111. EDRKillShifter

2024년도부터 RansomHub 등의 랜섬웨어 그룹은 랜섬웨어 유포, 감염의 용이성을 위해 사용자 PC에 설치된 EDR을 무력화 시키는 공격 도구를 사용하고 있다. EDRKillShifter는 그 중 하나에 속하며 커널 권한을 이용해 공격자가 지정한 EDR의 동작을 중지 시키는 등의 행위를 수행한다. 본 글에서는 EDRKillShifter를 분석한다.

 

* sha256: f982dfc0a0984f317460ca6d27d72ad6b3274b58cb7cf984e1c3e6f001e1edf8

 

먼저, 파일의 정보는 아래와 같다.

EDRKillShifter 파일 정보

 

EDRKillShifter은 몇 가지 단계를 거쳐 최종 페이로드를 통해 EDR을 무력화시킨다. 즉, 직접적으로 수행하는 행위는 로더에 가깝다고 볼 수 있다. 가장 먼저로는 공격 도구를 허가된 사용자만 사용할 수 있도록 실행 시 64자리의 패스워드를 입력받는다. 사용자가 올바른 비밀번호를 입력하면 "BIN" 의 내장 리소스를 복호화 해 메모리에서 실행한다. 이후 "BIN" 코드에서 최종 페이로드를 실행하는 형태이다.

EDRKillShifter 메인 함수

 

실행 시, "BIN" 리소스를 메모리에 로드하고 같은 데이터를 Config.ini 파일을 생성해 복사한다.

Config.ini 생성

생성된 Config.ini 파일

 

이후 실제 EDR 무력화를 수행하는 최종 페이로드의 복호화를 진행한다. 복호화 키는 EDRKillShifter 실행 시 입력한 비밀번호의 Sha256 해시 값이 사용된다.

복호화 루틴

입력 비밀번호 사용

 

이후 BYOVD(Bring Your Own Vulnerable Driver) 기법을 통해 드라이버의 취약성을 이용하여 사용자에게 지정 받은 EDR을 실행 중단 등 무력화를 시도한다. 이 중 RendDrv2 라는 이름을 사용하는 취약한 드라이버를 사용하는 경우도 존재하였으며, 관련한 PoC는 Github에서 확인할 수 있다.

- PoC github: https://github.com/keowu/BadRentdrv2

GitHub - keowu/BadRentdrv2: A vulnerable driver exploited by me (BYOVD) that is capable of terminating several EDRs and antiviru

 

파일의 정보를 살펴보면 OriginalFilename이 Loader.exe 인 것을 알 수 있으며, ProductName은 ARK-Game으로 설정되어 있는 것을 알 수 있다. 또한, 파일의 언어 속성이 러시아어로 설정되어 있어 러시아어를 사용하는 환경에서 파일이 컴파일 되었음을 알 수 있다. EDRKillShifter를 제작한 제작자는 러시아와 어느정도 관련이 있음을 알 수 있다.

파일 정보

 

이전에도 비슷한 공격 도구인 AuKill이 등장한 적이 있으며, 관련 분석 글은 아래와 같다.

https://p3ngdump.tistory.com/112

45. Aukill

 

랜섬웨어 공격자들은 랜섬웨어의 유포, 감염을 효율적으로 하기 위해 랜섬웨어를 탐지하는 EDR, 백신 등을 무력화 하는 시도를 계속하는 것으로 보인다.