Payload 랜섬웨어는 올해 2월에 첫 등장한 랜섬웨어로 이 조직은 에너지, 의료 및 통신 업체 등을 대상으로 단 기간에 약 30여곳을 공격해 데이터를 탈취했다고 주장하고 있다. 이 랜섬웨어는 스레드를 생성해 네트워크 드라이브를 포함한 모든 드라이브를 대상으로 암호화를 진행하며 ETW(Event Tracing for Windows) 관련 함수의 주소 부분을 패치해 보안 솔루션의 탐지를 우회한다. 또한 NTFS ADS(Alternate Data Stream)을 이용한 자가 삭제로 실행 흔적을 숨기며 실행 인자값을 설정해 암호화 대상 경로와 병렬 스레드 수 및 ETW 우회 여부 등의 악성 동작 실행을 설정 할 수 있다. 추가로, Payload 랜섬웨어는 2021년에 소스코드가 유출된 Babuk 랜섬웨어의 키 교환 알고리즘과 서비스 및 프로세스 종료 대상 목록 등이 대부분 일치해 Babuk 랜섬웨어의 소스코드를 재사용했다고 전해진다.
Payload 랜섬웨어는 파일 암호화 이전에 피해 시스템의 주요 데이터를 탈취한 뒤 암호화와 데이터 공개 위협을 동시에 가하는 이중 갈취 전략을 사용한다. 탈취한 데이터는 공격자가 Tor 네트워크상에서 운영하는 데이터 유출 사이트에 일부 공개하며 피해자에게서 연락이 없을 경우 원본 데이터를 추가 공개한다.
Payload 랜섬웨어를 콘솔 형태로 실행하면 동작 결과를 출력하며 파일을 암호화하고 랜섬노트를 생성하는데 아래 [표 1]의 항목은 암호화 대상에서 제외한다. 생성하는 랜섬노트는 RC4로 암호화됐으며 암호화 키와 암호문은 Base64로 인코딩된 상태로 랜섬웨어 내에 저장돼있다. 복호화된 랜섬노트는 C:\ 경로에 RECOVER_payload.txt 파일명으로 생성한다.
암호화 과정에서는 CryptGenRendom 함수로 32바이트의 난수를 생성한 뒤 타원 곡선 암호화 알고리즘인 Curve25519(X25519)로 암호화 키를 생성하고 알고리즘의 형식에 맞춰 비트 클램핑을 진행한다. 이후 공격자의 공개키로 연산해 암호화 키를 생성하고 ChaCha20 알고리즘으로 파일을 1MB씩 암호화한다.
Payload 랜섬웨어는 콘솔 실행 시 다양한 인자값을 지원하며 암호화 대상 경로와 병렬 스레드 수 지정하거나 암호화 제외 대상을 무시하는 등 주요 악성 동작의 실행 여부와 세부 파라미터를 설정할 수 있다.
Payload 랜섬웨어의 실행 옵션 중 하나인 bypass-etw는 랜섬웨어에서 발생하는 윈도우 이벤트를 감지해 차단하는 ETW(Event Tracing for Windows) 기반 차단을 우회하는 옵션이다. VirtualProtect 함수를 호출해 ETW 함수가 위차한 메모리 영역의 보호 속성을 쓰기 가능한 상태로 변경한 뒤 CPU 아키텍처에 따라 Opcode를 실행해 ETW 함수의 메모리 시작 주소의 반환값을 0으로 패치한다.
- x32 대상 Opcode : XOR EAX, EAX; RET 0;
- x64 대상 Opcode : XOR RAX, RAX; RET;
실행 옵션 중 d 는 NTFS의 ADS(Alternate Data Stream) 기능을 악용해 자기 자신의 파일명 끝에 :payload을 부여하며 파일을 ADS 영역으로 이동시킨다. ADS는 NTFS 파일 시스템에서 하나의 파일에 본래 데이터 외 추가 데이터 스트림을 숨겨 저장할 수 있는 기능으로서 파일 탐색기 등 일반적인 환경에서는 보이지 않는다. 랜섬웨어 자기 자신을 ADS영역으로 은닉한 뒤, NtSetInformationFile 함수에 FileDispositionInformationEx(64) 인자값을 지정하여 해당 파일을 삭제한다.
algo 옵션을 지정하면 파일 암호화 시 대상 시스템의 CPU 기능을 조회한 뒤 SIMD 방식 중 AVX와 SSE2 방식에서 적합한 명령어 체계를 선택해 암호화한다. SIMD(Single Instruction Multiple Data)는 하나의 명령어로 여러 데이터를 동시에 처리하는 연산 방식으로서 일반적인 순차 연산 대비 처리 속도가 크게 향상된다. 해당 방식을 이용해 암호화 연산산을 빠르게 하며 별도에 지정이 없을 경우 CPU 지원 여부에 따라 자동으로 선택한다.
이 밖에도 Payload 랜섬웨어는 실행 옵션에 따라 백업과 보안 솔루션 및 DB 등의 서비스와 프로세스 등을 강제 종료하고 이벤트 로그 관련 API를 호출해 응용 프로그램과 시스템 등을 비롯한 이벤트 로그 전체를 삭제하며 랜섬웨어 실행 흔적을 제거한다.
Payload 랜섬웨어는 Curve25519와 ChaCha20 알고리즘으로 파일을 암호화하고 ETW 패치 및 NTFS ADS 자가 삭제 등의 기법으로 보안 프로그램의 탐지와 분석을 회피한다. Payload 랜섬웨어 뿐만 아니라 유출된 Babuk 랜섬웨어 소스코드를 기반으로 한 변종은 지속적으로 확인되고 있어 주의가 필요하다. 따라서 주기적으로 파일과 시스템을 백업하고 다른 저장 장치에도 2차 백업을 수행해 감염에 대비하며 보안 프로그램과 OS를 항상 최신 버전으로 유지할 것을 권고한다
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.
'분석 정보 > 랜섬웨어 분석 정보' 카테고리의 다른 글
| Reynolds 랜섬웨어, BYOVD로 윈도우 디펜더 무력화 (0) | 2026.03.06 |
|---|---|
| Git으로 위장한 Cephalus 랜섬웨어 (0) | 2025.10.28 |
| BQTLock 랜섬웨어 변종 발견 (1) | 2025.09.19 |
| Gunra 랜섬웨어, Conti의 새로운 변종 등장 (3) | 2025.08.19 |
| 2025년 새로 등장한 NightSpire 랜섬웨어 (0) | 2025.06.24 |
