Babuk 코드에서 파생된 새로운 Rook 랜섬웨어 발견(21.12.27)

Babuk 코드에서 파생된 새로운 Rook 랜섬웨어 발견(21.12.27)

 

 

 

 

1.개요

 

Rook 랜섬웨어 페이로드는 일반적으로 Cobalt Strike를 통해 전달되며, 피싱 이메일과 수상한 토렌트 다운로드가 초기 감염 벡터로 알려져 있습니다. 이 페이로드에는 탐지를 피하기 위해 UPX 또는 기타 암호로 패킹되어 있습니다. 랜섬웨어가 실행되면, 이는 보안 툴을 포함하여 암호화를 방해할 수 있는 모든 관련 프로세스를 종료하려고 시도합니다. 실행 시 Rook 샘플은 다른 출력이 표시된 명령 창을 표시합니다. 예를 들어, 일부 버전은 kph.sys에 대한 출력 경로를 표시하지만 다른 버전은 ADS(대체 데이터 스트림) 사용에 대한 부정확한 정보를 표시합니다.

 

랜섬웨어는 암호화를 방해할 수 있는 모든 프로세스를 종료하려고 시도합니다. Process Hacker의 kph.sys 드라이버가 어떤 경우에는 프로세스를 종료하지만 다른 경우에는 작동하지 않는 것을 볼 수 있습니다. 이는 공격자가 드라이버를 활용하여 특정 계약에서 특정 로컬 보안 솔루션을 비활성화해야 할 필요성을 반영할 수 있습니다. 한 악성 샘플에서는 다음과 같은 프로세스를 종료시킵니다.

 

memtas
mepocs
veeam
backup
GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr
DefWatch
ccEvtMgr
ccSetMgr
SavRoam
RTVscan
QBFCService
QBIDPService
Intuit.QuickBooks.FCS
QBCFMonitorService
AcrSch2Svc
AcronisAgent
CASAD2DWebSvc
CAARCUpdateSvc

 

대부분의 최신 랜섬웨어 제품군과 마찬가지로 Rook은 피해자가 백업에서 복원하지 못하도록 볼륨 섀도 복사본을 삭제하려고 시도합니다. 이는 vssadmin.exe를 통해 수행됩니다.

 

볼륨 섀도 복사본 삭제 프로세스

 

Rook은 vssadmin.exe를 사용하여 볼륨 섀도우 복사본을 통해 파일이 복구되는 것을 방지하기 위해 이를 삭제합니다. Rook에서 지속성 관련 메커니즘을 찾지 못했으며, Rook은 파일을 암호화 후 ".Rook" 확장자를 추가한 다음 해킹된 시스템에서 자신을 삭제합니다.

 

Rook으로 암호화된 파일

 

Rook과 Babuk 사이에는 많은 코드 유사점이 있습니다. 지금까지 사용 가능한 샘플에 따르면 이는 컴파일된 빌더와 실제 소스 모두의 누출을 포함하여 2021년에 우리가 본 다양한 Babuk 소스 코드 누출의 기회주의적 결과로 보입니다.

Babuk과 Rook은 EnumDependentServicesA API를 사용하여 지정된 서비스에 종속된 각 서비스의 이름과 상태를 종료하기 전에 검색합니다. 그들은 시스템의 모든 서비스를 열거하고 악성코드의 하드코딩된 목록에 존재하는 모든 서비스를 중지합니다. OpenSCManagerA API를 사용하여 코드는 서비스 제어 관리자를 가져오고 핸들을 가져온 다음 시스템의 모든 서비스를 열거합니다.

 

모든 서비스를 열거하는 Rook

 

또한 Rook과 Babuk 모두 CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, OpenProcess 및 TerminateProcess 함수를 사용하여 실행 중인 프로세스를 열거하고 하드코딩된 목록에 있는 프로세스와 일치하는 것으로 발견된 프로세스를 종료합니다.

 

Babuk과 Rook은 같은 프로세스 제외 목록을 공유

 

Windows Restart Manager API를 사용하여 MS Office 제품 및 인기 있는 게임 플랫폼 Steam과 관련된 프로세스를 포함하는 프로세스 종료를 지원합니다. 또한 볼륨 섀도 복사본 제거를 포함하여 일부 환경 검사 및 후속 동작과 관련하여 중복됩니다.

 

Babuk과 Rook 모두 샘플이 64비트 OS에서 실행되는지 확인한 다음 사용자 머신의 섀도우 볼륨을 삭제합니다. 코드는 섀도 복사본을 삭제하기 위해 ShellExecuteW를 호출하기 전에 파일 시스템 리디렉션을 비활성화하기 위해 Wow64DisableWow64FsRedirection으로 흐릅니다.

 

Babuk과 Rook은 로컬 드라이브를 열거하기 위해 유사한 코드를 구현합니다. Rook은 아래와 같이 알파벳순으로 로컬 드라이브를 확인합니다.

 

알파벳순으로 로컬 드라이브 열거

 

다른 최근 랜섬웨어 변종과 마찬가지로 Rook은 이중 갈취 접근 방식을 채택합니다. 즉, 암호화된 파일의 잠금을 해제하기 위해 초기에 지불을 요구한 다음 피해자가 몸값 요구를 준수하지 않을 경우 추출된 데이터를 유출하도록 운영자 웹사이트를 통한 공개하여 위협하는 행위를 사용합니다.

 

피해자 데이터

 

랜섬웨어의 경제성과 Babuk과 같은 유출로부터 소스 코드의 준비된 가용성을 고려할 때 새로운 랜섬웨어 그룹의 확산은 계속될 수밖에 없습니다. 여기에 뛰어난 기술 없이도 초기 액세스를 허용할 수 있는 log4j2와 같은 최근 취약점을 응용한 공격이 진행될 수 있으므로 세심한 주의와 보안대책이 필요합니다.

 

 

 

2.공격 침해지표(IoC) 및 대응

 

악성샘플 SHA1 & SHA256

104d9e31e34ba8517f701552594f1fc167550964
19ce538b2597da454abf835cff676c28b8eb66f7
36de7997949ac3b9b456023fb072b9a8cd84ade8

f87be226e26e873275bde549539f70210ffe5e3a129448ae807a319cbdcf7789
c2d46d256b8f9490c9599eea11ecef19fde7d4fdd2dea93604cee3cea8e172ac
96f7df1c984c1753289600f7f373f3a98a4f09f82acc1be8ecfd5790763a355b

 

Virustotal 조회 결과

 

상위 악성샘플들에 대해 보안업데이트가 필요하며 내부에 침투하지 않도록 보안대책 설정이 필요하다.

 

 

 

3.출처

 

https://www.sentinelone.com/labs/new-rook-ransomware-feeds-off-the-code-of-babuk/

New Rook Ransomware Feeds Off the Code of Babuk