최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다.
“Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면 감염 대상 경로를 지정할 수 있고, 경로를 지정하지 않을 경우에는 루트 경로에서 시작해 시스템 전체에 영향을 미칠 수 있다.
또한, 랜섬노트를 ‘/etc/motd’에 생성해 사용자가 SSH 등으로 원격 접속한 경우 로그인 화면에 [그림 2]와 같이 랜섬노트를 띄운다.
파일을 암호화하기 전 먼저, 가상화와 에뮬레이션 기능을 제공하는 프로세스를 종료하고 uname 명령을 사용해 운영 체제의 유형을 확인한다.
- 프로세스 종료 대상 : kvm, qemu, xen
랜섬웨어를 실행한 환경이 VMWare ESXi 서버로 식별되면 esxcli 명령을 사용해 서버에서 실행 중인 가상 환경을 종료한다.
- 가상 머신 종료 : esxcli vm process kill -t=force -w=WorldID
가상 환경 종료 후에는 VMware ESXi 호스트용 CLI 도구인 vim-cmd를 사용해 가상 머신 내에 저장된 스냅샷을 삭제한다.
- 가상 머신 스냅샷 삭제 : vim-cmd vmsvc/snapshot.removeall [VMID]
앞서 설명한 기능 외에도 기존에 다른 랜섬웨어에서 사용하지 않던 명령이 추가됐다. 추가된 명령은 2021년에 VMware 사에서 게시한 ESXi 서버의 메모리 힙 고갈 버그와 관련이 있으며 해당 게시글의 임시 조치로 알려진 방식과 유사하다. 또한, 당시 벤더사 측에서는 패치를 완료한 상태로 업데이트 할 것을 권고했다.
- 파일 시스템 조회 : esxcli storage filesystem list | grep 'VMFS-5'
- 임시 디스크 생성 : vmkfstools -c 10M -d eagerzeroedthick $I/eztDisk
- 디스크 삭제 : vmkfstools -U $I/eztDisk
추가로, esxcfg-advcfg를 사용해 버퍼 캐시 설정을 변경하는 명령어도 [그림 6]과 같이 확인됐다.
- 버퍼 캐시 설정 변경 (MaxCapacity) : esxcfg-advcfg -s 32768 /BufferCache/MaxCapacity
- 버퍼 캐시 설정 변경 (FlushInterval) : esxcfg-advcfg -s 20000 /BufferCache/FlushInterval
이번 보고서에서 언급한 "Qilin" 랜섬웨어는 공격 대상 환경을 리눅스로 확장했으며, 기업에서 사용하는 ESXi 서버에 구성된 가상 환경을 사용하지 못하도록 파일을 암호화하므로 서버 관리자들의 주의가 필요한다. 따라서, 랜섬웨어 감염으로 인한 영향을 줄이기 위해서는 주기적인 데이터 백업과 백신 프로그램의 실시간 감시를 활성화하고 항상 최신 버전으로 유지해야 한다.
'분석 정보 > 리눅스 분석 정보' 카테고리의 다른 글
| Bifrost RAT 악성코드 변종 발견 (0) | 2024.04.11 |
|---|---|
| BPFDoor 변종 발견 및 유형별 BPF 필터 코드 차이점 비교 (0) | 2023.09.01 |
| SSH 서버를 대상으로 공격하는 RapperBot 악성코드 (0) | 2022.12.27 |
| 소스코드가 공개된 EnemyBot 악성코드 (0) | 2022.11.04 |
| BlackBasta 랜섬웨어 리눅스 버전 (0) | 2022.09.30 |