블랙빗 랜섬웨어, 정보 유출과 탐지 방해 기능 무장한 채 국내 유포

안랩 ASEC 분석팀, 국내 유포 중인 블랙빗 포착...분석 방해 위해 코드 난독화

[보안뉴스 김영명 기자] 마이크로소프트 윈도 NT 호스트 프로세스인 svchost.exe로 위장한 블랙빗(BlackBit) 랜섬웨어가 유포 중인 것이 확인됐다. svchost.exe은 마이크로소프트 윈도 NT(Windows NT)에서 백그라운드 서비스들을 처리하기 위한 포괄적인 호스트 프로세스다.

▲블랙빗 랜섬웨어가 남긴 랜섬노트[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 블랙빗 랜섬웨어가 지난해 9월 무렵부터 국내에 유포되기 시작한 이래 현재까지 꾸준히 유포되고 있다고 밝혔다. 블랙빗 랜섬웨어는 닷넷 리액터(.NET Reactor)를 활용해 코드 난독화가 돼 있었으며, 이는 분석을 방해하기 위한 것으로 추정된다. 실제 동작하는 이 랜섬웨어는 지난해 초에 발견됐던 로키로커(LokiLocker) 랜섬웨어의 특징과 유사한 것을 확인할 수 있다.

▲BlackBit.exe 파일 속성[자료=안랩 ASEC 분석팀]

블랙빗 랜섬웨어는 암호화 행위 수행 이전에 △지속성 △복구방지 △정보유출 △프로세스 종료 등 다양한 준비 작업을 수행한다. 첫 번째로 ‘지속성’ 작업에서는 악성코드가 설치된 이후 지속성을 유지하기 위해 자기 자신을 ‘winlogin.exe’의 파일명으로 시작 프로그램 경로와 %AppData% 경로에 복사한 뒤, 작업 스케줄러에 등록한다. 또한, 작업관리자를 통한 프로세스 종료를 방해하기 위해 BAT 파일을 활용해 관련 레지스트리를 등록한다.

지속성 유지를 위한 기능이 끝나게 되면, 두 번째로 ‘복구방지’ 작업에서는 파일 암호화 이전 복구를 방해하기 위해 ‘Recycle.bin’에 존재하는 파일과 볼륨 쉐도 등을 삭제하게 된다.

세 번째로, ‘정보유출’ 작업에서는 네트워크 설정 변경과 함께 윈도 자체 안티바이러스 소프트웨어인 윈도 디펜더(Windows Defender)를 종료해 정보 유출과 탐지를 방해하기 위한 행위를 수행한다.

네 번째로, 블랙빗 랜섬웨어는 ‘프로세스 종료’ 행위도 확인할 수 있다. 종료되는 프로세스는 △wxserverview △qbcfmonitorservice △qbidpservice △fdlauncher △zhudongfangyu 등의 프로세스를 종료하는 특징도 확인할 수 있다. 종료되는 프로세스는 총 25개가 확인되고 있다. 이 같은 행위는 VM(Virtual Machine, 가상 컴퓨터) 환경에 대한 검사 및 암호화 대상의 범위를 확장하려는 의도로 추정된다.

이러한 다양한 과정을 모두 거친 이후에는 본격적으로 파일 암호화를 진행한다. 마지막으로 블랙빗 랜섬웨어는 각각의 감염된 경로 폴더에 ‘Restore-My-Files.txt’를 생성하고 랜섬노트를 띄운다.

▲정보 유출 및 탐지 방해 행위[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 “랜섬웨어 예방을 위해 출처가 불분명한 파일 실행에 주의해야 하며, 의심스러운 파일의 경우 백신을 통한 검사 및 백신을 최신 버전으로 업데이트하는 것이 중요하다”고 말했다.
[김영명 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)