디지털 포렌식을 이용한 비트락커 랜섬웨어 감염 분석 및 복구키 찾기 (1편)

최근 비트락커 랜섬웨어 공격이 급증하고 있으며, 피해 규모도 점점 커지고 있습니다. 특히, 비트락커(BitLocker) 랜섬웨어는 암호화된 데이터를 복구하기 위해 고액의 몸값을 요구하는 악성 코드로, 개인과 기업 모두에게 심각한 위협이 되고 있습니다.

​

이 리포트에서는 ㈜베일리테크와 ㈜블록버스에서 6년간 운영한 한국랜섬웨어방어센터(KRDC)의 경험과 노하우를 바탕으로 비트락커(BitLocker) 랜섬웨어 감염 사례를 분석하고, 빠른 복구를 위한 실제 사례와 조사 방법을 공유합니다.

​

​

비트락커(BitLocker) 랜섬웨어 감염 포렌식 분석 리포트

- 디지털 포렌식을 이용한 비트락커 랜섬웨어 감염 분석 및 복구키 찾기

Version 1.3

 

 

한국랜섬웨어방어센터

(Korea Ransomware Defense Center)

​

 

​

1. 비트락커 랜섬웨어 감염 포렌식 분석 리포트 배포

본 문서는 ㈜베일리테크와 ㈜블록버스에서 한국랜섬웨어방어센터(KRDC)를 6년간 운영하면서 랜섬웨어 연구와 랜섬웨어 피해 고객사 디지털 포렌식 결과를 기반으로 비트락커(BitLocker) 랜섬웨어 감염사례 분석 리포트를 문서를 배포합니다. 이 문서는 비트락커 복구키(BitLocker Recovery Key)를 빠르게 찾기위한 방법이며 해킹의 방법 및 전문가용 분석 리포트는 다음에 제공하도록 하겠습니다. 아래와 같은 결과를 얻기 위해 이벤트로그 수집, 레지스트리 정보 수집, 메모리 덤프, 디스크 이미지 제작, 이미지 로딩시간, 포렌식 분석시간 등 총 2일이 소요되었다.

​

​

2. 암호화 시점(사고시점) 파악 중요

1) 감염된 고객사에 방문해서 상담해보면 대부분의 고객은 대충의 날짜만 알고있다. 그래서 우선적으로 사고 시점 파악이 중요하다. 복구키 찾기의 모든 기준이 날짜와 시간이다.

​

2) 암호화 시간을 파악하기 위해 이벤트 로그를 수집하고 분석해야 한다.

<Windows PowerShell.evtx 분석화면>

​

​

 

3) 이벤트 로그 분석결과 24년 05월 25일 오후 10시 06분으로 의심되며 확인이 필요하다.

Shell.ps1, x.bat 파일명 메모해야한다. Autopsy를 이용해서 포렌식 분석의 경우 중요한 키워드가 될 수 있다.

 

 

 

<Microsoft-Windows-PowerShell%4Operational.evtx분석화면>

 

 

 

4) 앞에서 분석한 결과와 Microsoft-Windows-PowerShell%4Operational.evtx 비교분석 결과 의심스러운 시간에 원격에서 스크립트가 실행되었다.

​

​

5) 동일한 분석결과가 나왔고 확실하게 결과를 얻기 위해 한번 더 분석해보자

​

6) 스크립트 동작 이후 BitLocker 드라이브 암호화로 잠겨있는 것을 확인하였고 Shell.ps1, x.bat로 동작했음을 알아냈다.

​

7) Autopsy로 키워드 분석해보자.

분석결과 외부에서 스크립트를 다운로드 받아서 x.bat으로 실행하였다.

 

8) 외부 IP를 분석할 시간이다.

 

 

Shell.ps1을 배포하는 IP 조사결과 독일로 나오며 충분히 의심스럽다. 지금은 열리지 않는다. 해커들은 악성코드 배포캠페인(필요할 때 열어두는 형태) 할 때 열어둔다.

​

또한 VirusTotal결과 클린으로 나오며, 저 IP에는 악성코드(파일형태)가 없기 때문에 백신에서는 탐지 할 수 없다. 저 IP에는 스크립트를 배포하는 shell.ps1만 있다.

 

shell.ps1 다운로드 결과 Base64로 인코딩되어 있다.

다운로드 된 IP조사결과 독일로 나오며 충분히 의심스럽다.

​

▶ 2편에서 계속

​

​

​

3. 결론

비트락커 랜섬웨어 피해고객 포렌식을 해보면 공통적인 부분이 많습니다. 예를 들어 Administrator 계정을 그대로 사용하였고, 알려진 포트 3389를 그대로 사용하였습니다. 추가로 내부에 모든PC가 서버로 원격제어 접속이 가능하였고 해커의 공격이 최적의 상태로 운영되고 있었습니다. 이러한 상태로 운영된다면 스크립트로 동작하는 BitLocker를 막을 수 있는 방법은 없습니다.

 

※ 피해 예방을 위한 교훈

- 피해 고객들의 포렌식 분석 결과를 통해 분석한 공통 취약점

• Administrator 계정 사용: 관리자 권한 계정 사용은 공격의 표적이 됩니다.
• 기본 포트 사용 (예: 3389): 알려진 취약 포트 사용은 공격자에게 악용될 수 있습니다.
• 내부 PC 원격 제어 허용: 모든 PC에 대한 원격 제어는 공격 범위를 확대합니다.

​

운영되는 윈도우 서버가 랜섬웨어에 감염되면 매우 당황하게 됩니다. 얼마나 빨리 정확하게 파악하고 행동하냐에 따라 회사의 피해가 달라집니다. 한국랜섬웨어방어센터터는 고객사의 윈도우 서버가 랜섬웨어 감염 시 빠른 복구와 컨설팅을 진행하여 고객의 피해를 최소화 하고 있습니다.

​

랜섬웨어 감염은 혼자 해결하기 어려울 수 있습니다. 한국랜섬웨어방어센터는 다음과 같은 전문적인 서비스를 제공합니다.

• 신속한 상황 파악 및 분석: 피해 정도, 암호화 범위, 공격 경로 등을 파악합니다.
• 정확한 복구 키 찾기: 최신 기술과 풍부한 디지털 포렌식 노하우를 활용하여 복구 키를 찾습니다.
• 데이터 복구 및 시스템 복구: 최대한 신속하게 데이터와 시스템을 복구합니다.
• 재발 방지 컨설팅: 시스템 취약점을 분석하여 재발 방지

​

---

[한국랜섬웨어방어센터]

* 한국랜섬웨어방어센터(KRDC)는 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.

​

또한 랜섬웨어는 무엇보다 예방이 최선의 대응 조치입니다. 랜섬웨어 예방을 위한 윈도우 서버 설정을 미리 조치하면 거의 대부분의 랜섬웨어를 예방할 수 있습니다. 아래 연락처로 문의주시면 현장을 방문하여 랜섬웨어 예방 서비스를 제공해 드립니다.

 

- 직통 상담 번호: 010-4823-3315

 

 

태그: #랜섬웨어, #랜섬웨어공격, #랜섬웨어복구, #보안, #정보보안, #중소제조, #ERP, #KRDC