비트락커 랜섬웨어
포렌식 복구키 찾기 2편
Version 1.4
지난번 1편에이어 2편을 올려드립니다.
디지털 포렌식을 이용한 비트락커 랜섬웨어 감염 분석 및 복구키 찾기 (1편)
1편 업로드이후 많은 전화와 문의를 받았고, 일주일에 4~5건 정도 현장에 출동하여 비트락커 랜섬웨어에 걸린 고객사 서버 복구를 위해 고객과 함께 밤을 새며 해결을 위해 최선을 다했습니다. 그 결과 성공사례와 실패사례가 있었습니다.
성공사례는 비트락커 랜섬웨어에 감염되고 즉시 서버를 셧다운 하고 저희에게 전화를 주셨던 고객입니다. 실패사례는 3일동안 서버를 켜둔 고객사였습니다. 그래서 모든 랜섬웨어는 감염되면 일단 서버를 셧다운 하셔야 합니다.
그리고 보안업계에서 살짝 이슈가 되었습니다.
과연 비트락커 랜섬웨어가 복구 가능할까?
정확하게 말씀드리자면 비트락커로 암호화된 디스크 해독(복호화)는 양자컴퓨터를 써도, 마이크로소프트가 와도 불가능합니다.
단지 가능한 것은 하드디스크에 저장된 비트락커 복구키를 찾는것입니다.
저희는 그것을 이미 알기에 포렌식으로 복구키를 찾는겁니다.
왜 하필 포랜식으로 복구키를 찾는지 문의도 있었습니다. 정확한 파일명과 위치를 찾아서 불필요한 시간을 줄여 빠르게 복구키를 찾기 위해서입니다.
그리고 저희는 성공하거나 실패하거나 요약 포렌식 분석리포트는 기본적으로 제공합니다.
재감염방지 메뉴얼도 기본적으로 제공하고 있습니다.
포렌식 분석을 위해 현장에서 서버의 디스크 이미지 다운로드 받는 시간에 이미 기본적인 랜섬웨어 감염 경로에 대한 분석은 끝납니다.
1TB 디스크를 이미지로 만들 때 대략 6시간 정도 소요됩니다. 그 때 기본 분석 리포트를 만들어 포렌식 분석에 정확한 방향성을 저희 분석팀에 제공합니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 01>
저희 분석팀은 이렇게 정확하게 위치를 찾아 그 파일을 디스크 포렌식을 통해 추출합니다.
저희는 고객에게 막연한 희망만을 드리지 않습니다. 디스크 감염도 진행 상태에 따라 성공 사례도 있고, 실패 사례도 있습니다.저희의 비트락커 복구키 찾기 성공율은 70% 입니다. (디스크 감염 진행 상황에 따라 다름)
그리고 빠르게 복구키 찾기 성공 여부가 나옵니다. 최대 2일정도 소요가 됩니다. (24시간 운영) 복구키를 찾더라도 이미 암호화 되는 경우도 있습니다. 복구키를 찾기 위해 디스크 분석에만 몇 주가 소요되었는데 결국 복구키를 찾지 못해 몇 주동안 고객사의 서버 운영에 지장을 받는 것보다는 며칠내로 빨리 복구키를 찾을 수 있는지 없는지가 파악되면 서버 복구를 위한 정책 결정이 빨라져 고객사의 피해가 조금이라도 감소됩니다.
저희는 현장에 직접가서 고객의 상황을 파악하고 간단한 네트워크 보안 문제점도 파악하여 알려드립니다.
1편에서는 스크립트 배포지를 찾아봤습니다. 2편에서는 누가 공격했는지 배후는 누구인지 복구키는 어디에 있는지 찾아 보는 과정을 공유하겠습니다.
다음편에서는 새로운 방법 비트락커 랜섬웨어에 감염된 드라이브에서 mssql 백업파일 .bak 파일 복원에 대해 작성해 보려고 합니다. 디스크 포렌식으로 가능 합니다.
이제 2편을 시작합니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 02>
2024년 5월 25일 오후10시 40분에 비트락커 랜섬웨어에 감염되었음을 알 수 있습니다.
타임라인으로 봤을 때 5월 25일 오후 10시 06분 악성 스크립트를 다운로드 받았고, 5월 25일 오후 10시 40분에 비트락커 랜섬웨어에 감염되었습니다.
감염된 시간을 알았고 이젠 누가 접속했는지 찾아보면 됩니다. 공격 시간이 제일 중요합니다.
5월 25일 오후 10시 40분에 랜섬웨어에 감염되었으니 바로 직전에 누가 접속했는지 로그를 보면 그 PC가 범인입니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 03>
감염직전에 누군가 원격제어로 접속한 로그가 있습니다.
이제 공격자의 위치를 찾아볼 시간입니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 04>
접속 IP가 미얀마로 나옵니다. 미얀마에 있는 저 IP가 해커라고 보시면 아마추어적 분석입니다. 해커는 직접 공격하지 않습니다. 저 IP는 공격자의 실제 위치를 감추기 위한 경유지입니다.
그런데 이상합니다. 대부분의 사례에서는 내부(숙주) IP가 나오는데 여기는 왜 공인IP가 나올까요?
그래서 고객에게 물어봤습니다. 고객의 답변은 '저 시기에 유지보수를 하기위해 원격제어(3389)를 Any로 잠시 열어놨다'고 합니다.
그 때 해커가 경유지를 통해 들어왔습니다.(한번에? 일단 의심)
이젠 범인을 찾았으니 복구키를 어디에 저장했는지 찾아봐야 합니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 05>
05월 25일 오후 10시 35분에 뭔가 마운트 되었습니다. 서버 설정이나 네트워크 로그를 잘 모르시는 분들은 이해하기 어렵겠지만, 저것은 다른 드라이브 또는 파티션을 마운트 한 것입니다. 저희는 다양한 공격 사례를 분석한 경험을 통해 복구키가 다른 드라이브에 있다고 판단하였습니다.
다시한번 로그를 찾아 보겠습니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 06>
해커는 다른 드라이브 또는 파티션을 마운트해서 드라이브 암호화와 함께 복구키를 숨겼습니다. 결국 암호화된 드라이브에서 복구키를 찾아야 합니다. 이 부분은 디스크 포렌식으로 복구키를 추출하면 됩니다.
저희는 복구키 발견 여부는 빠르게 알 수 있습니다. 다만 복구키가 암호화 되어있으면 추출해도 복구 패스워드는 안나옵니다. 그래서 서버를 빨리 셧다운 하셔야 합니다. 그럼 서버 디스크의 암호화가 최소로 진행되어 복구키를 찾아 드라이브 복구할 가능성이 높아집니다.
이젠 미얀마 IP의 배후를 찾아볼 시간입니다.
가끔 아래 예시처럼 클라이언트 UTC TimeZone이 나오는 경우는 대박입니다.
<포렌식 분석을 통한 비트락커 랜섬웨어 복구키 찾기 07>
배후를 찾는 것은 엄청난 에너지와 시간, 전문 지식이 필요합니다. 블로그에 더 설명드리기도 힘든 내용입니다.
이것이 가능하신 분들에게만 추천 드립니다.
이만 2편을 마무리하겠습니다.
2주동안 정말 바쁜 시간이었습니다.
랜섬웨어는 미리 예방하는 것이 최선의 전략입니다.
요즘 러시아, 북한 등의 랜섬웨어 공격이 급증하고 있으니 미리미리 대비하시라고 말씀드리고 싶습니다.
아래는 저희가 진행하는 랜섬웨어 복구 및 예방을 위한 현장 서비스 비용입니다.
최소한의 인건비와 현장 출장비만 받고 고객의 비트락커 복구키 찾는 것을 도와드리고 있습니다.
복구키 또는 DB 데이터 복구가 성공했을 때만 추가 복구 비용을 청구하고 있습니다.
해커는 최소 1억 이상 또는 최대 몇십억의 금액을 요구하기도 합니다.
[이벤트]
그 동안 한국랜섬웨어방어센터(KRDC) 블로그에 보내주신 뜨거운 관심에 깊이 감사드리며, 소소한 이벤트를 준비했습니다.
아래 링크글에 가셔서 이벤트에 참여하시고 시원한 아메리카노 한잔 받으시길 바랍니다!
[이벤트] 비트락커 랜섬웨어 포렌식 복구키 찾기 2편
비트락커 랜섬웨어 포렌식 복구키 찾기 2편 Version 1.4 지난번 1편에이어 2편을 올려드립니다. 디지털 포...
blog.naver.com
<이벤트 경품>
많은 관심과 참여 부탁드립니다.
감사합니다!
[한국랜섬웨어방어센터]
* 한국랜섬웨어방어센터(KRDC)는 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.
또한 랜섬웨어는 무엇보다 예방이 최선의 대응 조치입니다. 랜섬웨어 예방을 위한 윈도우 서버 설정을 미리 조치하면 거의 대부분의 랜섬웨어를 예방할 수 있습니다. 아래 연락처로 문의주시면 현장을 방문하여 랜섬웨어 예방 서비스를 제공해 드립니다.
- 직통 상담 번호: 010-2924-8211
<KRDC 문의처>
'KRDC' 카테고리의 다른 글
| 비트락커 랜섬웨어 데이터 복구 서비스는 KRDC와 함께 해결하세요! (0) | 2024.07.03 |
|---|---|
| 크립토(파일 단위 암호화) 랜섬웨어 데이터 복구 성공 사례 공유 (1) | 2024.06.30 |
| 중소 제조업의 랜섬웨어 대응 전략 (0) | 2024.06.20 |
| 랜섬웨어 대응은 단순 데이터 복구가 아닌 디지털 포렌식으로 접근해야 합니다. (1) | 2024.06.17 |
| 디지털 포렌식을 이용한 비트락커 랜섬웨어 감염 분석 및 복구키 찾기 (1편) (5) | 2024.06.10 |
