BlackCat 랜섬웨어, 침투 후 VM instance를 생성하는 이유 - 보안기사 읽기 6주차 4일

BlackCat/ALPHV 랜섬웨어 그룹이 Munchkin이라는 새로운 툴을 사용했습니다.
SMB나 Common Internet File System(CIFS) 네트워크 공유된 프로토콜을 눈치못채게 암호화합니다.

ISO 파일로 된 alpine 리눅스 배포 OS입니다.
device에 일단 일차적으로 들어오면 
먼치킨을 virtualbox에 넣어서 악성 행위들을 숨길수있습니다. 

dump 비밀번호나 lateral movement, encryptor payload 생성, 네트워크 컴퓨터에서 실행 등을 위해
스크립트, 도구들이 포함되어있습니다.

controller라는 rust 기반 멀웨어를 실행하는데
access token, creds, 인증에 대한 정보를 제공합니다.
그다음 payload를 생성해 encrypt 하죠


결국 네트워크 공유 파일을 암호화할 때

OS와 레이어를 다르게 해서, 솔루션이 울리지않고 우회를 할 수 있습니다.
또한 alpine OS는 적은 footprint를 남기기 때문에 사용합니다.


blackcat은 점점 진화하고있습니다.