팔로우
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
이 기사에서는 Windows, Linux 및 VMware ESXi를 대상으로 개발된 19개의 LockBit 5.0 랜섬웨어 샘플을 검토합니다. ChaCha20을 사용한 빠른 암호화, 가족의 크로스 플랫폼 디자인, 디스크를 암호화하기 전 가상 머신을 종료할 수 있는 ESXi 중심의 동작에 중점을 둡니다. 이 글은 실행 단계, 분석 방지 조치 및 악성 코드가 충격을 주는 동안 우선시하는 하이퍼바이저 특정 파일 대상을 설명합니다.
조사
연구원들은 ELF 변종의 정적 분석을 수행하여 임베디드 경로, 명령 문자열 및 구성 전환을 추출했습니다. ESXi에서는 VMware 관리 도구(예: vim-cmd)를 이용해 디스크 암호화에 앞서 VM을 열거하고 종료하며, valgrind 및 frida와 같은 도구에 대한 디버그 방지 검사도 포함합니다. 샘플은 /var/log/encrypt.log로 실행 텔레메트리를 기록하고 작업 완료 후 자체 삭제를 지원합니다.
완화
VMware 관리 명령의 예기치 않은 사용, 계획되지 않은 VM 종료 이벤트, /var/log/encrypt.log의 생성 및 .vmdk.fastpass 표시자와 같은 아티팩트에 대해 ESXi 호스트를 모니터링합니다. 하이퍼바이저에서 신뢰할 수 없는 ELF 실행을 방지하고 ESXi에서 실행이 허용된 바이너리 및 스크립트에 대한 엄격한 허용 목록 정책을 시행하여 노출을 줄이십시오.
대응
활동이 감지되면 영향을 받은 ESXi 호스트를 격리하고 확산을 억제하기 위해 VM 프로세스를 중지하며 포렌식 증거(ELF 페이로드, encrypt.log 및 관련 호스트 로그)를 보존합니다. 검증된 클린 스냅샷/백업에서 복구를 시작하고 추가 랜섬웨어 구성 요소를 검색한 후 중요한 하이퍼바이저 파일의 무결성을 검증합니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% 액션 노드 validate_env[“<b>액션</b> – <b>T1059.004 Unix 셸</b><br/><b>설명</b>: ESXi 관리 명령(T1675) 및 Unix 셸 명령을 사용하여 ESXi 환경을 검증.”] class validate_env action enumerate_vms[“<b>액션</b> – <b>T1673 가상 머신 열거</b><br/><b>설명</b>: ESXi 호스트에 존재하는 가상 머신 목록을 나열.”] class enumerate_vms action poweroff_vms[“<b>액션</b> – <b>T1675 ESXi 관리 명령</b><br/><b>설명</b>: vimu2011cmd를 통해 대상 가상 머신의 전원을 종료.”] class poweroff_vms action anti_analysis[“<b>액션</b> – 안티 분석 검사<br/><b>기술</b>: T1497.001 시스템 검사, T1497.002 사용자 활동 검사, T1622 디버거 회피”] class anti_analysis action encrypt_vm[“<b>액션</b> – VM 파일 암호화<br/><b>기술</b>: T1573.001 암호화 채널(대칭 암호화) — ChaCha20 사용”] class encrypt_vm action obfuscate_files[“<b>액션</b> – 암호화된 파일 난독화<br/><b>기술</b>: T1027.002 소프트웨어 패킹”] class obfuscate_files action archive_data[“<b>액션</b> – 암호화된 파일 아카이브화<br/><b>기술</b>: T1560.003 사용자 정의 방법을 통한 아카이브”] class archive_data action wipe_free_space[“<b>액션</b> – 여유 공간 및 로그 활동의 선택적 삭제”] class wipe_free_space action self_delete[“<b>액션</b> – 정리<br/><b>기술</b>: T1070.004 파일 삭제, T1027.001 바이너리 패딩, T1027.005 도구에서 지표 제거”] class self_delete action %% 도구 노드 tool_esxi_admin[“<b>도구</b> – ESXi 관리 명령<br/><b>목적</b>: ESXi 호스트 구성 및 VM 라이프사이클 관리.”] class tool_esxi_admin tool tool_vim_cmd[“<b>도구</b> – vimu2011cmd<br/><b>목적</b>: VM 작업을 위한 ESXi 명령줄 유틸리티.”] class tool_vim_cmd tool tool_chacha20[“<b>도구</b> – ChaCha20 암호화 모듈<br/><b>목적</b>: 고속 사전 패스 및 전체 대칭 암호화 수행.”] class tool_chacha20 tool tool_custom_archive[“<b>도구</b> – 사용자 정의 아카이버<br/><b>목적</b>: 암호화된 VM 파일을 독자적인 아카이브 형식으로 패키징.”] class tool_custom_archive tool %% 연결 validate_env –>|사용| tool_esxi_admin validate_env –>|실행| tool_vim_cmd validate_env –>|이어짐| enumerate_vms enumerate_vms –>|사용| tool_vim_cmd enumerate_vms –>|이어짐| poweroff_vms poweroff_vms –>|사용| tool_vim_cmd poweroff_vms –>|이어짐| anti_analysis anti_analysis –>|실행| encrypt_vm encrypt_vm –>|사용| tool_chacha20 encrypt_vm –>|이어짐| obfuscate_files obfuscate_files –>|이어짐| archive_data archive_data –>|사용| tool_custom_archive archive_data –>|이어짐| wipe_free_space wipe_free_space –>|이어짐| self_delete self_delete –>|사용| tool_esxi_admin
공격 흐름
시뮬레이션 실행
선행 조건: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적군의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 논리가 예상한 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 서사 및 명령:
ESXi 호스트에 대한 관리자 액세스를 가진 공격자는 vSphere 클라이언트를 통해 LockBit 5.0 페이로드를 업로드합니다. 랜섬웨어는 에 자체 작업 디렉토리를 생성합니다./var/tmp/.guestfs-0/appliance.d/root, 암호화 로그를 에 쓰고/var/log/encrypt.log모든 VMFS 데이터 스토어 (/vmfs/volumes/)를 통해 가상 디스크 파일을 암호화하기 시작합니다. 다음 명령어는 안전한 더미 파일을 사용하여 해당 동작을 에뮬레이트합니다:- 랜섬웨어 준비 디렉토리와 더미 “암호화된” VMFS 파일을 생성하십시오.
- LockBit의 암호화 상태를 모방하는 로그 항목을 작성하십시오.
- VMFS 볼륨 깊은 곳에 파일을 터치하여 대량 암호화 활동을 재현하십시오.
-
회귀 테스트 스크립트:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Create staging directory (simulates LockBit payload unpack) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "LockBit 5.0 staging directory created" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Write an encryption log (simulates ransomware activity logging) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Encryption started on VMFS datastore" | sudo tee -a "$LOGFILE" # 3️⃣ Simulate bulk file encryption on a VMFS volume DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Dummy VMFS file created to emulate ransomware encryption" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation complete. ==="ESXi 호스트에서 루트(또는 sudo를 통해)로 스크립트를 실행하십시오.
auditd관찰은open,write, 및creat이벤트를 생성하여 Sigma 규칙의 모든 키워드를 일치시킵니다. -
정리 명령어:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Cleanup complete. ==="