블랙매터 랜섬웨어의 논리 오류

요약

블랙매터는 컴퓨터에 침투해 정보 목록을 만든 후 암호화하는 랜섬웨어이다. 그런데 특정 상황에서는 정보 목록을 만드는 과정을 제대로 수행하지 못한다.

1. 침투한 컴퓨터에 dNSHostName이라는 속성이 없는 경우 -> 속성 정보 수집 단계가 중단된다.
2. Default 'computers' Container 내에 있는 컴퓨터 계정 정보만 수집한다.

따라서 dNSHostName 속성이 없는 컴퓨터 계정을 만들고, 랜섬웨어의 목록화 작업 중 앞에 배치되도록 유도*한다면 공격의 악영향을 줄일 수 있다. 

* 예를 들어, 컴퓨터 이름이 aaa-comp라면 알파벳 순서 상 가장 앞에 온다.

 

 

---

찾아보기

컴퓨터가 액티브 디렉토리에 추가되면 자동으로 dNSHostName이라는 속성이 부여되거든요.

Active Directory; AD

MS에서 Windows 환경에서 사용하기 위해 개발한 LDAP Directory Service의 기능

Windows 기반 컴퓨터를 위한 인증 서비스를 제공한다.

제공 서비스: LDAP Directory Service, Kerberos 기반 인증, DNS기반 이름 지정 등

 

블랙매터 BlackMatter

Colonial Pipeline 사태를 일으킨 DarkSide와 유사한 Ransomware

🔑 저용량(80KB), 난독화, 메모리

취약한 원격 데스크톱이나 VPN을 통해 침투한다.

 

블랙매터의 파일 암호화 원리

dir 내 컴퓨터 계정 목록 확보

계정 속성 정보와 공유 자원 목록 생성

모든 자원 암호화 - 시스템 뿐 아니라, 네트워크 범위까지 암호화 진행

 

 

 

---

 

악명 높은 블랙매터 랜섬웨어에서 논리 오류가 하나 발견됐다