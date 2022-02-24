이 게시물은 IBM Security X-Force의 Anne Jobmann, Claire Zaboeva, Richard Emerson의 기여로 작성되었습니다.
2022년 2월 24일, Symantec Enterprise는 PartyTicket이라는 이름의 랜섬웨어가 HermeticWiper 멀웨어와 함께 배포되었다고 보고했습니다. IBM Security X-Force는 PartyTicket 랜섬웨어의 샘플을 수집하여 이 블로그의 PartyTicket 섹션에서 기술적 분석, 침해 지표, 탐지 방법을 제공했습니다.
2022년 2월 23일, 오픈 소스 인텔리전스 소식통은 우크라이나 조직에 속한 시스템에서 실행되는 와이퍼 멀웨어(대상의 데이터를 영구적으로 파괴하도록 설계된 악성 멀웨어 제품군)를 탐지했다고 보고하기 시작했습니다. IBM Security X-Force는 HermeticWiper라는 이름의 와이퍼 샘플을 입수했습니다. 이 샘플은 양성 파티션 관리자 드라이버(empntdrv.sys 사본)를 사용하여 사용 가능한 모든 물리적 드라이브의 마스터 부트 레코드(MBR), 파티션 및 파일 시스템(FAT 또는 NTFS)을 손상시키는 기능을 수행합니다.
X-Force가 분석한 우크라이나 조직을 겨냥한 와이퍼 멀웨어는 이번이 처음이 아닙니다. 2022년 1월, X-Force는 WhisperGate 멀웨어를 분석한 결과 WhisperGate와 HermeticWiper 간에 코드가 중복되는 것을 확인하지 못했습니다.
이 블로그 게시물에서는 HermeticWiper 멀웨어에 대한 IBM Security X-Force의 인사이트, 샘플에 대한 기술적 분석, 조직이 이러한 멀웨어로부터 자신을 보호할 수 있도록 지원하는 침해 지표(IoC) 에 대해 자세히 설명합니다.
2022년 1월, X-Force는 WhisperGate 멀웨어를 분석했습니다. HermeticWIper는 지난 두 달간 우크라이나 기관을 대상으로 관측된 두 번째 신종 파괴적 악성코드 계열로, 동유럽의 다른 국가들도 표적에 포함된 것으로 보고되고 있습니다. WhisperGate와 HermeticWiper 간에는 코드 중복이 발견되지 않았습니다.
이러한 새로운 파괴적인 멀웨어 계열이 배포되고 발견되는 속도는 전례 없는 수준이며, 이는 조직이 시그니처 기반 방어를 넘어 확장되는 적극적이고 정보에 입각한 방어 전략을 보유해야 할 필요성을 더욱 강조합니다.
이 지역의 분쟁이 계속 진화하고 WhisperGate와 HermeticWiper의 파괴 능력을 고려할 때 IBM Security X-Force는 대상 지역 내 주요 인프라 조직이 방어를 강화할 것을 권장합니다. 이러한 조직은 데이터를 파괴 또는 암호화하거나 운영에 심각한 영향을 미칠 수 있는 잠재적 공격에 대비하는 데 집중해야 합니다.
X-Force는 파괴적인 사이버 공격이 하이브리드 작전을 지원하기 위해 민간 표적에 계속 활용될 가능성이 높다고 생각합니다. 또한 X-Force는 사이버 공격이 진행 중인 분쟁의 범위와 함께 계속 강화되고 확대될 가능성이 높다고 보고 있습니다. 우크라이나 및 그 동맹국과 관련된 민간 산업 및 단체에 겨냥한 파괴적인 기능이 증가함에 따라 지역 상거래에 대한 위협이 높아져 사이버 보안 환경이 바뀔 가능성이 높다는 점에 유의해야 합니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
이 섹션에는 제출된 샘플에 대해 수행된 분석 결과가 포함되어 있습니다. 일반적인 분석에는 동작 분석과 정적 분석이 모두 포함됩니다.
동작 분석은 실행 중에 시스템에서 관찰된 멀웨어 동작을 설명합니다. 동작 분석에는 일반적으로 삭제된 파일, 지속성, 프로세스 실행과 관련된 세부 정보 및 C2 통신과 같이 시스템에서 수행되는 작업이 포함됩니다. 특정 기능은 특정 조건에서만 멀웨어에 의해 수행될 수 있으므로 동작 분석은 모든 주목할 만한 멀웨어 행동을 포착하지 못할 수 있다는 점에 유의해야 합니다.
정적 분석은 악성 소프트웨어에 대한 기술적 분석을 더욱 심층적으로 진행하는 것입니다. 정적 분석에는 일반적으로 기능, 샘플의 난독화 또는 패킹, 멀웨어에서 사용하는 암호화, 구성 정보 또는 기타 주목할 만한 기술 세부 정보에 대한 추가 세부 정보가 포함됩니다.
실행 시 HermeticWiper는 프로세스 토큰 권한을 즉시 조정하고 SeBackupPrivilege를 활성화합니다. 이렇게 하면 액세스 제어 목록(ACL)에 지정된 내용에 관계없이 멀웨어가 모든 파일에 대한 읽기 액세스 제어 권한을 부여할 수 있습니다.
그런 다음, 시스템의 OS 버전을 확인하여 어느 버전의 양성 파티션 관리 드라이버(EaseUS Partition Manager: epmntdrv.sys) 복사본을 사용할지 파악합니다. 이 드라이버는 처음에 Microsoft 압축(SZDD 압축)으로 제공되며 RCDATA라는 리소스에 포함되어 있습니다.
Windows XP의 경우:
Windows 7 이상의 경우:
사용할 버전을 확인한 후 SZDD 압축 양성 파티션 관리 드라이버가 다음 디렉터리에 다음과 같이 배치됩니다.
%WINDIR%\system32\driver\<random_2chars>dr Example: C:\Windows\system32\Drivers\vfdr
그런 다음, 압축을 풀고 ‘.sys‘를 파일 확장자로 추가합니다.
Example: C:\Windows\system32\Drivers\vfdr.sys
그런 다음, 프로세스 토큰 권한을 다시 조정하여 SeLoadDriverPrivilege를 활성화합니다 이 토큰을 사용하면 HermeticWiper 프로세스가 장치 드라이버를 로드 및 언로드할 수 있습니다.
그 다음에는 다음 레지스트리 키를 수정하여 크래시 덤프를 비활성화합니다.
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl CrashDumpEnabled = 0
크래시 덤프는 시스템이 예기치 않게 중지된 이유에 대한 정보가 포함된 메모리 덤프입니다. 이 옵션을 비활성화하면 시스템에서 덤프를 만들지 못하므로 흔적을 성공적으로 감출 수 있습니다.
또한 활성화된 경우 볼륨 섀도 서비스(vss)를 비활성화하고 모든 HKEY_USERS 레지스트리에서 ShowCompColor 및 ShowInfoTip을 비활성화합니다.
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowCompColor = 0 ShowInfoTip = 0
ShowCompColor 옵션은 압축 및 암호화된 NTFS 파일을 컬러로 표시하는 반면, ShowInfoTip은 폴더 및 데스크톱 항목에 대한 팝업 설명을 표시합니다.
그런 다음, HermeticWiper는 OpenSCManagerW(), OpenServiceW(), CreateServiceW() 및 StartServiceW() 같은 Windows API를 사용하여 생성된 드라이버를 서비스로 추가하고 로드합니다.
예시:
이렇게 하면 다음 레지스트리에 서비스 항목이 생성됩니다.
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
정상 드라이버 서비스가 시작되고 시스템에 로드되면 %WINDIR%\system32\Drivers에서 생성된 드라이버를 삭제하고 레지스트리에서 생성된 서비스를 삭제하여 다시 한 번 흔적을 은폐합니다.
HermeticWiper는 0~100을 반복하여 최대 100개의 물리적 드라이브 범위를 열거합니다. 현재 시스템에 로드된 양성 파티션 관리자를 사용하여 시스템에 있는 모든 물리적 드라이브에 대한 모든 마스터 부트 레코드(MBR)를 손상시킵니다.
하지만 여기서 그치지 않고 사용 가능한 모든 파티션을 손상시키며, 심지어 FAT와 NTFS 파일 시스템을 모두 지원합니다. NTFS의 경우 파일에 대한 모든 정보가 들어 있는 마스터 파일 테이블(MFT)도 손상되어 데이터를 복구할 수 없게 됩니다.
모든 디스크가 손상되면 시스템이 충돌해야 하지만, 만일의 경우를 대비하여 HermeticWiper는 시스템 종료를 트리거하는 페일 세이프 휴면 스레드를 생성하여 대상 시스템을 강제로 다시 시작했습니다.
와이퍼 샘플을 분석한 결과, 이 샘플은 'Hermetica Digital Ltd'라는 조직에 발급된 디지털 인증서로 서명되었으며 2021년 4월 15일에 생성되었습니다. 디지털 인증서는 파일, 서버 또는 사용자와 같은 항목의 진위를 증명하는 파일 또는 암호화 서명을 말합니다.
HermeticWiper에는 다음과 같은 디지털 인증서가 포함되어 있습니다.
파일 시스템:
%WINDIR%\system32\driver\<random_2chars>dr
레지스트리:
HKLM\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = 0
HKEY_USERS\<ID>\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowCompColor = 0
ShowInfoTip = 0
HKLM\SYSTEM\CurrentControlSet\services\<random_2chars>dr
서비스:
service name: <random_2chars>dr
IBM Security X-Force는 HermeticWiper의 추가 인스턴스를 탐지하기 위해 다음과 같은 Yara 시그니처를 개발했습니다.
import "pe"
rule XFTI_HermeticWiper : HermeticWiper
{
meta:
author = "IBM X-Force Threat Intelligence Malware Team"
description = "Detects the wiper targeting Ukraine."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
ticket = "IRIS-12790"
hash = "1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591"
yara_version = "4.0.2"
date_created = "24 Feb 22"
date_updated = ""
reference = ""
xfti_reference = ""
strings:
$s1 = "\\\\.\\EPMNTDRV\\%u" wide fullword
$s2 = "C:\\Windows\\SYSVOL" wide fullword
$s3 = "DRV_X64" wide fullword
$s4 = "DRV_X86" wide fullword
$s5 = "DRV_XP_X64" wide fullword
$s6 = "DRV_XP_X86" wide fullword
condition:
uint16(0) == 0x5A4D and 4 of them and
pe.imports("lz32.dll", "LZOpenFileW") and
pe.imports("kernel32.dll", "FindResourceW") and
pe.imports("advapi32.dll", "CryptAcquireContextW")
}
PartyTicket으로 명명된 랜섬웨어 샘플은 Golang으로 컴파일된 랜섬웨어로, 우크라이나 기관을 표적으로 삼는 HermeticWiper 멀웨어와 함께 유포되는 것으로 추정됩니다.
PartyTicket 랜섬웨어는 권한 상승을 포함하지 않으며 현재 사용자의 컨텍스트 내에서 실행됩니다. 즉, 권한이 없는 계정으로 실행한 경우 더 높은 권한이 필요한 폴더와 파일은 암호화되지 않습니다.
PartyTicket은 암호화하는 모든 파일에 ".[vote2024forjb@protonmail.com].encryptedJB" 라는파일 확장자를 추가합니다. 또한 RSA와 AES를 모두 사용하여 대상 파일을 암호화합니다.
랜섬웨어의 초기 정적 분석을 통해 코드 내에서 'Biden'과 'Whitehouse'가 참조된 것으로 나타났습니다.
PartyTicket 랜섬웨어가 실행되면 A:부터 Z:까지 사용 가능한 모든 드라이브를 확인하고 'Windows' 및 'Program Files'가 포함된 디렉토리를 제외한 모든 디렉토리를 탐색하여 암호화할 파일 목록을 작성합니다.
이 랜섬웨어는 디렉토리 구조를 탐색하면서 다음과 같은 확장자를 포함하는 파일 목록을 대상으로 지정합니다.
.acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi, .odt, .one, .ova, .pdf, .png, .ppt, .pub, .rar, .rtf, .sfx, .sql, .txt, .url, .vdi, .vsd, .wma, .wmv, .wtv, .xls, .xml, .xps, .zip, .docx, .epub, .html, .jpeg, .pptx, .xlsx, .pgsql, .contact, inc
암호화 대상 파일에 .exe가 포함되어 있다는 점에 유의하세요. 이는 이후 랜섬웨어가 자체적으로 암호화함을 나타냅니다.
대상 목록이 생성되면 랜섬웨어는 대상 목록 내의 모든 파일에 대해 범용 고유 식별자(UID) 이름을 사용하여 자체 복사본을 생성합니다. 복사본은 원본 PartyTicket 프로세스의 하위 프로세스로 30초 시간 초과로 실행되며, 각 프로세스는 대상 파일 목록 내의 파일을 암호화합니다.
PartyTicket 하위 프로세스 실행 라이프사이클의 예:
C:\Windows\system32\cmd.exe cmd /c copy <PartyTicket.exe> b6771851-a968-11eb-9f9f-000c29fc4fde.exe b6771851-a968-11eb-9f9f-000c29fc4fde.exe.exe <target_file_to_encrypt> timeout /t 30 && C:\Windows\system32\cmd.exe /C del <UUID>.exe
파일 시스템:
%DESKTOP%\read_me.html
<encrypted_files>.[vote2024forjb@protonmail.com].encryptedJB
IBM Security X-Force는 PartyTicket 랜섬웨어의 인스턴스를 식별하는 데 도움이 되는 다음과 같은 Yara 시그니처를 개발했습니다.
rule XFTI_PartyTicket : PartyTicket
{
meta:
author = "IBM Security X-Force "
description = "Detects the PartyTicket ransomware deployed alongside the HermeticWiper malware. The rule includes notable strings and function names."
threat_type = "Malware"
rule_category = "Malware Family"
usage = "Hunting and Identification"
hash = "4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382"
yara_version = "4.0.2"
date_created = "25 Feb 22"
strings:
$main_func1 = "pr1me"
$main_func2 = "dtFie"
$main_func3 = "getBoo"
$main_func4 = "selfElect"
$main_func5 = "highWay60"
$main_func6 = "voteFore403"
$main_func7 = "subscribeNewPartyMember"
$proj_path = "/403forBiden/"
$file_ext = ".encryptedJB"
condition:
uint16(0) == 0x5A4D and 7 of them
}
현재 X-Force는 조직에서 이 보고서에 나열된 파일 시스템, 레지스트리 및 Windows 서비스 지표에 대한 탐지를 구현하고 제공된 Yara 규칙을 활용하여 파일을 검사할 것을 권장합니다. 또한 글로벌 기업은 지역 내 기관에 기반을 두거나 서비스를 제공하는 각 네트워크, 공급망, 제3자 및 파트너십에 대한 건전한 인사이트를 확보해야 합니다. 또한 조직은 실행 가능한 지표의 수신 및 교환을 보장하기 위해 관련 정보 공유 기관 간의 커뮤니케이션 라인을 개방하는 것이 좋습니다.
X-Force는 조직이 보안 침해 지표와 관련된 대응 조치 외에도 다음과 같은 사전 예방 조치를 고려할 것을 권장합니다.
멀웨어 및 예방 기술에 대해 궁금한 점이 있거나 더 심층적인 논의가 필요한 경우 여기에서 브리핑을 예약할 수 있습니다. IBM Security X-Force Exchange와 IBM PSIRT 블로그에서 추가 정보가 나오는 대로 최신 소식을 받아보세요.
사이버 보안 문제나 사고를 겪고 계신가요? X-Force에 문의하여 도움을 받으세요.
미국 핫라인: 1-888-241-9812
글로벌 핫라인: (+001) 312-212-8034
IBM X-Force Threat Intelligence Index를 통해 더 빠르고 효과적으로 사이버 공격에 대비하고 대응할 수 있는 인사이트를 확보하세요.
조직의 인시던트 대응 프로그램을 개선하고 침해의 영향을 최소화하며 사이버 보안 인시던트에 대한 신속한 대응을 구현해 보세요.
IBM 위협 탐지 및 대응 솔루션을 활용하여 보안을 강화하고 위협 탐지를 가속화하세요.
지능형 자동화 및 오케스트레이션 솔루션으로 의사 결정 프로세스를 최적화하고 SOC 효율성을 개선하며 인시던트 대응을 가속화하세요.
조직의 인시던트 대응 프로그램을 개선하고 침해의 영향을 최소화하며 사이버 보안 인시던트에 대한 신속한 대응을 구현해 보세요.