* 출처는 안랩입니다.

하쿠나 마타타는 일반적인 랜섬웨어와 다르게 클립뱅커(ClipBanker) 기능이 함께 존재한다는 특징이 있다. 암호화 이후에도 시스템에 상주하며 비트코인 지갑 주소를 공격자의 주소로 변경한다. 따라서 암호화된 시스템에서 비트코인 거래를 할 경우 공격자의 지갑 주소로 거래될 위험이 있다.

[그림 1] 하쿠나 마타타 랜섬웨어의 기본 랜섬노트

공격 정황 분석

공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드와 이벤트 로그를 삭제하기 때문에 정확한 정보를 확인하는 데 어려움이 있다. 하지만 여러 가지 정황으로 보아 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)이 최초의 공격 벡터로 사용됐을 것으로 추정된다.

일반적으로 공격자는 외부에서 접근 가능한, RDP가 활성화된 시스템을 스캐닝한 후 그 과정에서 찾은 시스템에 대해 무차별 대입 공격 또는 사전 공격을 수행한다. 사용자가 부적절한 계정 정보를 사용하고 있을 경우, 공격자는 계정 정보를 손쉽게 획득할 수 있다.

실제 공격 대상이 된 시스템은 외부에 노출돼 있었고, 동시에 RDP도 활성화된 상태였다. 해당 시스템에서는 랜섬웨어에 감염된 이후에도 지속적으로 로그인 실패 로그(윈도우 보안 이벤트 ID: 4625)들이 확인된다. 무차별 대입 공격에 성공할 경우, 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로 시스템에 로그인할 수 있으며, 이는 곧 공격자가 해당 시스템에 대한 제어 권한을 탈취한 것을 의미한다.

[그림 2] 무차별 대입 공격에 대한 이벤트 로그

물론 해당 로그만으로는 공격 벡터를 추정하는 데 한계가 있다. 하지만 아래와 같이 공격자가 추가로 설치한 툴을 보면, RDP를 공격 벡터로 사용하는 다른 랜섬웨어 공격 사례와 매우 유사하다.

Ÿ   메두사 락커(MedusaLocker) 조직이 RDP를 통해 유포 중인 글로브임포스터(GlobeImposter) 랜섬웨어

Ÿ   RPD를 통해 비너스(Venus) 랜섬에어를 설치하는 크라이시스(Crysis) 랜섬웨어 공격자

[그림 3] 공격자가 추가로 설치한 툴

공격에 사용된 악성코드

공격자는 “C:\Temp\” 등의 경로에 악성코드를 설치했다. 설치된 툴은 대부분 닐소프트(NirSoft)가 제작한 것으로, 주로 계정 정보 탈취 기능을 담당한다. 계정 정보 탈취 툴은 “\M\Pass\” 경로에 생성되며, 공격자는 해당 툴로 계정 정보를 수집해 “\M\!logs\”경로에 텍스트 파일로 생성했을 것으로 추정된다. 이 외에, 공격자는 프로세스 해커 및 “RCH.exe”, “ver7.exe” 파일을 생성한 것으로 알려졌다. “RCH.exe”는 현재 확인할 수 없으며, “ver7.exe”는 하쿠나 마타타 랜섬웨어로 추정된다. 

[그림 6] 변경된 바탕화면의 모습

* 전체내용은 아래에서 확인하세요

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33841&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=981