체크포인트 보안 연구원, 독특한 기능을 가진 빠른 랜섬웨어 '로르샤흐' 발견

체크포인트 보안 회사의 보안 연구원들은 비교적 독특한 기능을 가진 랜섬웨어 변종으로 보이는 악성코드를 발견했으며, 이를 로르샤흐라고 명명했습니다. 연구원들에 따르면, 그들이 테스트한 모든 기능 중에서 암호화 속도가 다른 랜섬웨어 중 가장 빠릅니다.

이 보고서는 보안 회사가 미국에 본사를 둔 회사에 대한 사이버 공격을 분석한 후에 나왔습니다. 체크포인트 보안 회사의 보고서에 따르면, 공격자는 피해자의 위협 탐지 및 사고 대응 도구의 결함을 이용하여 피해자의 네트워크에 악성코드를 배포했습니다.

또한, 로르샤흐는 팔로알토 네트워크의 확장 탐지 및 대응 제품인 Cortex XDR의 서명된 부분을 통해 DLL 사이드 로딩 방법을 사용하여 배포되었습니다.

공격자는 Cortex XDR 덤프 서비스 도구(cy.exe) 7.3.0.1.6740 버전을 사용하여 로르샤흐 로더 및 인젝터(winutils.dll)를 사이드 로딩하였으며, 이는 이후 ‘config.ini’라는 페이로드를 메모장 프로세스로 이끌었습니다.

로더가 포함된 파일은 UPX 안티 분석 보호를 가지고 있으며, 주요 페이로드는 VM Protect 소프트웨어를 사용하여 코드의 일부를 가상화하여 역공학 및 탐지로부터 보호됩니다.

체크포인트는 랜섬웨어 로르샤흐가 윈도우 도메인 컨트롤러에서 실행될 때 그룹 정책을 생성하여 도메인의 다른 호스트로 퍼진다고 말합니다.

기계가 감염되면, 악성코드는 네 개의 이벤트 로그, 즉 보안, 시스템, 응용 프로그램 및 윈도우 파워셸을 삭제하여 자신의 존재를 지웁니다.

읽기: 공격자들이 IRS 피싱 이메일을 보내 Emotett 악성코드를 설치하고 있습니다.

그렇긴 하지만, 악성코드는 하드코딩된 구성과 함께 제공되지만, 기능을 증가시키는 명령줄 인수를 지원합니다.

체크포인트에 따르면, 옵션은 숨겨져 있으며 악성코드를 역공학하지 않으면 접근할 수 없습니다. 로르샤흐는 피해자 기계가 독립 국가 연합 외부의 언어로 구성되어 있을 때만 데이터 암호화를 시작합니다.

암호화 방식은 curve25519 및 eSTREAM 암호 hc-128 알고리즘을 혼합하고, 가끔 암호화 트렌드를 따릅니다. 예를 들어, 파일을 부분적으로만 암호화하여 처리 속도를 높입니다.

체크포인트는 악성코드의 기본 루틴을 따르면 I/O 완료 포트를 통한 스레드 스케줄링의 매우 성공적인 실행을 보여준다고 말합니다.

“또한, 컴파일러 최적화가 속도를 우선시하는 것으로 보이며, 코드의 많은 부분이 기울어져 있습니다. 이러한 모든 요소는 우리가 아마도 가장 빠른 랜섬웨어 중 하나를 다루고 있을 것이라고 믿게 만듭니다”라고 체크포인트는 언급합니다.

보안 회사는 로르샤흐 암호화 속도가 얼마나 빠른지 테스트를 수행했으며, 이 테스트는 6코어 CPU PC에서 220,000개의 파일이 설정되어 있었고, 로르샤흐는 모든 데이터를 암호화하는 데 약 4.5분이 걸렸으며, 그 사이에 가장 빠른 랜섬웨어 변종으로 간주되는 LockBit v3.0은 약 7분 만에 완료되었습니다.

악성코드가 시스템을 잠그면, 양로왕 랜섬웨어에서 사용된 형식과 동일한 몸값 노트를 보냅니다. 연구원들에 따르면, 이전의 악성코드도 DrkSide와 유사한 랜섬웨어 노트를 사용했습니다.

이 유사성은 연구원들이 로르샤흐의 다른 버전을 다크사이드와 혼동하게 만든 원인일 가능성이 높으며, 이 활동은 2021년에 블랙 매터로 개편되었고 같은 해에 사라졌습니다.

체크포인트는 로르샤흐가 온라인에 유출된 최고의 랜섬웨어 중 일부에서 개선된 기능을 가지고 있다고 말합니다. 즉, LockBit v2.0, DarkSide 등입니다.

현재 보안 회사는 로르샤흐의 활동이 알려져 있지 않으며, 게다가 브랜드화가 되어 있지 않다고 말합니다. 이는 랜섬웨어 측면에서 드물게 발생하는 일입니다.

읽기: 고급 감시 공격에 사용되는 일반 마법 및 파워 마법 악성코드