본문 바로가기
분석 정보/랜섬웨어 분석 정보

Git으로 위장한 Cephalus 랜섬웨어

by TACHYON & ISARC 2025. 10. 28.

최근 오픈 소스 버전 관리 시스템인 Git으로 위장한 Cephalus 랜섬웨어가 발견됐다. 파일 정보에는 Git for Windows.exe 2.49.0 버전이라는 설명과 Git 프로그램의 아이콘 및 인증서를 사용하며 정상 파일로 위장해 사용자의 실행을 유도한다. Cephalus 랜섬웨어를 실행하면 파일을 암호화하고 Windows Defender 예외 목록에 해당 랜섬웨어 파일을 추가해 탐지를 방지한다. 그리고 공격자는 사용자 PC를 암호화할 뿐만 아니라 정보를 탈취해 데이터 유출 사이트인 DarkForum에 게시한다.

보안 업체 헌트리스에 따르면 DLL 사이드로딩으로 실행되는 또다른 Cephalus 랜섬웨어를 발견했다고 전했다. 해당 랜섬웨어는 다중 인증(MFA)이 없는 계정을 이용한 원격 데스트톱 프로그램으로 유포됐으며 정상 보안 프로그램 실행 파일인 SentinelBrowserNativeHost.exe DLL 사이드로딩으로 실행된다고 언급했다. 또한 파일 암호화 후 생성된 랜섬노트에는 Cephalus 랜섬웨어 공격 사례를 다룬 온라인 뉴스 기사 링크가 포함돼 있어 공격자에게 연락해야 한다는 조바심을 조성한다고 설명했다.

Cephalus 랜섬웨어 관련 헌트리스 게시글 링크 : https://www.huntress.com/blog/cephalus-ransomware 

 

[그림 1] 아이콘 및 인증서 비교

 

Cephalus 랜섬웨어는 파일 암호화 이전에 탐지를 회피하려고 쉘과 Powershell 명령으로 Windows Defender의 보안 정책 및 예외 설정을 변경한다. 실행한 쉘 명령은 랜섬웨어 파일 경로를 Windows Defender의 예외항목으로 추가하고 Windows Defender 및 실시간 감지 기능을 비활성화한다. Powershell 명령으로는 파일 암호화에 사용된 키를 저장한 파일과 암호화된 파일의 확장자를 추가로 등록한다. 또한 vssadmin으로 사용자 PC에 저장된 볼륨 섀도우 복사본을 삭제하며 랜섬웨어 실행 이전 상태로 복구하지 못하게 한다.

 

[그림  2] Windows Defender  비활성화 명령어


Cephalus 랜섬웨어를 실행하면 사용자 PC의 파일을 암호화하며 기존 파일명 끝에 .sss 확장자를 추가한다. 암호화 과정이 완료되면 암호화한 경로마다 아래 [그림 3]과 같이 "recover.txt" 이름의 랜섬노트를 생성해 파일 복구를 빌미로 공격자에게 연락을 요구한다.

 

[그림 3] 랜섬노트

 

랜섬웨어는 파일을 암호화하는 과정에서 시스템 내 존재하는 A부터 Z까지의 모든 드라이브 경로를 탐색하며 대상 파일을 식별한다. 이 과정에서 ".sss" 확장자를 가진 파일과 랜섬노트 파일을 제외해 중복 암호화를 방지한다. 그리고 'Windows'와 'Program Files' 경로 등 운영체제의 정상 동작에 필수적인 시스템 경로 및 부팅에 영향을 미칠 수 있는 파일은 암호화 대상에서 제외해 사용자 PC가 부팅 불가능한 상태에 빠지는 것을 방지한다.

 

[표 1] 암호화 제외 목록

 

파일 암호화 과정에서는 AES-256-CTR 알고리즘이 사용되며 대상 파일의 첫 512바이트만 읽고 이를 암호화한다. 파일 암호화에 사용된 AES 암호화 키와 IV 값은 랜덤으로 생성하며 암호화 키는 Base64 인코딩된 공격자의 공개 키를 이용해 RSA-2048 알고리즘으로 암호화한 뒤 파일로 저장한다. 저장되는 경로는 '%LocalAppdata%\temp.dat'와 '%LocalAppdata%\Temp\encrypted_key.bin' 및 '%Appdata%.system_cache'이며 이는 공격자의 개인 키를 받아 파일을 복호화할 때 사용될 것으로 확인된다.

 

[그림 4] 파일 암호화 코드

 

 

Cephalus 랜섬웨어는 Git for Windows의 아이콘과 인증서를 악용해 사용자에게 실행을 유도하고 Windows Defender에 자신을 예외 항목으로 추가하며 탐지를 회피할 수 있어 주의가 필요하다. 따라서 출처가 의심스러운 파일의 실행은 지양하고 중요 데이터는 다른 저장매체에 정기적으로 백업하며 운영체제 및 보안 솔루션의 최신 버전 업데이트를 권장한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 6.0 진단 및 치료 화면

 

 

저작자표시 비영리 변경금지 (새창열림)

'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글

BQTLock 랜섬웨어 변종 발견  (0) 2025.09.19
Gunra 랜섬웨어, Conti의 새로운 변종 등장  (3) 2025.08.19
2025년 새로 등장한 NightSpire 랜섬웨어  (0) 2025.06.24
Interlock 랜섬웨어, 데이터 유출 주의  (0) 2025.06.20
부분 암호화를 사용하는 Play 랜섬웨어  (0) 2025.02.18

관련글

티스토리툴바