웜 기능이 추가된 MountLocker 랜섬웨어

최근 웜 기능을 추가한 “MountLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 액티브 디렉터리를 사용하는 기업 네트워크 환경을 대상으로 공격하며, 웜 기능을 사용하기 위해 “/NETWORK”라는 인자를 사용한다.

 

“MountLocker” 랜섬웨어는 2020년 7월에 등장했으며 주로 기업을 대상으로 공격한다. 이들은 서비스형 랜섬웨어(Ransomware as a Service, RaaS)라는 비즈니스 모델을 사용해 운영 중이며, 지난 3월에는 “MountLocker” 랜섬웨어의 커스텀(Custom) 버전을 사용하는 “AstroLocker” 랜섬웨어 조직이 등장했다.

당시에는 “MountLocker” 랜섬웨어 조직이 “AstroLocker”로 이름을 변경해 활동하는 것으로 알려졌다. 하지만, 현재 “AstroLocker” 팀의 데이터 유출 사이트는 운영되지 않고 있으며, 외신은 “AstroLocker” 랜섬웨어 조직이 “MountLocker” 랜섬웨어 조직의 리브랜딩이 아니라 동맹 관계라고 언급했다고 알렸다.

이번에 등장한 변종 랜섬웨어는 “XingLocker” 조직에서 사용한다고 알려졌으며, 해당 조직은 [그림 1]과 같이 데이터 유출 사이트를 직접 운영 중이다.

출처 : https://www.bleepingcomputer.com/news/security/mount-locker-ransomware-joins-the-multi-million-dollar-ransom-game/

 

[그림 1] MountLocker 랜섬웨어 조직 데이터 유출 사이트 (좌), XingLocker 랜섬웨어 조직 데이터 유출 사이트 (우)

 

또한, 해당 랜섬웨어 변종이 생성하는 로그파일은 [그림 2]와 같이 “Ver 5.0 x64”라는 문자열을 보여준다.

 

[그림 2] MountLocker 랜섬웨어 실행 로그

 

[표 1]은 “MountLocker” 랜섬웨어가 사용하는 인자이며, “/NETWORK” 인자를 사용해 원격 호스트에서 랜섬웨어를 실행할 수 있다.

 

[표 1] MountLocker v5.0 인자

 

“MountLocker” 랜섬웨어에 새로 추가된 웜 기능을 실행하면 기업에서 다수의 컴퓨터를 관리하기 위해 사용하는 액티브 디렉터리(Active Directory)에 접근해 정보를 획득한 후, 네트워크에 연결된 컴퓨터의 파일을 암호화한다.

액티브 디렉터리를 사용하면 사용자 계정에 대한 인증, 그룹 정책 등을 중앙에서 통합 관리를 할 수 있으며, 액티브 디렉터리의 기본 단위인 도메인(Domain)을 관리하는 서버를 도메인 컨트롤러(Domain Controller)라고 한다. 추가로 사용자와 네트워크 자원에 대한 정보를 저장하고 관리하는 소프트웨어 시스템을 디렉터리 서비스(Directory Service)라고 한다.

[그림 3]은 직접 액티브 디렉터리를 구축한 후 도메인 컨트롤러로 설정된 서버에서 실행한 서버 관리자 대시보드이다.

 

[그림 3] 도메인 컨트롤러 서버 관리자 대시보드

 

"MountLocker" 랜섬웨어는 ADSI(Active Directory Service Interfaces)를 사용해 도메인 컨트롤러의 리소스를 열람 및 관리한다. [그림 4]는 ADSI를 사용해 주 도메인 컨트롤러에 연결된 개체의 정보를 획득하는 과정이다.

 

[그림 4] Active Directory 개체 정보 획득

 

- Active Directory 개체 정보 획득 과정

1. 주 도메인 컨트롤러의 호스트 이름을 검색한다.

2. LDAP 쿼리를 사용해 주 도메인 컨트롤러와 바인딩하고 해당 개체에 요청한 IdirectorySearch 인터페이스를 ADSI(Active Directory Service Interface)에서 찾는다.

3. LDAP 쿼리를 사용해 디렉터리 서비스에 연결된 컴퓨터 정보를 획득한다.

 

주 도메인 컨트롤러에 연결된 컴퓨터의 관리목적 공유 폴더(C$)에 접근해 [그림 5]와 같이 파일을 복사한다. 관리목적 공유 폴더는 컴퓨터나 네트워크 관리를 목적으로 만들어진 폴더로 원격에서 “\\IP\C$”를 사용해 접근할 수 있으며, 윈도우에서 기본적으로 설정된 공유 폴더이다.

 

[그림 5] MountLocker 랜섬웨어 복사

 

원격 호스트에 복사한 파일은 “/NOLOG” 옵션을 사용해 실행하며 [그림 6]과 같이 원격 호스트에서 커맨드 명령을 실행하는 프로세스를 생성한다.

 

[그림 6] 원격 호스트에 MountLocker 랜섬웨어 실행

 

[그림 7]은 “/NETWORK” 옵션으로 도메인 컨트롤러와 원격 호스트 모두 감염된 결과이며, 파일 암호화가 끝나면 자가삭제한다.

 

[그림  7] 랜섬웨어 감염 결과

 

“MountLocker” 랜섬웨어의 랜섬노트는 “RecoveryManual.html”란 이름을 지니며 [그림 8]의 내용과 같이 감염 사실 및 랜섬머니 지불 경로를 고지한다.

 

[그림 8] MountLocker 랜섬웨어 랜섬노트

 

“TrickBot” 등의 악성코드에서 ADSI를 사용한 적이 있지만, 랜섬웨어에서는 “MountLocker” 랜섬웨어가 처음으로 사용했다. 또한, 도메인 컨트롤러에 접근해 기업의 모든 도메인을 획득 및 관리할 수 있어 각 보안 담당자의 주의가 필요하다. 따라서 사용하고 있는 보안 제품이나 OS를 항상 최신 버전으로 유지해야 하고, 기업들은 네트워크 시스템의 보안을 주기적으로 확인하고 정책을 업데이트할 필요가 있다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림  9] TACHYON Internet Security 5.0  진단 및 치료 화면