오브의 빛나는 별

[오늘의 보안] Venus 랜섬웨어 본문

오늘의 보안

[오늘의 보안] Venus 랜섬웨어

오브의 별 2023. 7. 1. 14:53
반응형

<3줄 요약>

- 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 RDP를 통해 수행되고 있는 것으로 추정
- Download 폴더 내 Venus 랜섬웨어는 'bild.exe_'라는 이름으로 있고, 파일 암호화 후 '.venus' 확장자를 추가
- 바탕화면 변경 후  README 파일을 보여주며 랜섬노트 공개

 

Venus 랜섬웨어 : 사용자 데이터에 대한 대가로 비트 코인에서 몸값을 요구하는 또 다른 파일 잠금 멀웨어

RDP(Remote Desktop Protocol) : 원격 데스크톱 서비스

Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구 설치

설치되는 도구들은 NirSoft 사에서 제작한 것이 특징

 

 

 

https://asec.ahnlab.com/ko/54767/

 

RDP를 통해 Venus 랜섬웨어를 설치하는 Crysis 공격자 - ASEC BLOG

ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑

asec.ahnlab.com

ASEC(AhnLab Security Emergency response Center)은 최근 Crysis 랜섬웨어 공격자가 Venus 랜섬웨어를 공격에 함께 사용하고 있는 것을 확인하였다. Crysis와 Venus 랜섬웨어 모두 주로 외부에 노출된 원격 데스크탑 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다. [1] 실제 자사 AhnLab Smart Defense(ASD) 인프라에서 확인되는 로그들을 통해서도 공격이 RDP를 통해 수행되고 있는 것으로 추정하고 있다.

공격자는 Crysis와 Venus 랜섬웨어 외에도 포트 스캐너, 미미카츠와 같은 다양한 도구들을 설치하였다. 이러한 도구들을 이용해 감염 시스템이 기업 내부망으로 확인될 경우에는 내부 네트워크 또한 공격 대상이 될 수 있으며 실제 사례도 확인된다.


1. RDP를 이용한 랜섬웨어 설치

RDP 즉 원격 데스크탑 서비스를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화되어 있는 시스템들을 스캐닝한다. 스캐닝 과정에서 찾은 시스템들에 대해서는 무차별 대입 공격이나 사전 공격을 수행한다. 만약 사용자가 부적절한 계정 정보를 사용하고 있을 경우 공격자는 쉽게 계정 정보를 획득할 수 있다.

공격자가 획득한 계정 정보로 원격 데스크탑을 이용해 시스템에 로그인할 경우 해당 시스템에 대한 제어를 획득할 수 있기 때문에 이후 다양한 악성 행위를 수행할 수 있다. Venus 랜섬웨어를 설치한 공격자도 RDP를 공격 벡터로 사용한 것으로 추정되며, 다음과 같이 탐색기 프로세스(explorer.exe)에 의해 다수의 악성코드들이 생성되는 것이 근거 중 하나이다.

Figure 1. 다양한 악성코드들의 설치 로그

과거 확인된 공격에서 공격자는 먼저 Crysis 랜섬웨어를 통해 감염 시스템을 암호화하려고 시도하였으며, 실패 이후 다시 Venus 랜섬웨어를 이용해 암호화를 시도하였다.

참고로 해당 공격자는 동일한 Crysis 랜섬웨어를 이용해 이후에도 지속적으로 다른 시스템들을 대상으로 공격을 수행하였다. 확인된 공격들 중 하나에서는 동일하게 외부에 노출된 RDP 서비스를 대상으로 하였으며, 공격 성공 이후에는 다른 시스템에도 RDP로 접속하여 Crysis 랜섬웨어를 감염시켰다.


2. 공격 과정에서 사용되는 악성코드들

공격자는 다양한 악성코드들을 감염 시스템에 설치한다. 설치되는 도구들은 스캐너 및 계정 정보 탈취 기능을 담당하는 도구들이며 대부분 NirSoft 사에서 제작한 것이 특징이다. 이를 통해 감염 시스템 외에 해당 시스템이 포함된 네트워크도 공격 대상이 될 수 있다는 점을 추정할 수 있다.

파일명 (경로명)종류

1.exe_ Venus 랜섬웨어
bild.exe_ Crysis 랜섬웨어
\mimik\x32\mimik.exe
\mimik\x32\mimilib.dll
\mimik\x64\mimik.exe
\mimik\x64\mimilib.dll
미미카츠
webbrowserpassview.exe Web Browser Password Viewer – NirSoft
mailpv.exe Mail PassView – NirSoft
vncpassview.exe VNCPassView – NirSoft
wirelesskeyview64.exe Wireless Key View – NirSoft
bulletspassview64.exe BulletsPassView – NirSoft
routerpassview.exe RouterPassView – NirSoft
mspass.exe MessenPass (IM Password Recovery) – NirSoft
rdpv.exe Remote Desktop PassView – NirSoft
netpass64.exe Network Password Recovery – NirSoft
ns64.exe Network Share Scanner

Table 1. 공격에 사용된 도구들

공격자는 RDP로 시스템을 장악한 이후 위의 도구들을 이용해 네트워크를 스캐닝하여 감염 시스템이 특정 네트워크에 포함되었는지를 확인할 것이다. 만약 특정 네트워크에 포함된 경우에는 해당 네트워크에 존재하는 다른 시스템들도 암호화하기 위해 내부 정찰 및 계정 정보 수집 과정을 진행할 수 있다. 미미카츠는 이러한 과정에서 사용될 수 있으며 수집된 계정 정보를 이용해 네트워크 내의 다른 시스템들에 측면 이동을 진행할 수 있다. 실제 Crysis 랜섬웨어 공격 사례에서 공격자는 RDP를 이용해 네트워크 내의 다른 시스템들로 측면 이동하였다.

공격자는 최종적으로 Crysis 랜섬웨어를 실행하여 시스템을 암호화하려고 시도하였으며, 몇 시간 이후 실패를 인지한 후에는 다시 Venus 랜섬웨어를 공격에 사용하였다. 만약 Crysis 랜섬웨어가 정상적으로 동작했다면 사용자는 다음과 같은 랜섬노트를 확인할 수 있을 것이다.

공격에 사용된 Crysis 랜섬웨어의 랜섬노트
  • 공격자의 메일 주소 : datacentreback@msgsafe[.]io, moriartydata@onionmail[.]org


3. Venus 랜섬웨어

“Download” 폴더 내에 공격자가 복사한 파일들 중 Venus 랜섬웨어는 “bild.exe_”라는 이름을 갖는다.

개요설명

확장자 .venus
암호화 제외 경로 “Tor Browser”, “Windows”, “dropbox”, “iexplorer”
암호화 제외 경로 “venus”, “README.txt”, “README.html”
랜섬노트 README.html
종료 대상 프로세스 아래 항목 참고
기타 볼륨 쉐도우 복사본 삭제

Table 2. Venus 랜섬웨어 개요

Venus 랜섬웨어는 더 많은 파일들을 암호화하기 위해 먼저 오피스, 이메일 클라이언트, 데이터베이스 등 다양한 프로그램들을 종료시킨다.

종료 대상 프로세스 목록

agntsvc.exe, agntsvc.exe, agntsvc.exe, agntsvc.exe, dbeng50.exe, dbsnmp.exe, encsvc.exe, excel.exe, firefoxconfig.exe, infopath.exe, isqlplussvc.exe, msaccess.exe, msftesql.exe, mspub.exe, mydesktopqos.exe, mydesktopservice.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, powerpnt.exe, sqbcoreservice.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlservr.exe, sqlwriter.exe, synctime.exe, tbirdconfig.exe, thebat64.exe, thunderbird.exe, winword.exe, wordpad.exe, xfssvccon.exe

Table 3. 종료 대상 프로세스 목록

“.venus” 확장자에 대한 아이콘을 등록한 이후 파일 암호화를 진행하는데, 암호화된 파일들의 확장자는 “.venus”로 변경되어 사용자들은 다음과 같은 아이콘으로 변경된 파일들을 보게 된다.

Venus 랜섬웨어가 볼륨 쉐도우 복사본을 제거하기 위해 사용하는 명령은 다음과 같다.

> cmd.exe /C wbadmin delete catalog -quiet && vssadmin.exe delete shadows /all /quiet && bcdedit.exe /set {current} nx AlwaysOff && wmic SHADOWCOPY DELETE

여기까지의 과정이 끝나면 바탕화면을 변경하고 README 파일을 보여준다. README 파일에는 자신들이 시스템의 정보를 탈취하고 파일들을 암호화하였다는 내용과 함께 48시간 내로 연락을 취하라는 내용이 담겨있다.

  • 공격자의 메일 주소 : venusdata@onionmail.org
변경된 바탕화면
Venus 랜섬웨어의 랜섬노트


4. 결론

공격자들은 과거부터 꾸준히 초기 침투 과정 및 측면 이동 과정에서 RDP를 사용하고 있다. 이러한 공격은 주로 부적절한 계정 정보를 가지고 있는 시스템들에 대한 무차별 대입 공격 및 사전 공격을 통해 이루어진다. 특히 해당 Venus 랜섬웨어 공격 사례의 Crysis 공격자들 외에도 많은 수의 랜섬웨어 공격자들이 RDP를 대표적인 초기 공격 벡터로써 사용하고 있다.

사용자들은 RDP를 사용하지 않을 경우 비활성화하여 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용하고 있다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

 

반응형