이 글에서는 LockBit 3.0 랜섬웨어 공격 사례를 분석하여 실제 공격이 실행되는 행위와 예방할 수 있는 방법을 설명한다.

LockBit 3.0 랜섬웨어는 무엇인가?

LockBit 3.0 랜섬웨어 (LockBit Black) 는 랜섬웨어 범죄 조직 LockBit이 제작한 랜섬웨어이다. 2019년 9월 첫 공격이 발생했고, 업그레이드 된 LockBit 2.0 으로는 2021년 7월 말 까지 꾸준히 활동해왔다. 이 그룹은 전 세계 기업들을 대상으로 엄청난 피해를 입혔으며, 2022년 7월 초 LockBit 3.0 으로 버전 업그레이드를 하여 다시 등장했다. LockBit 3.0 프로그램에 감염되면, 다른 랜섬웨어 공격과 동일하게 감염된 장치의 모든 파일이 암호화되며, 감염된 장치의 데이터를 복구하거나 유출을 막기 위해서는 몸값 (Ransom) 을 지불하라고 요구한다.

또한, Bleepingcomputer 기사에 따르면 최근 LockBit 3.0 의 빌더 소스코드가 온라인에 유출되었고, 그 사실이 널리 퍼지면서 LockBit 3.0 빌더를 악용해 자체적인 공격을 수행하는 다른 공격자 또는 랜섬웨어 그룹이 더욱 증가할 것으로 보인다. 이는, 앞으로 더 많은 기업이 랜섬웨어를 통한 타격을 입을 것으로 예상되는 심각한 보안 이슈이다.

출처 : Bleepingcomputer ( https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/ )

이력서로 위장한 LockBit 3.0 랜섬웨어 유포 메일

2022년 9월 14일 한 기업 메일에 다음과 같은 이력서 이메일이 수신되었다. 메일 제목은 “허지안” 으로, 사람 이름과 같은 형태였고, 메일의 내용은 입사 지원을 하기 위해 이력서를 보낸다는 내용이었다. 이력서로 위조된 아래 메일은 LockBit 3.0 랜섬웨어 악성코드를 유포하기 위해 이력서로 위장한 공격 메일이다. CIP Team은 해당 공격 메일과 첨부된 랜섬웨어 악성코드를 분석했다.

메일 내용은 입사 지원에 대한 내용이지만, 자세히 살펴보면 문장의 앞 뒤 문맥이 맞지 않거나, 맞춤법이 틀린 부분이 많다. 보통 기업의 입사지원 메일에는 맞춤법 등 문법에 특별히 신경을 쓰는데, 해당 메일은 정상적인 입사지원자의 메일이라고 보기에는 어려울 정도로 문법이 엉망이다. 또한, 별도의 첨부 파일이 없었고, “포트폴리오 확인” 이라는 텍스트에 파일 다운로드 링크가 삽입되어 있다.

이력서로 위장한 LockBit 3.0 랜섬웨어 유포 메일

“이력서5.exe” 파일의 아이콘은 언뜻 보기에 Word 파일처럼 보이지만, 자세히 살펴보면 Word 파일로 보이도록 위조된 아이콘이다. 또한, 파일 확장자가 워드파일에 사용되는 “.doc” 가 아닌 실행 프로그램 확장자인 “.exe” 로 되어있다.

공격이 발생해도 피해가 없도록 가상 환경에서 “이력서5.exe” 프로그램을 실행해 보았다.

이력서 워드 파일로 위장한 LockBit 3.0 랜섬웨어 프로그램을 실행하기 전(좌측) 과 후(우측) 바탕화면 아이콘 변화

시간이 좀 더 경과하자, 바탕화면 배경 이미지도 LockBit Black 의 메시지가 담긴 이미지로 변경되었다.

LockBit 3.0 에 공격된 PC의 바탕화면. 파일이 모두 암호화 되었으며, TXT 파일을 실행하라는 메시지가 적혀있다

바탕화면의 내용에 따라 README.txt  라는 파일명의 랜섬웨어 노트를 찾아 실행해 보니, 다음과 같은 내용이 보여진다.

몸값을 지불하지 않으면 데이터를 Tor 다크웹 사이트에 유출하겠다는 협박과 함께 LockBit 3.0 다크웹 사이트 링크가 첨부되어있다. 텍스트 파일에 안내된 ID로 링크에 접속해 몸값을 지불하라는 안내이다.

Onion 링크에 접속하기 위해서는 Tor 브라우저를 사용해야 하는데, 이 랜섬웨어 개발자는 친절하게도(?) 도메인 끝에 “.ly”를 붙여 별도의 브라우저 설치 없이 접속이 가능하도록 했다. 

아래 이미지는 Criminal IP 의 Domain Search에 LockBit 3.0 링크를 검색한 결과이다.

https://www.criminalip.io/domain/report?scan_id=2173185&query=http%3A%2F%2Flockbit7z2og4jlsmdy7dzty3g42eu3gh2sx2b6ywtvhrjtss7li4fyd.onion.ly

Criminal IP Domain Search에 LockBit 3.0 다크웹 사이트 링크를 검색한 결과
Criminal IP Domain Search에 LockBit 3.0 다크웹 사이트 링크를 검색한 결과

LockBit 3.0 웹사이트 검색 결과의 Probability of Phishing URL 를 확인해보니 99.74%의 높은 확률로 피싱 악성 도메인으로 확인된다. 최종 Score는 80%로 역시 악성 URL로 인지하였다. 

실제 LockBit 3.0 다크웹 사이트 접속 화면 스크린샷. 감염 당한 사이트와 해독 제한 시간이 표시된다
실제 LockBit 3.0 다크웹 사이트 접속 화면 스크린샷. 감염 당한 사이트와 해독 제한 시간이 표시된다

스크린샷을 보니 LockBit 3.0의 웹사이트로 보이는 로고와 문구가 확인되며, 감염 된 여러 사이트들의 암호 해독 제한 시간이 표시되고 있다.

실제로 LockBit 3.0 공격을 받은 피해자들은 이 웹사이트에 접속해 몸값을 지불하거나, 지불하지 않고 장치에 저장된 데이터를 모두 잃게 된다. 민감한 정보가 담긴 파일이 다크웹 사이트에 유출되는 경우도 있을 것이다.

LockBit 3.0 악성코드 파일 공격 행위 분석 결과

CIP Team은 LockBit 3.0 랜섬웨어 공격에 사용된 exe 파일의 공격 행위를 분석했다.

VirusTotal LockBit 3.0 악성코드 파일 분석 결과

이력서5.exe 파일의 행위를 파악하기 위해 VirusTotal에 파일을 업로드 한 결과는 아래와 같다.

LockBit 3.0 의 exe 실행 파일을 VirusTotal로 분석한 결과

총 71개의 Anti Virus 백신 중 44개의 백신이 “이력서5.exe” 파일을 바이러스로 탐지하였고, “13.107.4.52” IP 주소가 5회 연관된 것을 확인할 수 있다.

또한, 이력서5.exe 실행 시 96F1.tmp  라는 파일이 어딘가에 저장되고 실행되는 것을 알 수 있고, 이 역시 71개의 백신 중 56개의 백신이 탐지했다는 결과가 있다.

96F1.tmp 파일에 대한 VirusTotal 분석도 진행해보았다.

96F1.tmp 파일에 대한 VirusTotal 분석 결과. Execution Parents 결과가 다수 확인된다

96F1.tmp 파일의 경우, Drop File이 아닌 Execution Parents에 해당 되는 파일이 다수 확인 되었다.

즉, LockBit 3.0 랜섬웨어의 공격 실행 순서는 “이력서5.exe” 파일이 Dropper(특정 파일을 사용자가 인지하지 못하는 사이에 다운로드 후 실행) 역할을 하고 96F1.tmp (실행 파일)을 통해 랜섬웨어가 동작하는 구조인 것을 알 수 있다.

96F1.tmp에도 “이력서5.exe”와 동일하게 13.107.4.52 IP 주소가 연관되어 있고 두 파일에 동일한 IP가 연관된 것으로 보인다. 해당 IP 주소가 공격자가 사용하는 감염된 좀비 서버인 C2 (Command & Control server) 임을 유추할 수 있다.

Criminal IP Asset Search 분석

LockBit 3.0 랜섬웨어 실행 파일 분석 결과 확인된 C&C 서버로 추측되는 IP 주소를 Criminal IP Asset Search에 검색해 보았다.

https://www.criminalip.io/asset/report/13.107.4.52

Lockbit 3.0 랜섬웨어 공격에 사용된 C2 서버로 추정되는 IP 주소의 IP 인텔리전스 결과

IP 인텔리전스 분석 결과 KISA, MISP 등에 Blacklist IP로 등록 되어 있는 Critical 한 IP 주소로 판단되었으며, Whois 정보의 AS Name과 Organization Name에 MicroSoft Azure 기업 정보를 사칭하고 있었다.

LockBit 3.0 랜섬웨어 공격 예방 체크리스트

기업 보안 담당자는 LockBit 3.0 랜섬웨어 공격 행위 분석 내용에 따라 아래 체크 리스트를 상시 체크해야 한다.

  1. LockBit 3.0 랜섬웨어 악성코드에 연관된 IP 주소를 보안 시스템의 Blacklist에 등록하기
  2. 이력서 등의 이메일 수신 시 메일 내용에 의심스러운 부분이 없는지 확인 및 의심스러운 파일이 첨부되어 있을 경우 열람하지 않기
  3. 불분명한 출처의 첨부 파일, URL 링크에 대해 실행을 해야 한다면 Criminal IP Domain Search에 검색해 안전한 Domain 인지 확인하기
  4. 의심스러운 파일의 경우 VirusTotal에 업로드 하여 안전한 파일인지 확인하기

현재 그룹 내 개발자로 인해 유출된 Lockbit 3.0 빌더 소스코드로 인해 수 많은 해커가 자체적으로 이 같은 공격을 수행 할 것이 심각하게 우려되고 있다. 기업의 보안 담당자는 Blacklist IP를 최신화 하는 것 과 더불어, 위협 인텔리전스를 활용해 수신된 메일의 의심스러운 링크, 접속하는 도메인의 악성 여부 등을 필수로 점검해야 한다. 관련하여 DDos 공격에 대해 IP 인텔리전스로 대응하는 방법에 대한 글을 참고하여도 좋다.

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 :