다곤 랜섬웨어, 피싱 또는 이메일 첨부파일로 국내 유포 시작

특정 경로와 확장자 제외한 모든 파일 암호화...ChaCha20 방식 사용
SaaS 형태로 공격자에 따라 유포 경로와 공격 대상 다양할 듯
마운트락커 및 퀀텀 랜섬웨어와 동일한 코드와 기능 사용

[보안뉴스 김영명 기자] DAGON LOCKER 랜섬웨어(이하 ‘다곤 랜섬웨어’)가 국내에 유포되고 있는 것이 최근 확인됐다. 다곤 랜섬웨어의 주 유포 경로는 피싱 또는 이메일 첨부파일이지만 서비스형 랜섬웨어(Ransomware-as-a-Service)이기 때문에, 공격자에 따라 유포 경로와 공격 대상은 다양할 수 있다.

[이미지 = utoimage]

안랩 ASEC 분석팀(이하 ASEC 분석팀)은 자체 보안 인프라의 랜섬웨어 의심 행위 차단 이력으로 최초 발견됐으며, 지난 10월에는 국내 모 기관이 안랩에 악성 의심 파일로 접수하기도 했다고 밝혔다.

다곤 랜섬웨어는 파일 외형이 패킹돼 있어 프로세스 메모리에 생성되는 64비트 EXE 바이너리가 핵심 코드다. 이 코드는 2년 전부터 유포되던 MountLocker(마운트락커) 랜섬웨어 또는 Quantum(퀀텀) 랜섬웨어와 동일한 코드를 쓰는 부분과 기능이 있어 유사 변종으로 볼 수 있다. 다곤 랜섬웨어 코드에 버전 정보를 의미하는 ‘Ver 5.1 x64’ 문자열이 확인됐다.

다곤 랜섬웨어의 주요 특징은 △실행 인자로 랜섬웨어의 암호화 범위를 제한 또는 확장하고 실행 옵션 지정 가능 △특정 경로와 확장자를 제외한 모든 파일을 대상으로 암호화한 후 ‘*.dagoned’ 파일명으로 변경 △파일 암호화는 ChaCha20 암호화 방식을 이용하고, 이때 사용하는 암호화 키는 RSA-2048로 암호화 △시스템의 윈도 서비스와 프로세스 목록을 확인하고 조건에 맞을 경우 서비스와 프로세스 종료 △사용자 시스템 정보와 랜섬웨어의 암호화 이력을 ‘.log’ 파일에 저장 △볼륨쉐도 복사본은 삭제하지 않음 등의 특징이 있다.

다곤 랜섬웨어의 64비트 EXE 바이너리는 모든 문자열을 인코딩한 상태로 저장하기 때문에 이를 디코딩하는 루틴을 거쳐서 필요한 문자열을 생성한다. 윈도 API 함수를 호출할 때도 동적 라이브러리를 로드해 함수를 호출하는데, 이 과정에도 같은 디코딩 루틴을 실행한다. Import 헤더 정보를 보면 초기 실행 단계에 필요한 함수만을 Import 하고 있다.

▲다곤 랜섬웨어(좌) 및 랜섬웨어 실행 후 확장자가 DAGON LOCKER로 바뀐 모습(우)[이미지=안랩 ASEC 분석팀]

다곤 랜섬웨어는 실행 인자로 랜섬웨어의 암호화 범위를 제한 또는 확장하고 실행 옵션을지정할 수 있다. GetCommandLineW 함수로 전달된 실행 인자에서 유효한 인자의 존재 여부를 확인하고 그 값에 따라 랜섬웨어 암호화 동작 범위를 제한 또는 확장한다.

예를 들면 ‘/LOGIN=’과 ‘/PASSWORD=’로 주어진 인자와 지정 값은 네트워크에 연결된 사용자 리소스에 접근할 때 필요한 크리덴셜이다. 다곤 랜섬웨어는 조건에 맞을 경우 네트워크로 연결된 다른 사용자 시스템도 암호화할 수 있다. 인자로 랜섬웨어 동작 범위 외에 실행 환경 옵션을 지정할 수도 있다. 예를 들면 ‘/NOKILL’은 윈도우 서비스와 프로세스를 종료하지 않도록 한다. 인자가 주어지지 않는 기본 실행 옵션으로도 정상적으로 사용자 파일 암호화 행위는 동작한다. 이번에 확인된 다곤 랜섬웨어는 실행 인자 정보가 확인되지 않아 단독으로 실행됐을 것으로 보인다.

▲다곤 랜섬웨어 분석 형태[이미지=안랩 ASEC 분석팀]

다곤 랜섬웨어는 특정 경로와 확장자를 제외한 모든 파일을 대상으로 암호화한 후 ‘*.dagoned’ 파일명으로 변경하는데, 기본적으로 드라이브 내 모든 파일을 암호화한다. 별도의 지정된 실행 인자가 없을 때는 A 드라이브부터 Z 드라이브까지 순차적으로 탐색하며, 드라이브 타입 중 GetDriveTypeW 함수로 네트워크 드라이브(DRIVE_REMOTE)는 제외한다. 이때 암호화 대상 파일 중 특정 경로와 확장자는 제외하는데, 총 46개의 경로와 15개 파일 확장자가 제외 대상이다. 암호화 이후 파일명은 ‘<기존파일명>*.dagoned’으로 변경한다. 암호화된 파일이 있는 경로에 랜섬노트 파일 ‘README_TO_DECRYPT.html’을 생성한다.

▲다곤 랜섬웨어 암호 형태[이미지=안랩 ASEC 분석팀]

다곤 랜섬웨어의 파일 암호화는 ChaCha20 암호화 방식을 이용하고, 이때 사용하는 암호화 키는 RSA-2048로 암호화한다. 다곤 랜섬웨어는 복합 암호화 방식을 이용한 랜섬웨어로 CryptImportKey 함수로 RSA 2048키를 로드하고 CryptEncrypt 함수에서 이 키를 이용해 ChaCha20 키를 암호화한다.

특히, 시스템의 윈도 서비스와 프로세스 목록을 확인하고 조건에 맞을 경우 서비스와 프로세스를 강제로 종료한다. 시스템에서 프로세스(SERVICE_32)로 유효(SERVICE_ACTIVE)하게 동작 중인 윈도 서비스를 EnumServiceStatus 함수로 조회하고 특정 3개 패턴의 이름이 서비스명에 포함돼 있을 경우 그 서비스 프로세스를 종료한다. 또한, 동작 중인 프로세스를 조회한 뒤, 그 가운데 49개 프로세스 목록과 일치하는 게 있다면, 해당 프로세스를 종료한다.

종료 대상 프로세스에는 △‘agntsvc.exe’ Panda Security Agent △‘dumpcap.exe’ △‘procmon.exe’ 등 악성코드 행위 모니터링 목적 프로세스가 있다.

▲chacha20 암호화로직(좌)과 동작중인 프로세스 조회 화면(우)[이미지=안랩 ASEC 분석팀]

해당 랜섬웨어는 별도의 /NOLOG 실행 인자가 주어지지 않았을 때, 사용자 시스템 정보와 파일의 동작 과정 및 모든 암호화 이력을 동일 경로 내 ‘.log’ 파일로 저장한다. 파일이 단독으로 실행됐을 경우 ‘.log’ 파일이 외부 네트워크 주소로 전송되는 기능은 없다. 다곤 랜섬웨어가 정보 유출이 가능한 다른 악성코드와 함께 실행됐다가 공격자가 피해 시스템 확인 목적으로 ‘.log’ 파일을 이용할 가능성이 있다.

▲사용자 시스템 정보와 로그 파일[이미지=안랩 ASEC 분석팀]

랜섬웨어 내부 버전을 의미하는 문자열인 ‘er 5.1 x64’와 함께 △사용자 시스템 정보(프로세서 개수, 윈도 버전, 사용자명, PC명, 그룹 계정 등) △종료한 윈도 서비스 목록 △종료한 프로세스 목록 △암호화 이력(성공, 실패 여부 포함) △통계(암호화 속도, 암호화한 파일 및 경로 개수, 에러 발생 횟수 등) 등의 정보가 ‘.log’ 파일에 저장된다. 다만, 보편적인 랜섬웨어가 실행하는 볼륨쉐도 복사본 삭제 행위는 발견되지 않았다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)