Interlock 랜섬웨어, 데이터 유출 주의

최근 전 세계의 의료, 교육 및 방산 등 다양한 분야에서 Interlock 랜섬웨어에 의한 피해 사례가 발견되고 있다. Interlock 랜섬웨어 조직은 2024년 9월 처음 등장해 꾸준히 활동을 이어왔으며 데이터 암호화뿐만 아니라 공격 과정에서 자체 RAT 악성코드인 Interlock RAT와 NodeSnake를 이용해 데이터를 탈취한다. 또한 해당 조직은 탈취한 데이터를 공개한다는 협박과 함께 추가 금전을 요구하는 등 이중 갈취 전술을 사용한다고 전해진다.

 

Interlock 랜섬웨어는 주로 피싱 이메일과 명령어를 복사해 실행하도록 유도하는 ClickFix 등의 사회 공학(Social Engineering) 기법을 이용해 유포되며 파일을 암호화한 후 확장자를 “.interlock”으로 변경하고 각 폴더에 랜섬노트를 생성한다.

 

코드 섹션 복호화

Interlock 랜섬웨어가 실행되면 먼저 VirtualProtect API 를 이용해 메모리 상의 헤더와 코드 섹션의 보호 특성을 변경한다. [그림 1]에서 변경할 보호 특성을 결정하는 메모리 보호 상수는 0x40(PAGE_EXECUTE_READWRITE)으로 대상 영역에 대한 실행, 읽기 및 쓰기가 가능하도록 설정한다. 동적으로 로드된 VirtualProtect API의 주소는 ret 명령어 호출 직전에 ESP 레지스터에 저장돼 함수가 종료되면 해당 API의 시작 주소로 점프한다. 보호 특성 변경 후 RCX 레지스터에 저장된 주소의 함수 데이터를 한 바이트씩 0xCB 값과 XOR 연산해 복호화한다.

 

[그림 1] 헤더 및 코드 섹션 보호 특성 변경

 

[그림 2] 코드 섹션 복호화

 

 

프로세스 할로잉

복호화된 함수는 다시 XOR 연산을 이용해 .rdata 섹션에 저장된 PE 데이터를 복호화한다. 해당 PE 데이터는 실질적인 랜섬웨어 동작을 수행하며 현재 프로세스에 할로잉해 실행된다. 프로세스 할로잉은 PE 이미지에 대한 매핑 해제 작업 없이 [그림 1]에서 수정이 가능하도록 메모리 보호 상수가 변경된 헤더 및 코드 섹션의 기존 데이터를 지우고 복호화된 PE 데이터를 복사한 후 변경된 EP를 호출한다.

 

[그림 3] PE 헤더 교체

 

[그림 4] 프로세스 할로잉 결과

 

 

실행 옵션

Interlock 랜섬웨어는 실행할 때 4개의 옵션을 입력할 수 있다. 옵션 없이 실행하면 모든 드라이브를 대상으로 암호화를 진행하지만 -d 또는 -f 옵션을 사용하면 암호화할 폴더나 파일을 특정할 수 있다. -del 옵션의 경우 암호화는 진행하지 않고 자기 자신을 삭제한다.

 

[표 1] 실행 옵션 목록

 

-s 옵션은 작업 스케줄러에 현재 샘플을 실행하는 작업을 등록 후 해당 작업을 바로 시작한다. schtasks 명령어를 이용해 작업을 등록할 때 /ru 옵션은 작업을 실행할 사용자 계정을 지정할 수 있으며 [그림 5]에서 해당 옵션을 시스템으로 지정하고 있다. 이와 같은 방식은 schtasks의 취약점을 이용해 UAC를 우회하는 권한 상승의 시도로 보인다. 단, 분석시점에서 일반 사용자 수준의 권한으로 /ru 옵션에 시스템 계정을 지정 시 액세스가 거부됐다.

-       schtasks 취약점 : https://cymulate.com/blog/task-scheduler-new-vulnerabilities-for-schtasks-exe/

 

[그림 5] schtasks를 이용한 작업 등록 및 실행

 

[그림 6] 작업 등록 명령어 실행 결과

 

 

파일 암호화

Interlock 랜섬웨어는 시스템의 모든 드라이브 또는 옵션을 이용해 지정된 경로를 대상으로 암호화하며 암호화된 파일은 파일명 뒤에 “.interlock” 확장자를 추가하고 각 폴더에 “!__README__!.txt”라는 이름의 랜섬노트를 생성한다.

 

[그림 7] 파일 암호화 결과 및 랜섬노트

 

단, 윈도우 운영체제의 정상적인 동작에 영향을 줄 수 있는 폴더 및 파일과 이미 암호화돼 확장자가 “.interlock”로 변경된 파일 및 랜섬노트는 암호화 대상에서 제외한다.

 

[표 2] 암호화 제외 대상 목록

 

파일 암호화는 암호화 알고리즘을 제공하는 오픈소스 라이브러리 LibTomCrypt를 사용한다. 먼저 랜섬웨어는 0x20바이트의 암호키와 0x10바이트의 IV(Initial Vector)를 랜덤으로 생성한 후 AES-256-CBC 알고리즘으로 파일을 암호화한다. 암호키와 IV는 PKSC#1 v1.5 패딩 방식을 이용해 RSA-4096의 키 길이(모듈러스의 비트 수)인 0x200 바이트에 맞춰 패딩을 추가하고 공격자의 공개키로 암호화한다. 암호화된 암호키와 IV는 파일 끝에 추가되며 이는 공격자의 개인키가 있어야 복호화가 가능하다.

-       LibTomCrypt GitHub 주소 : https://github.com/libtom/libtomcrypt

 

[그림 8] 파일 암호화 방식

 

Interlock 랜섬웨어는 주요 악성 동작을 담당하는 페이로드가 프로세스 할로잉을 이용해 실행돼 탐지가 어렵고 권한이 없는 일반 사용자 수준에서 실행되더라도 취약점을 악용해 시스템 권한을 획득할 수 있어 주의가 필요하다. 따라서, 주기적으로 중요 파일을 백업하고 보안 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 6.0 진단 및 치료 화면