SOC Prime Bias: 높음

06 Feb 2026 16:01 UTC

19가지 LockBit5.0의 모습, 최신 크로스 플랫폼 랜섬웨어 내부 탐험: 제1부

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
19가지 LockBit5.0의 모습, 최신 크로스 플랫폼 랜섬웨어 내부 탐험: 제1부
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 기사에서는 Windows, Linux 및 VMware ESXi를 대상으로 개발된 19개의 LockBit 5.0 랜섬웨어 샘플을 검토합니다. ChaCha20을 사용한 빠른 암호화, 가족의 크로스 플랫폼 디자인, 디스크를 암호화하기 전 가상 머신을 종료할 수 있는 ESXi 중심의 동작에 중점을 둡니다. 이 글은 실행 단계, 분석 방지 조치 및 악성 코드가 충격을 주는 동안 우선시하는 하이퍼바이저 특정 파일 대상을 설명합니다.

조사

연구원들은 ELF 변종의 정적 분석을 수행하여 임베디드 경로, 명령 문자열 및 구성 전환을 추출했습니다. ESXi에서는 VMware 관리 도구(예: vim-cmd)를 이용해 디스크 암호화에 앞서 VM을 열거하고 종료하며, valgrind 및 frida와 같은 도구에 대한 디버그 방지 검사도 포함합니다. 샘플은 /var/log/encrypt.log로 실행 텔레메트리를 기록하고 작업 완료 후 자체 삭제를 지원합니다.

완화

VMware 관리 명령의 예기치 않은 사용, 계획되지 않은 VM 종료 이벤트, /var/log/encrypt.log의 생성 및 .vmdk.fastpass 표시자와 같은 아티팩트에 대해 ESXi 호스트를 모니터링합니다. 하이퍼바이저에서 신뢰할 수 없는 ELF 실행을 방지하고 ESXi에서 실행이 허용된 바이너리 및 스크립트에 대한 엄격한 허용 목록 정책을 시행하여 노출을 줄이십시오.

대응

활동이 감지되면 영향을 받은 ESXi 호스트를 격리하고 확산을 억제하기 위해 VM 프로세스를 중지하며 포렌식 증거(ELF 페이로드, encrypt.log 및 관련 호스트 로그)를 보존합니다. 검증된 클린 스냅샷/백업에서 복구를 시작하고 추가 랜섬웨어 구성 요소를 검색한 후 중요한 하이퍼바이저 파일의 무결성을 검증합니다.

공격 흐름

시뮬레이션 실행

선행 조건: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적군의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어 및 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 논리가 예상한 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.

  • 공격 서사 및 명령:
    ESXi 호스트에 대한 관리자 액세스를 가진 공격자는 vSphere 클라이언트를 통해 LockBit 5.0 페이로드를 업로드합니다. 랜섬웨어는 에 자체 작업 디렉토리를 생성합니다. /var/tmp/.guestfs-0/appliance.d/root, 암호화 로그를 에 쓰고 /var/log/encrypt.log모든 VMFS 데이터 스토어 (/vmfs/volumes/)를 통해 가상 디스크 파일을 암호화하기 시작합니다. 다음 명령어는 안전한 더미 파일을 사용하여 해당 동작을 에뮬레이트합니다:

    1. 랜섬웨어 준비 디렉토리와 더미 “암호화된” VMFS 파일을 생성하십시오.
    2. LockBit의 암호화 상태를 모방하는 로그 항목을 작성하십시오.
    3. VMFS 볼륨 깊은 곳에 파일을 터치하여 대량 암호화 활동을 재현하십시오.
  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1️⃣ Create staging directory (simulates LockBit payload unpack)
    mkdir -p /var/tmp/.guestfs-0/appliance.d/root
    echo "LockBit 5.0 staging directory created" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt
    
    # 2️⃣ Write an encryption log (simulates ransomware activity logging)
    LOGFILE="/var/log/encrypt.log"
    echo "$(date '+%Y-%m-%d %H:%M:%S') - Encryption started on VMFS datastore" | sudo tee -a "$LOGFILE"
    
    # 3️⃣ Simulate bulk file encryption on a VMFS volume
    DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation"
    mkdir -p "$DUMMY_VMFS_PATH"
    dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none
    echo "Dummy VMFS file created to emulate ransomware encryption" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt"
    
    echo "=== Simulation complete. ==="

    ESXi 호스트에서 루트(또는 sudo를 통해)로 스크립트를 실행하십시오. auditd 관찰은 open, write, 및 creat 이벤트를 생성하여 Sigma 규칙의 모든 키워드를 일치시킵니다.

  • 정리 명령어:

    #!/usr/bin/env bash
    set -euo pipefail
    
    sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root
    sudo rm -f /var/log/encrypt.log
    sudo rm -rf /vmfs/volumes/lockbit_simulation
    
    echo "=== Cleanup complete. ==="