Sodinokibi 랜섬웨어 - MSE(Microsoft Security Essentials)를 악용한 악성코드

닉맨 2022.03.03 09:42:53

Sodinokibi 랜섬웨어는 Kaseya VSA라는 원격 모니터링과 소프트웨어 패치 및 취약점 관리 솔루션을 제공하는 솔루션 업데이트 기능을 통해 대규모 공격이 이루어 졌습니다

 

이에 따라 KISA 인터넷 보호나라레서 보안 공지를 통해 Kaseya VSA 솔루션을 이용하는 국내 기업체에게도 사용중단 권고를 하였습니다

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=36122

 

업데이트 기능을 통해 "Kaseya VSA Agent Hot-fix"라는 이름으로 핫픽스 파일이 다운로드되어 Windows PowerShell 명령어를 통한 Windows Defender 백신 무력화 기능이 함께 진행 된것으로 보입니다

 

MSE 백신은 MsMpEng.exe 파일 실행을 통해 동일 폴더 내에 존재하는 MpSvc.dll 모듈을 로딩하여 기능을 수행하게 되는데, 정상적인 MsMpEng.exe 파일을 통해 함께 위치한 악성 mpsvc.dll 모듈을 실행하도록 악용한 것입니다.

 

악성 mpsvc.dll 모듈이 실행되면 Windows 방화벽의 네트워크 검색(Network Discovery) 규칙을 활성화하여 감염이 발생한 장치와 연결된 다른 공유 폴더에 접근할 수 있게 합니다

 

또한, 시스템 복원지점이 생성되어 있을 경우 복원지점을 삭제하여 복원을 할 수 없도록 처리합니다

 

확장자 변경은 "문서.txt.<5~10자리 숫자+영문 소문자 Random>" 형태로 변경 됩니다

 

결제 안내 파일은 "<암호화 확장명>-readme.txt" 파일이 각 폴더마다 생성 됩니다

 

파일 암호화가 완료 되면 bmp 그림 파일을 생성하여 바탕화면 배경 이미지로 변경하여 파일이 암호화 되었음을 알려 줍니다

백업웨어.JPG

 

백업웨어1.JPG

 

그리고, 윈도우가 설치된 파티션이 MBR 방식일 경우 부팅에 필요한 파일까지 암호화되어 재부팅 할 경우 OS를 찾을 수 없다는 메세지와 함깨 부팅에 실패 합니다

백업웨어3.JPG

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다