보기에 따라 프랑켄슈타인 같기도 하고 매우 고급스럽기도 한 랜섬웨어가 등장했다. 암호화 속도가 너무나 빠른데, 유연하기까지 해서 커다란 위협이 될 가능성이 높아 보인다. 개발자가 스스로의 존재감을 드러내지 않고 있기도 해서 더 불안하다.
[보안뉴스 문정후 기자] 어쩌면 가장 빠른 암호화 속도를 가지고 있을 지도 모르는 랜섬웨어가 발견됐다. 지금 시점에서 가장 악명이 높다고 할 수 있는 록빗3.0(LockBit 3.0)보다 2배 가까이 빠르게 피해자들의 파일을 암호화 하는 것으로 분석됐다. 이를 처음 발견해 분석한 건 보안 업체 체크포인트(Check Point)로, 이 랜섬웨어에 로르샤흐(Rorschach)라는 이름을 붙였다.
![[보안뉴스 / 4.5.] 수수께끼와 같은 랜섬웨어 로르샤흐, 암호화 속도는 추종불허](http://www.boannews.com/media/upFiles2/2023/04/477606682_6683.jpg)
[이미지 = utoimage]
체크포인트가 분석한 바에 의하면 로르샤흐는 22만 개의 로컬 드라이브 파일들을 4.5분 만에 전부 암호화 할 수 있다고 한다. 록빗3.0의 경우 같은 작업을 수행하는 데 7분이 걸린다. “게다가 로르샤흐는 커스터마이징 기능이 강력합니다. 공격자가 명령행을 통해 암호화 스레드의 수를 지정할 수 있어요. 그러면 시간을 한층 더 단축하는 것도 가능하죠.” 체크포인트 측의 설명이다.
최고의 랜섬웨어 기능들을 짜깁기 하다
암호화 높은 속도(즉 공격의 높은효율성) 외에도 로르샤흐는 주목할 만한 특징을 가지고 있다. 다른 랜섬웨어 패밀리에서 발견됐던 여러 가지 요소들이 로르샤흐에 포함되어 있다는 것이다. 흥미롭게도 로르샤흐 개발자들은 자신들의 새 랜섬웨어를 적극 홍보하고 있지도 않다. 그냥 조용히 자신들의 할 일을 하고 있을 뿐이다. 유명세가 중요한 랜섬웨어 생태계에서는 매우 드문 일이다.
여러 랜섬웨어의 특성을 가지고 있는 데다가 개발자가 특별히 방향성을 제시하지도 않으니 어떻게 되었을까? ‘사용하는 사람 마음대로’가 되고 있다. 어떻게, 어떤 방식으로든 사용이 가능하며, 개발자의 본의가 무엇인지는 확실하지 않으나 매우 유연한 랜섬웨어가 되어가는 중이다. 로르샤흐라는 이름도 이러한 특성 때문에 붙여졌다.
“심리학에서 실행되는 ‘로르샤흐 실험’이 모든 사람에게 다르게 보이듯 이번 랜섬웨어도 사람들마다 다르게 사용할 수 있습니다. 여러 랜섬웨어들의 기술적 특장점들이 고루 섞여 있기 때문이죠. 이것이 로르샤흐 랜섬웨어의 색다른 점입니다.” 체크포인트의 위협 첩보 그룹 세르게이 샤이케비치(Sergey Shykevich)의 설명이다.
로르샤흐에 포함되어 있는 여러 기능들은 다음과 같다.
1) 도메인 그룹 정책 생성 등 일반적인 랜섬웨어에서는 수동으로 해결해야 하는 작업을 자동으로 수행한다 : 록빗2.0의 특징
2) 암호화 속도를 빠르게 해 주는 하이브리드 암호화 기술 채택 : 바북(Babuk)의 특징
3) 이전 랜섬웨어 조직들이 애용하던 형식의 랜섬웨어 협박 편지 : 다크사이드(DarkSide)와 얀루오왕(Yanluowang)의 특징
4) 로르샤흐 설정 내 각종 서비스들은 바북의 그것과 비슷하다.
5) 멀웨어를 중단하는 데 사용되는 언어는 록빗 2.0의 그것과 비슷하다.
로르샤흐의 독특한 코딩 요소들
그렇다고 로르샤흐가 온전히 이전 랜섬웨어들을 짜깁기한 ‘프랑켄슈타인’인 것만은 아니다. 자신만의 고유한 특성도 가지고 있다. “적어도 미국 내에서는 DLL 사이드로딩 기법을 써서 퍼진다거나, 오래된 팔로알토네트웍스의 코텍스 XDR 덤프 서비스 툴(Cortex XDR Dump Service Tool)을 통해 퍼지는 등의 독특한 모습을 보이기도 합니다. 참고로 코텍스 XDR의 경우 7.7 이후 버전을 사용하면 로르샤흐 랜섬웨어의 위협으로부터 안전할 수 있습니다.”
또한 악성 코드를 기존 프로세스들에 몰래 주입하기 위해 시스템 호출 기능을 활용하기도 한다. 체크포인트는 이 부분은 “충격적으로 놀랍다”고까지 표현한다. “시스템 호출을 직접 사용해 프로세스에 악성 코드를 주입하는 기술을 활용하는 랜섬웨어 단체는 아직까지 본 적이 없습니다. 주로 행동 패턴 기반 탐지 기술을 우회하기 위해 사용되는 고급 기술로, 상위의 APT 단체들만 일부 사용하는 것이죠. 랜섬웨어 생태계에서는 목격된 적이 없습니다. 이 특성 때문에 로르샤흐의 탐지는 더 어려워집니다.”
또한 반쯤 웜(worm)과 비슷한 특성을 가지고 있기도 하다. 즉 사용자의 개입이나 실수, 조작 없이도 스스로 피해자 네트워크에서 퍼질 수 있다는 것이다. “도메인 컨트롤러에서 실행되는 경우, 자동으로 유포됩니다. 유포되는 동안 이벤트 로그도 자동으로 지우죠. 대단히 유연하기도 해서 미리 설정된 옵션을 통해서 유포되기도 하지만, 운영자의 필요에 따라 여러 옵션을 발동시키기도 합니다.”
체크포인트는 “경계해야 할 랜섬웨어가 하나 생긴 건 분명하다”고 말한다. “현재까지 발견된 모든 멀웨어 중 가장 빠른 암호화 속도를 자랑하고, 탐지를 피하기 위해 매우 고난이도 기법을 활용하기도 합니다. 게다가 유연하고 다양한 모습으로 활용할 수 있고, 경우에 따라 웜처럼 퍼지기도 하니 활성화 된다면 큰 문제가 될 수도 있습니다.”
3줄 요약
1. 암호화 속도 만큼은 가장 빠른 랜섬웨어 등장.
2. 여러 유명 랜섬웨어의 특성들을 고루 보유하고 있어 유연.
3. 일부 조건에서는 웜 기능이 발동되기도 해서 더 큰 문제.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 4.5.] 수수께끼와 같은 랜섬웨어 로르샤흐, 암호화 속도는 추종불허](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")