Petya (이하 페트야) 랜섬웨어의 변종으로 보이는 Bad Rabbit (이하 배드레빗. 트렌드마이크로 탐지명 RANSOM_BADRABBIT.A) 랜섬웨어가 현재 동유럽 국가를 강타하고 있습니다. XGen™ 기반의 트렌드마이크로 제품은 이

랜섬웨어를 별도의 패턴 업데이트 없이 TROJ.XXPE002FF019 로 탐지했습니다. 배드레빗은 지난 6월 유럽국가를 휩쓴 페트야 공격이 있은 지 몇 달 후 발생했습니다.

초기 분석

그림 1. 배드레빗의 감염 체인

트렌드마이크로의 초기 분석에 따르면 배드레빗은 Watering hole 공격을 통해 피해자를 가짜 플래쉬 설치 프로그램 “install_flash_player.exe” 로 유도합니다. 감염된 사이트들은 그 당시에는 접근이 되지 않는 URL 인 hxxp://1dnscontrol[.]com/flash_install 로 연결되는 스크립트가 주입되어 있습니다. 현재까지 덴마크, 아일랜드, 터키 그리고 러시아에서 이러한 가짜 플래쉬 설치 프로그램을 전파하는 감염된 사이트가 발견되었습니다.

그림 2. 주입된 스크립트를 보여주는 코드

가짜 설치 프로그램이 클릭이 되고 난 후, rundll32.exe 프로세스를 사용하여 infpub.dat 이라는 암호화 파일이 dispci.exe 라는 해독기 파일과 함께 드롭됩니다. 배드레빗은 동작 루틴 중 한 부분으로 3가지 파일을 사용합니다. 첫번째는 rhaegal.job 라는 파일명을 가지며 왕좌의 게임 (Game of Thrones) 이라는 제목의 파일입니다. 이 파일은 해독 파일을 실행시키기 위해서 사용됩니다. drogon.job 라는 파일은 피해자의 컴퓨터를 셧다운 시키는 역할을 합니다. 그 후 랜섬웨어는 시스템의 파일들의 암호화 과정을 진행하면서 동시에 아래와 같은 랜섬노트를 화면에 띄웁니다.

그림 3. 배드레빗 랜섬웨어의 랜섬노트

세번째 파일인 viserion_23.job 은 시스템을 두 번 재부팅 합니다. 그 후 스크린이 아래와 같은 랜섬노트로 잠기게 됩니다.

그림 4. 시스템 재부팅 후 보여지는 배드레빗 랜섬노트

초기 분석에 따르면 배드레빗은 복사본을 같은 네트워크 상에 있는 다른 컴퓨터들에 드롭시키는 방식으로 전파됩니다. 이 때 원본 파일의 이름을 그대로 사용하며 Windows Management instrumentation (WMI) 와 Service Control Manager Remote Protocol 을 이용하여 드롭된 복사본들을 실행시킵니다. Service Control Manager Remote Protocol 이 사용되면, 크리덴셜 (Credential)을 얻기 위해 사전 공격 (Dictionary attack) 을 합니다.

배드레빗이 사용하는 툴 중 하나인 오프소스 유틸리티인 Mimikats 는 크리덴셜을 추출하기 위해 쓰입니다. 또한 배드레빗이 DiskCryptor 라는 합법적 디스크 암호화 도구를 사용하는 증거를 발견할 수 있었습니다.

또 한가지 중요한 점은 페트야가 EternalBlue를 루틴의 일부로 사용하여 취약점 공격을 한 것과 다르게 배드레빗은 취약점 익스플로잇 공격을 하지 않는 다는 점입니다.

완화 및 대책

여기를 클릭하시면 배드레빗과 같은 랜섬웨어에 미리 대응하고 준비할 수 있는 방법을 보실 수 있습니다.

트렌드마이크로 솔루션

트렌드마이크로의 XGen™ Security 는 Cross-generational 의 위협 방어 기술을 제공함으로써 데이터센터, 클라우드 환경, 네트워크, 엔드포인트를 보호합니다. 또한 하이파이 머신러닝을 통해 게이트웨이와 엔드포인트데이터, 애플리케이션뿐만 아니라 물리, 가상, 클라우드를 안전하게 보호합니다. 더불어 Web/URL 필터링, 행위 분석, 사용자 지정 샌드박스 등의 기능으로 알려진 혹은 알려지지 않은 취약점 악용과 개인 식별 데이터를 도용, 강탈, 암호화하는 등 오늘날의 진화된 지능형 위협으로부터 사용자들 보호합니다. 트렌드마이크로는 하이브리드 클라우드 보안(Hybrid Cloud Security), 사용자 보호(User Protection) 그리고 네트워크 방어(Network Defense) 제품군을 더욱 강력하게 하는 기술인 XGen™ 으로 고객을 더욱 안전하게 보호합니다.

트렌드마이크로의 솔루션과 배드레빗 랜섬웨어 방어에 관한 더 자세한 내용은 여기를 클릭하시면 보실 수 있습니다.

아래는 탐지명 RANSOM_BADRABBIT.A 에 대한 SHA256 해시입니다.

• 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
• 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

아래는 배드레빗에 관련된 추가적인 해시입니다.

install_flash_player.exe:

• 630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

infpub.dat:

• 579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
• 141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0

dispci.exe:

• 8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

[원문: Bad Rabbit Ransomware Spreads via Network, Hits Ukraine and Russia]