안랩 시큐리티대응센터(ASEC)은 최근 유통 대기업 A사를 공격한 CLOP 랜섬웨어와 CLOP 랜섬웨어의 유포 및 공격 방식에 대해 분석 보고서를 공개한다. 이 보고서는 2020년 유통 대기업 A사 공격에 사용된 CLOP 랜섬웨어 파일의 복구 가능성과 연관 파일, 그리고 2019년에 여러 기업 공격에 사용된 CLOP 랜섬웨어 유포 과정을 설명한다. 또한 현재까지 확인된 CLOP 랜섬웨어의 주요 변화와 특징에 대해서도 기술한다.

개요

유통 대기업 공격 CLOP 랜섬웨어
1) 복구 가능성
2) 동일 인증서 포함 파일

기업 공격 과정
1) 공격 대상
2) 공격 과정
[Ⅰ 준비] 최초 공격 대상자에게 이메일 첨부 파일로 악성 문서파일을 전달하여 원격제어 악성코드 설치
이메일에 첨부된 악성 문서 파일(엑셀, 워드)을 사용자가 열람
문서 파일에 삽입된 매크로를 통해 원격제어 악성코드 다운로더 실행
해당 시스템이 AD에 가입되어 운영되는 경우, 원격제어 악성코드 파일을 다운로드 후 실행 (AD환경을 노림)
원격제어 악성코드 파일은 해당 시스템에 Cobalt Strike Beacon을 설치
[Ⅱ 장악] Cobalt Strike를 이용해 AD 내의 시스템 장악
AD 도메인 구성 정보 확인
취약점을 이용해 실행 권한 상승
상승된 권한으로 Mimikatz 모듈을 실행해 로컬 관리자 계정 또는 AD 도메인 관리자 계정의 크리덴셜 획득
AD 도메인 관리자 계정 획득에 성공하면 도메인 컨트롤러 서버에 접속하여 도메인에 연결된 시스템 장악
[Ⅲ 실행] AD 내의 시스템을 대상으로 CLOP 랜섬웨어 감염 시도
도메인 컨트롤러의 공유 폴더에 CLOP 랜섬웨어 등 악성코드 준비
AD 도메인에 연결된 시스템에 작업 스케쥴 또는 원격 명령을 이용해 CLOP 랜섬웨어 배포 및 실행

CLOP 랜섬웨어 분석
1) 동작 과정
2) 기능 변화
3) 랜섬노트 변화

결론

IoC (Indicators of Compromise)
1) 파일 Hashes (MD5)
2) 관련 도메인, URL 및 IP 주소

참고 자료