Medusa Ransomware 분석 보고서

개요

Medusa Ransomware는 2021년 처음 등장한 이후 꾸준히 활동 범위를 넓혀온 고위험 사이버 위협이다. 파이오링크에서도 2021년 6월 Medusa Ransomware에 대한 분석(Medusa Locker 분석 보고서, 파이오링크 보안위협 분석, 2021-06-22)을 수행한 바 있다. 그 후로 메두사는 현재까지 활발한 공격을 진행하고 있으며 의료, 에너지, 보험 등 주요 산업 분야에서 약 300명 이상의 피해자가 발생했다.
주목해야할 부분은 현재 북한의 연계 해킹 그룹인 Lazarus에서 Medusa Ransomware를 사용하여 미국 의료 부문에 공격을 진행한 것이다. Lazarus와 Medusa Ransomware가 연계된 것이 공개적으로 언급된 것은 이번이 처음이며, Medusa Ransomware 외에도 Lazarus 전용 백도어인 Comebacker, 원격 접속 악성코드 Blindingcan, Mimikatz 등이 이번 공격에 함께 사용되었다. 과거 Maui나 H0lyGh0st 등의 자체 개발 악성코드를 사용한 것과 달리 Medusa 같은 서비스형 Ransomware(RaaS)를 활용하는 방식으로 전술적 방향이  바뀌고 있는 것으로 보인다. 이는 직접 개발에 따른 비용과 시간을 줄이는 동시에, 검증된 공격 인프라를 통해 효율성을 극대화하려는 판단으로 분석된다. 

Medusa Ransomware 도식도

Medusa Ransomware는 다음과 같은 흐름으로 악성 행위가 진행된다.

상세 분석

Medusa Ransomware는 실행 시 총 11개의 파라피터를 사용해 악성행위를 수행한다. –V 파라미터를 주어 악성코드를 실행할 경우 아래와 같이 버전정보 1.20이 출력되는데 이를 통해 Medusa Ransomware가 일정한 개발주기가 있음을 추측할 수 있다. 

<그림 1> 메두사 Ransomware 1.20 버전 

11개의 파라미터는  각각 아래 표와 같은 기능을 수행한다. 

<그림 2> 악성코드 내부 파라미터 분기

<그림 2-1> 악성코드 내부 파라미터 분기

<표 1> 파라미터 별 실행 기능

악성코드는 기본적으로 콘솔 창 숨김 모드로 실행되며, -v 인수를 주어 실행할 경우에만 사용자에게 콘솔 창을 보여준다. 

<그림 3> SW_HIDE 옵션의 ShowWindow

-w 인수를 설정하여 외부 powershell 스크립트 실행 시 출력되는 부분으로 해당 인수를 지정하지 않을 경우 내장된 powershell 구문이 실행되도록 설계되어 있다. 특히 –executionpolicy bypass는 powershell의 스크립트 실행 정책을 완전히 우회하는 옵션으로, 공격자가 서명되지 않은 임의의 악성 스크립트를 제약없이 실행하려 했음을 알 수 있다. 

<그림 4/그림 5> 파워쉘 명령어 실행

암호화에 사용할 RSA 공개키를 로드한다. 이 부분도 마찬가지로 –k 인수가 설정되어 있을 경우 외부 공개키 파일을 참조하여 사용하지만, 설정되어 있지 않을 경우 내부에 내장된 RSA 공개키를 로드하여 사용한다. 

<그림 6> 외부 공개키 파일 로드

<그림 7> 내부에 내장된 RSA 공개키 

로드한 RSA 공개키는 일정한 계산 과정을 거쳐 사용자 고유 식별 값으로 변환되며, 이 식별 값은 피해자를 구분하는데 사용된다. 

<그림 7> RSA 공개키를 입력 값으로 해시값 생성

암호화 제외 확장자 목록을 0x2E 값과 xor 연산하여 복호화한다. 암호화에서 제외되는 확장자는 .dll, .exe, .lnk, .MEDUSA 확장자이다. 

<그림 8> 제외 확장자 목록 xor 복호화 

파일을 암호화하는데 방해되는 서비스와 프로세스를 종료한다. CreateProcess 함수로 명령어를 실행하여 프로세스와 서비스를 종료하는 방식을 사용한다. 44개의 프로세스,  184개의 서비스를 종료한다. 

<그림 9> 실행 서비스 종료

<표 2> 종료 프로세스 및 서비스(일부) 

사용자가 시스템 복구를 할 수 없도록 볼륨 섀도우 파일을 삭제한다. MEDUSA Ransomware는 새로운 섀도우 복사본이 충분히 생성되지 못하도록 스토리지 크기까지 조작한다. 

<그림 10> 볼륨 섀도우 파일 삭제/ 스토리지 설정 

입력한 파라미터 값에 맞게 파일 암호화를 수행한다. 파일은 AES256 알고리즘으로 암호화된다. 

<그림 11> 파일 암호화

<그림 12> 암호화 후 확장자 변경 

암호화된 파일은 [AES 암호화된 파일 내용 + MEDUSA 문자열 + 파일 크기 + RSA 공개키로 암호화한 AES 키 + 피해자 식별 해시]로 구성된다. 

<그림 13> 암호화된 파일 구조 

모든 파일의 암호화가 완료되면 랜섬노트를 생성하고 파일을 자가삭제한다. 

<그림 14> 생성된 랜섬노트

<그림 15> Ransomware 자가 삭제 진행 

결론

Medusa Ransomware는 단순한 파일 암호화를 넘어 체계적이고 정교하게 설계된 다단계 공격 구조를 갖추고 있다.
악성코드는 실행 즉시 창을 숨기고 백업ž보안 관련 서비스와 프로세스를 종료한 뒤 볼륨 섀도 복사본을 삭제하여 피해자의 자체 복구 수단을 완전히 차단한다. 이후 AES 알고리즘을 이용해 암호화를 진행하며 암호화 완료 후에는 자기 자신을 삭제하여 흔적을 지운다.
최근 북한 국가 배후 해킹 조직인 Lazarus그룹이 Medusa Ransomware를 활용하여 공격을 감행한 만큼, 향후 더욱 광범위한 공격이 예상되므로 각별한 주의가 필요하다.