기술
제품
자료
기업
한국어
기술
제품
블로그
자료
기업

LockBit 랜섬웨어 분석: 단일 자격 증명 보안 침해를 사용한 신속한 데토네이션

Max Heinemeyer, Director of Threat Hunting | 2021년 2월 25일목요일

LockBit 랜섬웨어는 최근 미국의 한 유통 회사에서 평가판을 사용하던 중 Cyber AI에 의해 식별되었습니다. 보안이 침해된 관리자 자격 증명을 통해 최초 거점을 확보한 후 내부 정찰, 내부 이동 및 파일 암호화가 동시에 일어나면서 랜섬웨어가 단 몇 시간 만에 디지털 시스템 전체를 장악한 것이었습니다.

이 사고는 랜섬웨어 캠페인이 이제 사람의 대응 속도를 크게 앞지르며 조직 내부로 침투한다는 사실을 상기시키는 가장 최근의 사례로서, 피해 발생 전에 위협을 억제하기 위해서는 기계 속도로 움직이는 자율 대응 (Autonomous Response) 기술이 필요하다는 사실을 확인할 수 있었습니다.

LockBit 랜섬웨어의 특징

2019년에 처음 발견된 LockBit는 SMB 및 PowerShell과 같이 흔히 사용되는 프로토콜과 툴을 빠르게 공격하는 상대적으로 새로운 랜섬웨어 군입니다. 현재 Lockbit 확장자를 사용하기 전, 이것은 원래 암호화된 파일의 이름 확장자에서 따온 ‘ABCD’로 알려져 있었습니다. 초창기부터 지금까지 LockBit는 진화를 거듭하며 조직 당 평균 약 4만 달러의 몸값(ransom)을 요구하는 등 사상 최악의 피해를 유발하는 악성코드 변종 중 하나가 되었습니다.

사이버 범죄자들이 공격 속도와 규모를 높이면서 랜섬웨어는 모든 업계에 걸쳐 조직에 중대한 문제로 남게 되었습니다. 지난 12개월 동안 Darktrace는 전체 고객 기반에서 랜섬웨어 사고가 20% 이상 증가한 사실을 발견했습니다. 공격자들은 지속적으로 공격을 목표로 하여 새로운 위협 변종을 끊임없이 개발하고, 상용 툴을 활용하면서, 급증하는 서비스형 랜섬웨어 (Ransomware-as-a-Service, RaaS) 비즈니스 모델을 통해 수익을 얻고 있습니다.

LockBit 작동 원리

일반적인 공격의 경우 위협 행위자는 며칠 또는 몇 주에 걸쳐 시스템 내부에 상주하면서, 피해 기업의 운영 중단을 유발하는 가장 좋은 방법을 일일이 찾습니다. 이러한 단계에서는 명령 및 제어(C2) 비콘 신호 전송과 같은 다수의 침해 지표(IoC)가 노출되기가 쉬워서, Darktrace AI가 이를 실시간으로 확인할 수 있습니다.

그러나 LockBit는 한 사람이 몇 시간만 작업하면 충분하므로, 시스템으로 전파된 후에는 사람의 개입 없이도 자체적으로 다른 호스트를 감염시킵니다. 결정적으로 이러한 악성코드는 정찰을 수행하고 암호화 단계가 진행되는 동안 지속적으로 확산됩니다. 이 때문에 다른 수동 방식보다 빠르게 최대 피해를 유발합니다.

AI 기반의 방어 체계는 이처럼 자동화된 공격을 차단하는 데 필수적입니다. 공격이 빠르게 대규모로 확산될 수 있으며 시그니처 기반의 보안 툴로 탐지되지 않는 경우가 많기 때문입니다. Cyber AI는 위협의 미세한 징후를 탐지하고 사람의 대응 속도보다 훨씬 빨리 단 몇 초 만에 자율적으로 대응할 수 있기 때문에 보안 팀의 역량이 강화됩니다.

랜섬웨어 분석: AI로 LockBit 공격 진압

그림 1: 감염된 호스트 및 암호화 호스트에서 발생한 공격 타임라인. 감염된 호스트는 원래 LockBit에 감염된 기기였는데, 이후 암호화 수행 기기인 암호화 호스트로 확산되었습니다.

최초 보안 침해(Initial Compromise)

사이버 범죄자가 하나의 권한 있는 자격 증명 액세스 권한을 획득하자 공격이 시작되었습니다. 이전의 LockBit 랜섬웨어 공격과 마찬가지로 외부 디바이스에 대한 무차별 대입 공격 방식이거나 단순히 피싱 이메일을 통한 것이었습니다. 해당 디바이스는 이러한 크리덴셜을 사용하여 최초 감염이 발생한 지 몇 시간 만에 확산하여 파일을 암호화할 수 있었습니다.

최근 몇 달간 널리 이용된 경로인 피싱 이메일을 통해 침투가 이루어졌더라면 Darktrace의Antigena Email이 이메일을 보류하고 악성 페이로드를 제거해 처음부터 공격을 방지했을 것입니다.

권한을 제한하고 강력한 비밀번호를 사용하고 다단계 인증(MFA)을 사용하면 그러한 공격에서 표준 네트워크 프로토콜이 악용되는 것을 방지하는 데 큰 도움이 됩니다.

내부 정찰(Internal Reconnaissance)

현지 시각 오후 2시 19분, 다수의 내부 대상에 대한 다양한 WMI 명령 중 첫 번째(ExecMethod) 명령이 DCE-RPC를 통해 내부 IP 주소에서 수행되었습니다. 이러한 일련의 명령은 암호화 프로세스 전체에서 발생했습니다. 이들 명령이 조직의 정상적인 ‘행동 패턴’ 맥락에서 볼 때 비정상적임을 고려해, Darktrace는 보안 팀에 경고를 보내 이러한 각각의 연결에 대해 알렸습니다.

3분 만에 해당 디바이스는 SMB를 통해 여러 대상에서 숨김 공유에 파일을 쓰기 시작한 상태였습니다. 이중 상당수는 동일했습니다. 숨김 공유에 파일 쓰기는 보통 제한되어 있습니다. 그러나 관리자 자격 증명을 무단으로 사용해 이러한 권한을 부여한 것이었습니다. 실행 파일들은 Windows / Temp 디렉터리에 쓰여졌습니다. 파일명은 다음과 비슷한 서식이었습니다: .*eck[0-9]?.exe

Darktrace는 이러한 SMB 쓰기를 각각 잠재적 위협으로 식별했습니다. 그러한 관리자 활동은 보안이 침해된 디바이스에서는 거의 일어나지 않는 일이었기 때문입니다.

다수의 대상으로 WMI 명령 및 실행 파일 쓰기가 계속해서 수행되었습니다. 두 시간도 안되어 ExecMethod 명령이 중요 디바이스, 즉 ‘암호화 호스트’에 전송되었고, 그 직후 숨겨진 c$ 공유로 실행 파일 쓰기(eck3.exe)가 수행되었습니다.

LockBit 스크립트는 현재의 권한을 확인할 수 있는 기능이 있어서, 관리자가 아니더라도 Windows 사용자 계정 컨트롤(UAC)을 사용해 우회를 시도합니다. 이러한 호스트는 해당 프로세스에 필수 권한을 제공했습니다. 이 디바이스가 감염되자 암호화가 시작되었습니다.

파일 암호화(File Encryption)

암호화가 시작되자마자 Darktrace는 비정상적인 파일 확장자가 추가됐음을 알리고 공격 라이프사이클의 초기 단계에 대해 정확도 높은 이전의 경고를 함께 전송했습니다.

최초 암호화 이벤트가 발생하자마자 Darktrace는 복구 파일(Restore-My-Files.txt)을 식별했습니다. 암호화된 폴더 하나당 파일 한 개씩 8,998개의 복구 파일이 쓰여졌습니다.

그림 2: Darktrace의 Threat Visualizer가 비정상적인 SMB 연결을 보여준 사례로, 모델 보안 침해가 점으로 표시되어 있다.

암호화 호스트는 SMB를 자주 활용한 중요 디바이스였습니다. SMB를 활용하는 것은 사이버 범죄자들이 널리 사용하는 수법입니다. 그러한 툴은 매우 빈번하게 사용되기 때문에 시그니처 기반 탐지 방법으로는 이들 활동의 악성 여부를 신속히 파악하기가 어렵습니다. 이 경우 해당 디바이스에 대한 Darktrace의 ‘Unusual Activity(비정상 활동)’ 점수가 최초 암호화가 발생한 지 2초 만에 높아진 것은 그 디바이스가 평소 행동 패턴에서 벗어난다는 것을 뜻했습니다.

암호화 프로세스 전체에서 Darktrace는 또한 네트워크 정찰을 수행하고, (srvsvc를 통해) 55개 디바이스에서 공유를 열거하고, 9개의 핵심 TCP 포트에서 1,000개가 넘는 IP 주소를 통해 스캔하는 디바이스를 탐지했습니다.

그동안 ‘최초 감염자’, 즉 최초로 감염된 기기는 숨겨진 파일 공유에 실행 파일 쓰기를 지속했습니다. LockBit는 최초 디바이스를 사용해 디지털 자산 전반에 악성코드를 퍼뜨리는 한편, ‘암호화 호스트’는 정찰 수행과 파일 암호화를 동시에 진행했습니다.

암호화가 시작되기도 전에 위협을 탐지하는 Cyber AI가 있었는데도 보안 팀은 공격 시점에 Darktrace를 확인하지 않았습니다. 이처럼 침입이 지속적으로 허용되면서 30만 개 이상의 파일이 암호화되었고 .lockbit 확장자가 추가되었습니다. 4대의 서버와 15대의 데스크톱 디바이스가 감염된 후 관리자들이 공격을 차단했습니다.

‘짧게 치고 빠지는’ 랜섬웨어의 증가

대부분의 랜섬웨어가 며칠 또는 몇 주 동안 조직 내에 상주하는 반면 LockBit의 자율 제어 속성으로 인해 공격자는 최초 침입 후 필요한 최소한의 개입으로 랜섬웨어를 배포하여 ‘짧게 치고 빠지기’가 가능해졌습니다. 따라서 LockBit를 차단하려면 전체 디지털 인프라에서 비정상적인 활동을 실시간으로 탐지할 수 있는 능력이 필수적입니다.

전 세계 대다수의 기업이 이용하는 WMI와 SMB는 이러한 공격에 활용되면서 시스템을 통해 전파되고 수십 만개의 파일을 암호화시켰습니다. 이러한 연결이 널리 확산되고 연결량이 많아지면서 사람이나 시그니처 기반의 탐지 기술만으로는 이를 모니터링하기가 거의 불가능해졌습니다.

게다가 모든 기업의 디지털 자산은 고유한 특징이 있기 때문에 시그니처 기반의 탐지로는 내부 연결과 그러한 연결의 규모에 대해 효과적으로 알리기가 어렵습니다. 그러나 Darktrace는 머신 러닝을 이용해 각 디바이스의 개별 행동 패턴을 파악하기 때문에, 이 경우에도 비정상적인 내부 활동이 나타나면 이를 강조해 나타냅니다.

해당 조직에는 Darktrace의 자율 대응(Autonomous Response) 기술인Darktrace Antigena가 활성 모드로 구성되어 있지 않았습니다. Antigena가 활성화되었더라면 공격을 유발한 최초 WMI 작업과 SMB 드라이브 쓰기를 정확히 차단하면서도 중요 네트워크 디바이스는 정규 작업을 계속할 수 있었을 것입니다. 공격 거점이 확보되었다 하더라도 Antigena는 암호화 호스트의 ‘행동 패턴’을 실행하여 SMB를 통해 연속된 암호화 작업을 방지할 수 있었을 것입니다. 이를 통해 기계 속도로 진행되는 공격을 자율적인 사이버 보안 방식으로 대응하는 것이 얼마나 중요한지 알 수 있습니다. 보안 팀에서는 정교한 위협에 실시간으로 대응할 수 없기 때문입니다.

LockBit은 철저히 대비한 조직을 표적으로 하는 경우에도 단 몇 초 만에 수천 개의 파일을 암호화할 수 있습니다. 이런 유형의 랜섬웨어는 웜처럼 확산되는 기능이 내장되어 있어서, 2021년에는 점점 더 빈번하게 발견될 것으로 예상됩니다. 그러한 공격은 너무 빨라서 보안 팀 직원만으로는 대응하기에 역부족일 수 있습니다. 비지도 머신 러닝을 사용하는 Darktrace의 접근 방식은 이처럼 신속한 공격에도 단 몇 초 만에 대응하고 초기 단계에 공격을 차단할 수 있습니다.

위협 발견에 대한 글을 기고해 주신 Isabel Finn, Darktrace 분석가에게 감사드립니다.

AI를 통해 LockBit 랜섬웨어 및 다른 지능형 공격을 탐지하는 방법에 대해 자세히 알아보기

IoCs:

IoC설명
Restore-My-Files.txt암호화된 파일을 포함하는 각 폴더에 쓰여진 랜섬노트
.lockbit암호화 파일 확장자
Windows\Temp\eck2.exe
Windows\Temp\eck3.exe
Windows\Temp\eck4.exe
Windows\Temp\eck5.exe
Windows\Temp\eck6.exe
Windows\Temp\neweck.exe
실행 드라이브 쓰기의 파일 이름

Darktrace 모델 탐지:

  • Device / New or Uncommon WMI Activity
  • Compliance / SMB Drive Write
  • Compromise / Ransomware / Suspicious SMB Activity
  • Compromise / Ransomware / Ransom or Offensive Words Written to SMB
  • Anomalous File / Internal / Additional Extension Appended to SMB File
  • Anomalous Connection / SMB Enumeration
  • Device / Network Scan – Low Anomaly Score
  • Anomalous Connection / Sustained MIME Type Conversion
  • Anomalous Connection / Suspicious Read Write Ratio
  • Unusual Activity / Sustained Anomalous SMB Activity
  • Device / Large Number of Model Breaches

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.