|
자체 확산 기능이 추가된 류크 랜섬웨어 변종 발견 침해사고분석팀 2021.03.03 |
|
|
프랑스 국가 사이버보안기관인 ANSSI의 전문가들은 지역 네트워크 내에서 웜과 같은 기능으로 동작하는 새로운 류크 랜섬웨어 변종을 발견했다.
ANSSI가 발간한 보고서는 "이 버전은 통상적인 기능 외에도 로컬 네트워크를 통해 자동으로 복제할 수 있는 새로운 속성을 갖고 있다"며 "예약된 작업을 통해 악성코드는 Windows RPC 액세스가 가능한 모든기기에 전파된다."고 밝혔다.
이 류크 랜섬웨어 변종에는 랜섬웨어의 실행을 차단하는 메커니즘이 포함되어 있지 않으며, rep[.]exe나 lan[.]exe로 자신을 복제한다.
랜섬웨어는 가능한 모든 IP주소를 로컬 네트워크에 생성하고 ICMP ping을 전송한다. 로컬 ARP 캐시의 IP주소를 나열하고 패킷을 전송한 다음, 발견된 IP에 열려 있는 공유 리소스를 나열한 후 이를 모두 암호화한다. 또한 호스트에서 자체적으로 실행하는 스케줄링된 작업을 원격으로 생성할 수 있다.
스케줄링된 작업은 윈도우즈 기본 툴인 schtasks[.]exe를 사용하여 생성되며 다음과 같은 레지스트리를 설정하여 지속성을 달성한다.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunsvchost
ANSSI 보고서는 장치가 랜섬웨어에 이미 감염되었는지 확인할 수 있는 방법은 공개하지 않았으며, 악성코드 전파를 위해 권한이 있는 계정을 사용한다고 밝혔다. 또한 프랑스의 전문가들은 사용자가 암호를 변경하더라도 Kerberos 티켓이 만료되지 않는 한 복제는 계속될 것이라고 지적했다.
암호를 변경하거나 사용자 계정을 비활성화한 다음 이중 KRBTGT 도메인 암호 변경을 진행하는 것도 문제를 해결하는 한 가지 방법이 될 수 있다. 이 방법은 도메인에 장애를 유발하거나 재부팅이 필요할 수 있지만, 전파를 막을 수 있다.
출처 https://securityaffairs.co/wordpress/115064/reports/ryuk-ransomware-self-spreading-capabilities.html |
