에일락 랜섬웨어, 극도로 효율성 추구하면서도 꼼꼼
- 지난 3월 새롭게 등장한 랜섬웨어 그룹
- 기존 랜섬웨어 조직들과 차별성 존재
- 빠르고 효율적으로 움직이고자 하는 의도 분명
에일락(AiLock)이라는 이름의 신규 랜섬웨어 조직에 대한 상세 분석 보고서가 발표됐다. 기존 랜섬웨어 그룹들과 닮은 점도 있고 차별화 된 면모도 가지고 있다. 지난 3월 보안 업체 지스케일러(Zscaler)가 제일 처음 발견해 세상에 알렸고, 또 다른 보안 업체 S2W가 이들을 추적해 정리한 결과를 오늘 발표했다.
하이브리드 암호화 전략
에일락의 차별점은 ‘하이브리드 암호화’ 방식을 보유하고 있다는 것이다. 피해자의 파일을 암호화 하는 데에는 차차20(ChaCha20)이라는 알고리즘을, 암호화 키를 포함한 각종 메타데이터를 암호화 하는 데에는 엔트루엔크립트(NTRUEncrypt)라는 알고리즘이 사용된다고 S2W는 보고서를 통해 밝혔다.
단순히 두 개의 암호화 알고리즘을 사용한다는 것만으로 ‘하이브리드 암호화’ 전략을 채택했다고 말하기는 힘들다. 암호화 할 파일 크기에 따라서 ‘전체 파일화’를 하기도 하고 ‘부분 암호화’를 하기도 한다. “100MB 이하 파일은 대체로 전체 암호화를 하고, 그보다 큰 파일은 부분 암호화를 합니다. 그렇게 함으로써 암호화 속도 자체를 높이려는 것으로 해석됩니다.”
그 외에는 기존 랜섬웨어와 비슷하다.
- ‘서비스형 랜섬웨어’ 방식으로 운영된다.
- 데이터 암호화 외에 데이터 탈취도 동시에 진행한다.
- 탈취된 데이터는 에일락 랜섬웨어의 정보 공개용 사이트를 통해 유출된다.
- 암호화 한 파일에 독특한 확장자(이 경우 .AiLock)를 붙인다.
- 암호화를 완료한 뒤에는 협박 편지를 Readme.txt라는 이름으로 남겨둔다.
공격 과정
에일락은 먼저 IsProcessorFeaturePresent()라는 메소드를 통해 피해자 시스템의 CPU를 식별한다. 그 결과에 따라 가장 알맞은 차차20 알고리즘을 선택한다. 그 후 GetSystemTime()과 SystemTimeToFileTime()이라는 메소드를 통해 시스템 시간을 파악하고, GetSystemInfo()를 이용해 프로세서 수를 식별하며, 스레드 간 데이터 교환과 암호화를 위해 입출력 완료 포트(IOCP)를 이용하기도 한다.
이는 다시 말해 최적의 암호화 방식을 선정해 최대한 효율적인 암호화를 진행하면서, 동시에 데이터 탈취 기반을 마련한다는 의미가 된다. “그런 후 실제 공격을 실시합니다. 그런 와중에 SHEmptyRecycleBinA()라는 API를 이용해 휴지통을 비우기도 합니다. ControlService()로 특정 서비스를 중단하기도 하고, TerminateProcess()로 지정된 프로세스를 강제 종료시키기도 합니다. 더 많은 파일을 암호화 하기 위한 움직임으로 파악됩니다.”
여기서 에일락은 높은 효율성을 한 번 더 추구한다. 중복 실행 방지를 위해 파우스트(FAUST)라는 뮤텍스를 생성하기까지 하는 것이다. 그런 후 TEMP 경로에 tmp.ico라는 파일을 심어 .AiLock 파일 아이콘으로 설정한다. SystemParameterInfoW()라는 API를 사용해 바탕화면 이미지를 변경하기도 한다. 이렇게 함으로써 피해자가 피해 사실을 최대한 빨리 알아채도록 하려는 것으로 추정된다. 자가 삭제도 실시한다.
최대한 빠르게, 최대한 많이, 최대한 실패 없이
에일락 개발자들은 그 무엇보다 가장 빠른 시간에 가장 실패할 확률을 낮추는 데 집중한 것으로 보인다. 피해자 시스템에 잘 맞는 암호화 알고리즘을 건별로 선정해 사용하기도 하고, 시간을 아끼기 위해 부분 암호화 전략을 채택하기도 했으며, 최대한 많은 파일을 암호화 하기 위해 프로세스를 중단시키기까지 한 것이 이를 말해준다. 그러면서도 이중 암호화 혹은 하이브리드 암호화를 통해 파일 복구를 사실상 불가능하도록 만들었고, 중복 실행 방지를 위해 뮤텍스까지 생성하는 건 실패 확률을 낮추려는 시도라고 할 수 있다.
게다가 자가 삭제를 통해 추적과 분석도 방해하고 있다. 배후의 공격자들이 꽤나 꼼꼼하게 일을 진행한다는 걸 알 수 있다. ‘서비스형 랜섬웨어’ 시장이 얼마나 성숙해 가는지 볼 수 있는 대목이다. 랜섬웨어가 하나의 사업 아이템으로 굳어지면서, 시장 전체가 극심한 경쟁을 하게 됐고, 그에 따라 서비스의 품질이 전반적으로 상향되고 있다.
S2W는 “현재까지 최소 2명(혹은 2개 조직)의 피해자가 나온 것으로 보인다”며 “더 많은 피해자들이 앞으로 나타날 가능성이 높다”고 경고한다. “이들이 운영하는 협상 및 정보 유출 사이트는 꾸준히 변하고 있습니다. 공격자들이 손을 계속 댄다는 뜻입니다. 그런데다가 이들을 분석하면 할수록 새로운 공격 인프라까지 나오고 있습니다. 금방 사라질 랜섬웨어 조직은 아니라고 봅니다. 따라서 이들을 염두에 둔 탐지 규칙을 적용하고, 네트워크를 꾸준히 모니터링할 필요가 있습니다."
