 위협 행위자는 감염된 시스템에 대해 조금 더 이해할 수 있습니다. 디스커버리는 위협 운영자가 공격의 전반적인 성공을 위해 중요한 운영 보안 고려 사항을 결정할 수 있도록 도와줍니다. 이 예제에서는 1단계 페이로드가 프로세스 목록 검사를 수행합니다. 관심을 가질 만한 프로세스에는 엔드포인트 탐지 및 대응(EDR), 안티바이러스(AV) 또는 가상 머신 프로세스가 있습니다. 이는 페이로드가 탐지될 확률을 이해하는 데 도움이 됩니다.

위협 행위자는 검색 정보 결과를 바탕으로 몇 가지 중요한 운영 보안 결정을 내릴 수 있습니다. 예를 들어 시스템에서 잘 알려진 EDR 프로세스가 발견되거나 페이로드가 가상 머신 프로세스를 탐지하는 경우, 페이로드가 탐지를 피하기 위해 종료하도록 지시할 수 있습니다.

또는 위협 행위자가 추가적인 회피 기술을 사용하여 EDR을 회피하거나 다른 수단을 사용하여 EDR 프로세스를 완전히 종료하려고 시도할 수도 있습니다.

또한 Discovery는 침해된 시스템이 얼마나 가치가 있는지 판단하는 데 도움이 됩니다. 예를 들어, 중요한 고객 데이터가 있는 프로덕션 데이터베이스 서버인가요, 아니면 결제 시스템인가요? 비즈니스에 중요한 시스템일수록 몸값을 지불할 가능성이 높습니다.↪cf_200D↩

프로세스 조작: 리빙오프더랜드(LotL) 바이너리

또다른 유용한 정보로는 운영 체제, 언어 로캘, 시스템에 설치되었거나 누락된 핫픽스 및 업데이트와 같은 시스템 관련 정보가 있습니다. 이러한 유형의 정보는 취약점 익스플로잇과 같은 추가 공격을 계획하는 데 도움이 될 수 있습니다.

EDR 프로세스를 찾지 못했다고 가정하면 위협 행위자가 다른 프로세스를 처리할 수 있다고 확신할 수 있으므로 페이로드는 계속됩니다. 따라서 프로세스 정보를 확인한 후 1단계 실행 페이로드는 아래 예시와 같이 Living-off-the-Land 기법을 사용하여 별도의 Windows 명령 프롬프트를 실행합니다.

명령 프롬프트가 시작되면 페이로드는 일부 Windows 명령을 전달하여 실행합니다. 이 명령은 시스템 유형, 프로세서 정보, 가동 시간, 핫픽스 등의 시스템 정보를 생성합니다. 아래 예시에서 출력의 스냅샷은 빨간색 텍스트로 표시되어 있습니다.↪cf_200D↩

2단계 동적 링크 라이브러리(DLL)↪cf_200D↩

이전 글에서 설명한 것처럼 DLL 파일에는 자체적으로 실행할 수 없는 컴퓨터 코드가 포함되어 있습니다. 따라서 이 예제에서 1단계 EXE는 2단계 DLL의 코드를 사용하여 나머지 공격 주기를 마무리합니다.↪cf_200D↩

1단계 EXE 로딩 2단계 DLL 페이로드↪cf_200D↩

1단계 EXE 페이로드가 작업을 완료하면 2단계 DLL 페이로드를 로드합니다. DLL 페이로드에는 시스템의 드라이브를 확인한 다음 해당 드라이브에서 선택한 파일을 암호화하는 공격의 마지막 단계에 사용되는 코드가 포함되어 있습니다.

DLL 코드는 먼저 드라이브 검사를 실행하여 감염된 시스템에서 드라이브를 찾아 각 드라이브에 대한 유용한 정보를 나열합니다. 위의 디스플레이에서 특히 흥미로운 것은 시스템에서 액세스할 준비가 된 드라이브와 그렇지 않은 드라이브에 대한 정보입니다. 이렇게 하면 올바른 드라이브에 있는 파일을 암호화 대상으로 지정하고 읽기 전용이거나 액세스할 수 없는 드라이브에서 작업을 시도하여 오류를 방지할 수 있습니다. ‍

암호화↪CF_200D↩

이제 몸값을 위한 암호화를 진행할 준비가 되었습니다. 2단계 DLL의 암호화 코드는 먼저 디렉토리에 있는 텍스트 파일 목록을 확인합니다. 이 마지막 데모에서는 텍스트 파일만 암호화할 것이기 때문입니다. 그러면 페이로드는 발견된 모든 텍스트 파일을 표시합니다.

그런 다음 검색된 파일은 페이로드에 의해 암호화됩니다. 파일 확장자도 암호화된 텍스트 파일을 표시하기 위해 '.encrypted '로 변경됩니다.

아래에서 텍스트 파일이 있는 디렉터리의 암호화 전후 이미지를 통해 암호화 후의 변경 사항을 확인할 수 있습니다.

마지막으로 랜섬 메시지가 표시됩니다. 일반적으로 파일이 암호화되었다는 사실을 사용자에게 알립니다. 또한 몸값을 지불하고 파일을 해독할 수 있는 암호 해독 키를 받는 방법도 안내합니다. 많은 경우 몸값을 지불한다고 해서 자동으로 암호 해독 키에 대한 액세스 권한이 보장되는 것은 아닙니다.

이 예제에서는 모든 암호화 코드를 2단계 페이로드가 되는 DLL 파일에 넣기로 선택했습니다. 이는 이전 글에서 설명한 것처럼 DLL이 라이브러리 파일이기 때문에 재사용이 가능하기 때문입니다. 예를 들어, 공격자가 향후 새로운 우회 기능으로 인해 완전히 다른 1단계 EXE 페이로드를 사용하기로 결정한 경우, 새로운 공격 캠페인을 완료하기 위해 페이로드 코드의 암호화 부분을 다시 작성할 필요가 없습니다. 새 페이로드를 기존 2단계 DLL 파일과 페어링하고 새 EXE가 DLL을 로드하여 파일을 암호화하도록 하면됩니다‍.

랜섬웨어에 대한 방어↪CF_200D↩

궁극적으로 랜섬웨어는 감염, 실행, 지속성이라는 세 가지 주요 전선을 사용합니다.

크게 다음과 같이 분류할 수 있습니다:

• 파일 시스템
• 레지스트리
• 메모리
• 네트워크(원격 및 로컬-측면 이동)

따라서 방어자는 효과적인 보안 완화를 위해 올바른 툴셋을 구축하고 이를 올바른 방식으로 활용해야 합니다. 멀웨어 페이로드와 비콘에 대한 이전 시리즈의 3부에서는 침해 가정과 사이버 복원력이라는 철학에 기반한 심층 방어 방어에 대해 자세히 살펴봅니다.

이 3부작 시리즈에서는 멀웨어, 특히 랜섬웨어가 사용하는 다양한 전술과 기법이 어떻게 생겨날 수 있는지 설명했습니다. 이러한 다양한 전술과 기법을 이해함으로써 방어자는 기존 사이버 정책과 방어 체계를 평가하여 효과적인 대응책을 마련할 수 있습니다.

랜섬웨어 및 침해로부터 조직을 보호하는 방법에 대해 자세히 알아보고 싶으신가요? 지금 바로 문의하세요.