LockBit의 부활: 그룹의 정지 이후 진화

요약

LockBit은 2019년부터 활동 중인 오랜 역사를 가진 랜섬웨어-서비스(RaaS) 운영체제로, 이중 협박 전술에 의존합니다. 2024년 2월의 대규모 법 집행 제거 이후 이 그룹은 LockBit-NG-Dev 및 LockBit 5.0을 포함한 새로운 변종과 함께 다시 발생했습니다. 최신 변종은 크로스 플랫폼 지원, 더 강력한 분석 방어, 보다 파괴적인 암호화 이후의 행동을 도입합니다. 이 운영은 전 세계 여러 부문의 고가치 조직들을 계속해서 추적합니다.

조사

이 보고서는 LockBit의 진행 과정을 3.0 버전(LockBit Black)에서 실험적인 LockBit-NG-Dev 짓을 거쳐 현재의 5.0 버전까지 추적합니다. 맞춤형 암호화 루틴, DLL 반사, .NET CoreRT 사용, MPRESS 패킹 및 프로세스 및 서비스를 중지하기 위한 해시된 서비스 이름에 대한 의존성 등 기술적 측면을 상세히 설명합니다. 문서화된 행동 변화에는 ‘보이지 않는’ 실행 모드, ETW 위조 및 자동 로그 삭제가 포함됩니다. 또한 Operation Cronos에 따른 인프라 붕괴에 대한 분석도 포함됩니다.

완화

방어자들은 오프라인, 불변의 백업을 유지하고 복원 절차를 정기적으로 점검해야 합니다. PowerShell 활동 의심, VSS 관리 명령의 사용 및 비정상적인 뮤텍스 생성 등 랜섬웨어 특징 행동을 탐지하는 엔드포인트 탐지를 배포하십시오. 특권 계정 사용을 제한하고, 토큰 복제 기술을 제한하며, 알려진 LockBit C2 도메인을 차단하면서 비정상적인 TLS 트래픽 패턴을 모니터링하십시오.

대응

LockBit 활동이 감지되면, 즉시 타협된 시스템을 격리하고 휘발성 메모리를 캡처하며 모든 관련 로그 데이터를 수집하십시오. C2 호스트를 식별 및 차단하고, 랜섬웨어 프로세스를 종료하며, 나중에 포렌식 작업을 위해 뮤텍스 값을 보관하십시오. 신뢰할 수 있는 백업에서 복원을 시작하고 내부 또는 외부 사건 응답팀으로 확대하십시오. 관련 위협 인텔리전스 및 정보 공유 커뮤니티와 침해 지표를 공유하십시오.

시뮬레이션 실행

전제조건: Telemetry & Baseline Pre‑flight Check가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 상대방 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 서사는 식별된 TTP를 직접 반영해야 하며 탐지 논리에서 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.

• 공격 서사 및 명령:
  공격자는 이미 피해 호스트에 랜섬웨어 바이너리를 설치했습니다. 흔적을 감추기 위해, 랜섬웨어는 fsutil.exe 를 호출하여 자신의 파일을 null 바이트로 덮어써서 디스크에서 실행 파일을 효과적으로 지웁니다. 이는 페이로드가 암호화 단계를 완료한 후에 수행됩니다. 단계는 다음과 같습니다:

  1. 실행 중인 랜섬웨어 실행 파일의 경로를 결정합니다 ($MyPath).
  2. 을 호출하여 fsutil.exe file setZeroData 를 호출하여 $MyPath 에 0 플래그가 설정되도록 하여 전체 파일을 0으로 설정합니다.
  3. 이제 비어있는 파일을 삭제하여 파일 시스템 항목을 제거합니다.

  이 시퀀스는 프로세스 생성 이벤트를 생성합니다, 여기서 이미지=*fsutil.exe* 및 명령줄=*file setZeroData <path>*와 일치하는 Sigma 규칙.

• 회귀 테스트 스크립트:

  # LockBit-NG-Dev 셀프 삭제 시뮬레이션 via fsutil
  # 1. 더미 '악성' 실행 파일 생성 (랜섬웨어 바이너리를 시뮬레이트)
  $maliciousPath = "$env:TEMPmalicious.exe"
  Set-Content -Path $maliciousPath -Value ([byte[]](0..255)) -Encoding Byte -Force
  
  # 2. 파일 존재와 크기 확인 (선택 사항)
  Write-Host "더미 랜섬웨어를 $maliciousPath에 생성했습니다 (크기: $(Get-Item $maliciousPath).Length 바이트)"
  
  # 3. fsutil을 사용하여 파일을 0 바이트로 덮어쓰기
  Write-Host "fsutil을 사용하여 파일을 0으로 덮어쓰는 중..."
  fsutil.exe file setZeroData $maliciousPath 0
  
  # 4. 선택 사항: 이제 비어 있는 파일을 삭제하여 전체적으로 흔적 제거
  Write-Host "0으로 설정된 파일 삭제 중..."
  Remove-Item -Path $maliciousPath -Force
  
  Write-Host "시뮬레이션 완료. SIEM에서 탐지 확인."

• 정리 명령:

  # 모든 남은 아티팩트를 제거
  $maliciousPath = "$env:TEMPmalicious.exe"
  if (Test-Path $maliciousPath) {
      Remove-Item -Path $maliciousPath -Force
      Write-Host "남은 파일 $maliciousPath 제거"
  } else {
      Write-Host "남은 아티팩트가 발견되지 않았습니다."