DireWolf는 별도의 설정 파일 없이 실행 시 입력되는 명령 인자(옵션)를 기반으로 동작을 제어한다. 예를 들어, -d <path> 옵션을 주면 특정 디렉토리만 대상으로 삼고, -h 옵션을 입력하면 사용 방법(도움말)을 보여준다. 인자 처리가 끝나면 즉시 초기 보호 검사가 진행되는데, 이 과정에서 시스템에 이미 실행 중인 DireWolf가 있는지(시스템 전역 ‘Mutex’ 값 확인)와 암호화 완료를 알리는 표식 파일(C:\runfinish.exe)이 존재하는지를 체크한다. 이 두 조건 중 하나라도 만족하면 랜섬웨어는 추가 감염을 시도하지 않고 로그를 남긴 뒤 자기 삭제 루틴을 호출해 실행 파일을 제거하고 종료한다.

[그림 1] DireWolf 피해자 게시판

반대로 두 조건을 모두 충족하지 못한 경우 사전 작업용 고루틴을 실행한 뒤 약 2초간 대기한다. 이후 전역 변수로 관리되는 워커풀(Worker Pool)을 구성하는데, 이때 논리 CPU 개수의 8배에 해당하는 고루틴이 동시에 투입돼 지정된 경로를 병렬로 처리한다. 이런 설계는 I/O 대기 시간을 다른 작업으로 메우며 파일 암호화 속도와 처리량을 극대화한다. 그러나 동시에 CPU 사용률 급증과 디스크 대기열 증가를 유발해, 시스템 전반의 성능 저하와 서비스 지연을 초래할 수 있다.

랜섬웨어는 파일 암호화 성공률을 높이기 위해 다양한 복구 방해 기법을 활용한다. 우선, 자가 삭제를 통해 분석 흔적을 줄이는 동시에 이벤트 로그와 백업 관련 데이터를 제거해 사고 원인 분석과 시스템 복구를 어렵게 만든다. 특히 실행 중인 Windows 이벤트 로그 서비스(eventlog)를 표적으로 삼으며, WMI 쿼리(Get-WmiObject -Class win32_service -Filter “name = ‘eventlog'”)를 통해 프로세스 ID를 확인한 후, taskkill 명령으로 해당 프로세스를 강제로 종료한다.

[그림 2] DireWolf 실행 흐름

이 절차는 한 번으로 끝나지 않는다. ① 이벤트 로그 프로세스 ID 확인 → ② 강제 종료 → ③ 일정 시간 대기 → ④ 동일 절차 반복 순서로 주기적으로 실행된다. 따라서 eventlog 서비스가 재실행되더라도 곧바로 다시 종료되며, 결국 로그 수집 기능은 지속적으로 무력화된다.

[그림 3] 이벤트 로그 삭제 무한 반복 함수 일부

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35951