보안 위협 분석

온라인 문의

MITRE ATT&CK 프레임워크와 함께 살펴보는 MBC 기반 랜섬웨어 행위 및 코드 분석

악성코드 분석        2023-12-29

첨부 : [파이오링크]MITRE ATT&CK 프레임워크와 함께 살펴보는 MBC 기반 랜섬웨어 행위 및 코드 분석.pdf

개요

 

  18세기 초 3차 산업혁명을 시작으로 지금까지 컴퓨터는 우리의 일상에서 떼어놓을 수 없는 존재가 되었다. 특히 현재는 4차 산업혁명이라는 말이 나오기 시작하며 우리 일상의 디지털화는 더욱 빠르게 진행되고 있다. 이에 피할 수 없이 사이버 상의 위협도 계속해서 발달하고 고도화되어 더욱 교묘해지고 있다. 많은 보안전문가들은 이러한 공격들을 막기 위해서 지금도 많은 노력을 기울이고 있다.  

  해커들은 사용자 엔드포인트에 침입을 하게 되면 해당 시스템을 장악하기 위해 일련의 과정들을 수행한다. 이 후 악성코드를 삽입해 정보를 탈취하거나, 암호화하는 등의 행위를 한다. 이렇게 심어진 악성코드는 다른 엔드포인트로의 전파, 추후 재침입 등 사후관리를 용이하게 하여 큰 피해를 끼치고 있다. 이처럼 악성코드는 사이버 위협에 빠지지 않는 존재이다. 악성코드에 감염되었을 때 피해를 조금이라도 줄이기 위해선 악성코드의 동작, 행위 등을 잘 파악할 필요가 있다. 그 중 2013년부터 꾸준히 기업에 큰 피해를 끼치고 있는 랜섬웨어를 분석하여 침해사고 전술, 기술 등을 정의한 ATT&CK 매트릭스와, 아직 준비중이지만 이를 악성코드 분석에 초점을 맞춰 정의한 Mal-ware Behavior Catalog(이하 MBC)를 이용해 주요 전술과 행위를 파악해보고자 한다.



사전지식

MITRE ATT&CK
  MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)은 조직이 자신들의 보안 태세를 파악하고 방어 취약점을 발견할 수 있도록 지원하기 위해 MITRE 社에서 개발한 프레임워크이다. 실제 사이버 공격 사례를 관찰하여 공격자가 사용한 특정 방법들을 공격방법, 전술, 기술의 관점으로 분석하여 문서화했다. 해킹 공격에 대해 절차, 전술, 기술들을 문서화하는 것으로 시작되었으며, 공격자들이 일관적으로 사용하는 공격 분석을 기반으로 정보를 매핑해 위협을 식별할 수 있는 프레임워크로 발전했다. 
새로운 취약점과 공격 범위가 밝혀지면 ATT&CK 프레임워크에 추가되어 지속적으로 발전해 오고 있다. 지난 몇 년 동안 ATT&CK 매트릭스는 공격자 행동에 관한 지식 및 도구 등 모두에 대한 업계 표준으로 자리잡았다.


<그림1> ATT&CK

  MITRE ATT&CK의 경우 공격자가 엔트포인트로 침입하는 과정에 초점을 두고 있는데, 이와는 다르게 악성코드 행위와 분석에 초점을 맞춘 카탈로그도 필요하게 되었다. 그에 따라 현재 악성코드 분석 중에 확인된 모든 행위와 코드 특성을 포함하는 악성코드 행위 카탈로그(MBC)를 개발 중에 있다. 이는 MITRE ATT&CK TacticsTechniques을 활용한다.

MBC
  MBC는 Malware Behavior Catalog의 약자로 ATT&CK 전술을 기반으로 하여 레이블 지정, 유사성 분석, 표준화된 보고 등 악성코드 분석 중심 사용 사례를 지원하기 위해 만들어진 카탈로그이다. Mitre 社에서 기존에 정의한 ATT&CK의 경우 악성코드가 아닌 공격자를 지향한다. 이는 분석가가 악성코드를 분석하는 시점이 아닌 해커가 사용자 엔드포인트에 침입 중 식별된 동작에 초점을 두고 있다는 뜻이다. 따라서 분석 중심의 지원을 위해 악성코드에 적용 가능한 ATT&CK 기술만을 참조하여 그 방법론을 악성코드에 적용해 분석 중심의 관점을 유지할 수 있도록 했다.


<그림2> MBC ATT&CK 전술


  악성코드가 자신의 목표를 달성하기 위해 무엇을 수행하는지 포착하고, 분석 중심 사용 사례 지원을 위해 동작 및 코드 특성을 직접적이고 명시적으로 정의하는 것을 목표로 한다. 기존 ATT&CK 기술에 대한 간단한 설명과 링크가 제공, 함께 사용되나 콘텐츠가 복제되진 않으며, ATT&CK보다 악성코드의 특정 측면을 더 자세하게 다루도록 확장된다. MBC는 Objectives(목표), Behaviors(행위), Methods(방법)으로 악성코드 동작, 행위를 정의한다. Objectives 같은 경우 ATT&CK 전술을 기반으로 하며, 악성코드 분석에 맞게 ATT&CK에는 없는 2가지가 추가로 정의되어 있다. Behaviors는 악성코드와 관련된 ATT&CK 기술이 나열되어 있다. Methods는 악성코드 동작과 연관되어 있다. 
  MBC에 제공된 모든 컨텐츠는 ATT&CK 컨텐츠를 보완한 것으로 중복은 없다. 아직은 공식 페이지가 없어 정식적인 내용은 아니나 악성코드를 분석하는 입장이라면 ATT&CK 매트릭스와 MBC를 적절하게 활용했을 때 좀 더 수월한 분석이 가능할 것이라 생각된다.

랜섬웨어 기술 및 행위

랜섬웨어
  랜섬웨어(Ransomware)는 몸값을 의미하는 Ransom과 악성코드를 뜻하는 Malware의 합성어로, 엔드포인트를 장악하거나 데이터 암호화 후 복호화를 위한 키를 대가로 금품을 요구하는 유형의 악성코드이다. 
최초의 랜섬웨어는 1989년 플로피 디스크를 이용하여 전파된 ‘AIDS.trojan’이다. AIDS/HIV 감염의 위험을 확인할 수 있는 프로그램의 설치를 유도하며, 해당 프로그램을 설치할 경우 PC 내 모든 파일을 암호화하여 몸값을 요구했으며, 이는 현대의 랜섬웨어와 똑같은 방식이다. 이후로는 크게 주목받지 못하다, 인터넷이 빠르게 발전하며 2009년을 시작으로 2012년까지 그 수가 급증했다. 이때 발견된 랜섬웨어는 지피코더, 분도, 레베톤 등이 있다. 
  이 후 블록체인 기술을 기반으로 한 가상화폐들이 등장하며 랜섬웨어가 더욱 왕성하게 활동하기 시작했다. 가상화폐의 익명성 때문에 추적을 어렵게 만들기 때문이다. 2013년 말에 등장한 크립토락커는 몸값 지불의 수단으로 비트코인을 사용했고, 다양한 방식으로 유포되며 막대한 피해를 입혔다. 이것을 기점으로 워너크라이, 갠드크랩, 클롭 등 다양한 랜섬웨어들이 더욱 고도화되어 지금까지도 많은 영향을 끼치고 있다.

<그림3> 랜섬웨어의 역사

  이 후 블록체인 기술을 기반으로 한 가상화폐들이 등장하며 랜섬웨어가 더욱 왕성하게 활동하기 시작했다. 가상화폐의 익명성 때문에 추적을 어렵게 만들기 때문이다. 2013년 말에 등장한 크립토락커는 몸값 지불의 수단으로 비트코인을 사용했고, 다양한 방식으로 유포되며 막대한 피해를 입혔다. 이것을 기점으로 워너크라이, 갠드크랩, 클롭 등 다양한 랜섬웨어들이 더욱 고도화되어 지금까지도 많은 영향을 끼치고 있다.
  2023년에도 랜섬웨어는 꾸준히 활동을 이어갔는데, 랜섬웨어들이 고도화되면서 공격방식에도 변화가 생겼다. 이전에는 공격자가 직접 타겟을 공격했다면 요즘은 RaaS형 랜섬웨어가 많이 사용되고 있다. RaaS는 ‘Ransomware as a Service’의 약자로 제작자에게 비용만 지급하면 랜섬웨어 공격을 진행할 수 있도록 서비스 형태로 제공되는 랜섬웨어를 말한다. ‘Group-IB’의 2021년 랜섬웨어 분석 보고서에 의하면 2021년 RaaS 공격은 전체 공격의 64%라고 한다. 2021년부터 점차 생겨난 RaaS형 랜섬웨어는 현재에도 공격의 주를 이루고 있다. 2023년 주로 활동한 랜섬웨어를 살펴보면 Lockbit, clop, blackcat 등이 있으며 8Base 등 신규 랜섬웨어 그룹들이 대거 등장하여 활발한 활동을 보이고 있다. 최근 서비스형 랜섬웨어 그룹들은 멀티 플랫폼을 지원하여 다양한 플랫폼 공격이 가능하기 때문에 각별한 주의가 필요하다.

<그림4> 상반기 랜섬웨어 동향 – sk 쉴더스


BlackCat
BlackCat 랜섬웨어는 2021년 처음 공개된 랜섬웨어이다. Rust 언어를 사용하여 만들어진 서비스형(RaaS) 랜섬웨어로 비교적 덜 알려진 언어라 백신 우회에 용이하고, 크로스 플랫폼 언어로 피해 서버 환경에 유리하다

<그림5> 악성코드 실행 화면


BlackCat랜섬웨어는 동작 시 악성코드 초기 설정을 위해 레지스트리를 쿼리한다. 이는 고유 식별자 수집을 위한 것으로 이는 임의의 연산을 통해 추후에 접속주소로 활용된다.

ATT&CK

DISCOVERY::Query Registry (T1012)

MBC

DISCOVERY::System Information Discovery (E1082)

 

<그림 6> 레지스트리 접근

  

<그림7> 식별자 접근

 

 

정상 프로세스 위장을 위해 프로세스 정보를 변경한다. explorer.exe 조회 후 해당 정보를 이용, 프로세스 정보를 변경한다.

ATT&CK

DEFENSE EVASION::Process Injection (T1055)

MBC

DEFENSE EVASION::Process Injection::Patch Process Command Line (E1082)

  

<그림8> 프로세스 정보 조작

 

<그림9> 조작 결과

 

또한 악성코드는 원활한 악성행위 수행을 위해 UAC 우회를 시도한다. UAC란 User Account Control로 악성 소프트웨어의 침입을 방지해주는 Microsoft의 보안 도구이다. 악성 소프트웨어가 권한 없는 활동을 수행하지 못하도록 제한한다. 소프트웨어를 다운로드 하거나, 실행할 때 팝업창을 띄워 허가를 요청하는 것이 UAC라고 할 수 있는데 악성코드가 추가 악성코드를 다운로드 하거나, 실행할 때 방해가 되므로 이를 우회하여 악성 행위를 수월하게 진행할 수 있도록 한다.

ATT&CK

DEFENSE EVASION::Abuse Elevation Control Mechanism::Bypass UAC

MBC

-

  

<그림10> UAC 우회

 

<그림11> CoGetObject

 

복구나 백업을 못하게 하기 위해 볼륨 섀도우 카피를 삭제한다. 

ATT&CK

IMPACT::Inhibit System Recovery (T1490)

MBC

IMPACT::Data Destruction::Delete Shadow Copies (E1485.m04)

 

<그림12> 볼륨 섀도우 카피 삭제

 

<그림13> 볼륨 섀도우 카피 2

 

원활한 악성행위 수행을 위해 대상 프로세스를 검색해 종료하며, 다른 소프트웨어가 점유하고 있는 경우에도 해당 프로세스를 강제로 종료한다.  

ATT&CK

DISCOVERY::Process Discovery (T1057)

MBC

-

 

<그림14> 프로세스 종료

 

 

Blackcat 랜섬웨어의 공격 방법들을 정리하면 다음과 같다.


<그림15> ATT&CK 프레임워크


<그림16> MBC 프레임워크


8Base

8Base 그룹은 올해 3월 새롭게 등장하여 중반 즈음부터 관심을 받고 있는 랜섬웨어 그룹이다. 랜섬하우스(RansomHouse)라는 다른 랜섬웨어 조직과 많은 면에서 비슷한 점을 보여 같은 조직이거나 그 하위 조직이라는 추측이 있다. 8Base 그룹이 사용하는 랜섬웨어인 8Base 랜섬웨어는 포보스 랜섬웨어와 비슷하여 포보스와 관련된 그룹일 수 있다는 추측이 있으나 증거는 없다. 중소기업을 타겟으로 하며 23년 중반부터 활발한 활동을 하고있다.

 

8Base 실행 시 악성코드 중복 실행 방지를 위해 뮤텍스를 생성한다. 뮤텍스는 상호 배제(Mutual Exclusion)의 뜻을 가지며 여러 스레드를 사용할 때 자원에 대한 접근 제한을 위해 사용한다.

ATT&CK

-

MBC

Micro-Behaviors::PROCESS::Create Mutex

 

<그림17> 뮤텍스 생성

 

악성코드 지속성 유지를 위해 레지스트리에 값을 등록한다. 등록 경로는 “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” 이며, 해당 경로에 등록된 실행 파일은 부팅 시 따로 클릭하지 않아도 자동으로 실행된다. 레지스트리를 쿼리해 시작 폴더 경로를 획득해 해당 폴더에 악성파일을 복사한다. 이 또한 악성코드의 지속성 유지를 위한 것이다.

ATT&CK

Persistence::Boot or Logon Autostart Execution

MBC

Psersistence::registry-run-keys-startup-folder

 

 

<그림18> 레지스트리 조회

 

<그림19> 악성코드 명과 동일한 이름으로 등록

 

<그림20> 등록 화면

 

<그림21> 시작메뉴에 악성코드 복사

cmd를 실행시켜 볼륨 섀도우 카피 파일 삭제, 백업 카탈로그 삭제, 복구 기능 비활성화 등을 시도한다. 

ATT&CK

IMPACT::Inhibit System Recovery (T1490)

MBC

IMPACT::Data Destruction::Delete Shadow Copies (E1485.m04)

 

<그림22> cmd.exe 실행

실행 명령어 목록

Vssadmin delete shadows /all /quiet

Wmic shadowcopy delete

Bcdedit /set {default} bootstatuspolicy ignoreallfailurers

Bcdedit /set {default} recovertenabled no

Wbadmin delete catalog -quiet

[1] 실행 명령어 목록

 

 

 

cmd를 실행시켜 현재 프로필에 대해 방화벽을 사용하지 않음으로 변경한다.

ATT&CK

Defense::Impair Defenses::Disable or Modify System Firewall

MBC

-

 

<그림23> netsh 실행화면

실행 명령어 목록

Advfirewall set currentprofile state off

Firewall set opmode mode=disable

[2] 실행 명령어 목록


8Base가 사용한 공격방법을 정리하면 다음과 같다.  


<그림24> ATT&CK 프레임워크



 

<그림25> MBC 프레임워크

 

BlackBasta

2022년 새롭게 발견된 BlackBasta 랜섬웨어는 단기간에 기능을 업데이트하고 전세계적으로 피해자 수를 늘려가고 있다. 마찬가지로 RaaS형 랜섬웨어 등장한 이후 가장 활동적인 RaaS 위협 중 하나가 되었다. BlackBasta의 핵심 기능, 유츨 사이트, 협상 방식 등이 Conti 그룹과 유사하기 때문에 Conti 그룹의 파생일 것이라 추측되고 있다.

BlackBasta 실행 시 다른 랜섬웨어들과 동일하게 볼륨 섀도우 카피를 삭제한다.

ATT&CK

IMPACT::Inhibit System Recovery (T1490)

MBC

IMPACT::Data Destruction::Delete Shadow Copies (E1485.m04)

 

<그림26> 볼륨 섀도우 카피 삭제

 

 

아이콘 파일을 생성하며 .basta 확장자를 가진 파일들의 아이콘을 설정한다. 

ATT&CK

-

MBC

OPERATINGSYSTEM::Set Registry Value

  

<그림27> 레지스트리 설정

 

<그림28> 설정 화면

 

기존에 존재하는 서비스인 “Fax”를 삭제한 후 재생성한다. 실행 파일 경로는 악성파일의 위치이며, 시작 유형을 자동으로 설정해 악성코드가 부팅 시에도 자동으로 실행될 수 있도록 한다. 

ATT&CK

PERSISTENCE::Create or Modify System Process:: Windows Service

MBC

PERSISTENCE::modify-existing service

  

<그림29> 서비스 수정

 

<그림30> 수정된 서비스

 

Blackbasta는 안전모드로 부팅 후 악성행위를 진행하는데 이는 안전모드 진입 시 Windows 운영 체제의 특정 기능 외에 모든 기능이 자동실행되지 않는 점을 악용한 방식이다. 안전모드로 설정 후 부팅 시 악성코드는 자동실행 될 수 있도록 따로 레지스트리에 값을 등록해둔다. 

ATT&CK

IMPACT::System shutdown/reboot

MBC

PERSISTENCE::shutdown

 

 

<그림31> 안전모드 설정

 

<그림32> 재부팅

 

이미지 파일 생성 후 해당 이미지를 배경화면으로 설정해 피해자에게 악성코드에 감염되었음을 알린다. 

ATT&CK

-

MBC

OPERATING SYSTEM::Wallpaper

 

 

<그림33> 배경화면 변경

 

Blackbasta 악성코드의 행위를 정리하면 다음과 같다 

 

<그림34> ATT&CK 프레임워크

<그림35> MBC 프레임워크

 

 

 

결론

 


 

이처럼 MBC나 ATT&CK를 이용하면 악성코드 분석의 관점에서 악성코드의 전반적인 진행 흐름을 파악할 수 있다. 분석 결과를 바탕으로 랜섬웨어의 기술들을 하나하나 살펴봤을 때 크게 분석 환경 탐지, 암호화 전 사전 작업, 전파, 암호화 4가지의 순서를 따른다. 물론 악성코드에 따라 진행 순서는 다를 수 있다. 분석가가 악성코드 분석을 통해 기술과 전략을 파악하게 된다면 후에 해당 악성코드를 사용하기가 힘들어진다. 화면 해상도, 용량 등을 통해 가상환경을 파악하거나, 필요 정보를 난독화한 후 실행시 복호화하여 사용해 분석가들이 분석을 어렵게 한다. 분석 진행 전 MBC나 ATT&CK을 이용하면 대략적으로 어떤 안티 디버깅 기술이 사용되었는지 파악할 수 있다.

사전작업에는 백업파일 삭제, 권한 상승, 레지스트리 자동실행 등록, 서비스 삭제, 프로세스 종료 등이 포함된다. 특히 2017년부터 랜섬웨어는 백업파일을 삭제하는 기능이 무조건적으로 포함되는데 이는 윈도우 운영체제에 포함되어 있는 복구 기능 때문인 것으로 보인다. 또한 악성코드는 기본적으로 탐지되지 않고 지속되어야 큰 피해를 입힐 수 있기 때문에 자기자신을 은닉하며 컴퓨터 부팅 시에도 계속해서 실행될 수 있도록 하는 것이 중요하다. BlackCat 랜섬웨어처럼 프로세스 정보를 조작한다던가, 처음부터 정상 프로세스에 삽입되어 악성 행위를 진행하거나 하는 방식으로 자기자신을 숨긴다. 위의 사례에는 없지만 ADS(Alternative Data Stream)에 악성코드를 숨겨 정상 프로세스의 실행으로 위장하기도 한다. 지속성 유지를 위해선 주로 레지스트리 자동실행 경로에 악성파일을 등록하거나, 작업 스케줄러, 서비스 등에 등록한다. 시작 폴더에 악성코드를 복사하기도 한다. 다크웹이 주목을 받기 시작하며 위협그룹들이 랜섬웨어를 사용하는 방식이 바뀌었는데, 이전에는 파일을 암호화하여 돈을 주면 복호화 키를 건네주겠다는 단순 협박과 비슷했다면, 지금은 피해기업의 중요정보들을 다크웹에 공개하여 돈을 주지 않으면 더 많은 정보들을 공개하겠다는 식으로 금전을 요구하고 있다. 따라서 단순 암호화만 진행하는게 아니라 피해자 엔드포인트에 진입해 정보를 수집 후 공격자의 C2서버에 전송하는 랜섬웨어 또한 존재한다.

랜섬웨어는 진행의 큰 흐름은 바뀌지 않았으나, 관련 취약점이나, 환경 등 트렌드에 따라 계속해서 변화하는 악성코드 중 하나이다. 따라서 새로운 기술이나 랜섬웨어가 나올 때 마다 해당 악성코드가 사용하는 기술들을 파악할 필요가 있다. MBC 프레임워크는 아직 완성되지 않았지만 ATT&CK 프레임워크 보다 악성코드 분석의 관점에서 더욱 세분화되어 있기 때문에 후에 악성코드 들의 행위를 파악하는 것이 좀 더 수월해질 수 있을거라 생각한다.

 

 

[참고문헌]

 

 

 



 

 

  • 목록

이 페이지 공유하기