기술 지원
문서
로그인
문의하기
탐지를 우회하는 새로운 기능을 제공하는 RansomExx 악성코드
2022년 12월 5일 TuxCare 홍보팀
IBM Security X-Force 위협 연구진에 따르면 APT 그룹 DefrayX는 Rust 프로그래밍 언어로 재작성된 Linux용 변종인 RansomExx2로 알려진 새로운 버전의 RansomExx 멀웨어를 출시했는데, 이는 Rust가 일반적인 언어로 작성된 멀웨어에 비해 바이러스 백신 소프트웨어의 탐지율을 낮추는 이점이 있기 때문에 바이러스 백신 소프트웨어의 탐지를 피하기 위한 것으로 보입니다.
Rust는 플랫폼에 구애받지 않고 탐지 및 리버스 엔지니어링이 더 어렵다는 장점이 있습니다. 그 결과, 새로운 버전의 RansomExx는 Linux에서 실행되지만, 아직 느슨해져 탐지되지 않았다는 가정 하에 곧 Windows 버전도 출시될 것으로 IBM은 예상하고 있습니다.
랜섬엑스는 2018년부터 활동한 랜섬웨어 계열입니다. Defray777, 랜섬 X로도 알려져 있으며, 그 이후로 정부 기관, 제조업체 및 Embraer, GIGABYTE와 같은 유명 기업을 대상으로 한 여러 공격과 연관되어 있습니다.
RansomExx2는 이전 C++와 동일한 방식으로 작동하며 암호화할 대상 디렉터리 목록을 명령줄 입력으로 받아들입니다. 랜섬웨어가 실행되면 지정된 각 디렉터리를 재귀적으로 탐색하여 AES-256 알고리즘으로 파일을 열거하고 암호화합니다.
랜섬웨어는 암호화할 디렉터리 경로 목록을 입력으로 받을 것으로 예상합니다. 인수가 전달되지 않으면 아무것도 암호화하지 않습니다. 랜섬웨어가 제대로 실행되려면 다음과 같은 명령줄 형식이 필요합니다.
랜섬웨어가 실행되면 지정된 디렉터리를 통해 전파되어 파일을 식별하고 암호화합니다. 랜섬노트와 이전에 암호화된 파일을 제외한 40바이트 이상의 모든 파일은 암호화됩니다.
암호화된 파일은 각각 고유한 파일 확장자를 갖습니다. RansomExx 랜섬웨어 파일 확장자는 종종 표적 회사 이름의 변형을 기반으로 하며, '911'과 같은 숫자나 임의의 문자가 뒤에 오는 경우도 있습니다.
IBM은 자사가 분석한 한 샘플이 "최초 제출 후 최소 2주 동안 VirusTotal 플랫폼에서 악성으로 탐지되지 않았으며", "새로운 샘플은 여전히 플랫폼에 포함된 60개 이상의 AV 제공업체 중 14개 업체에서만 탐지되고 있다"고 보고했습니다.
이 글의 출처에는 다크리딩의 기사가 포함되어 있습니다.
