새벽에 온 암호화 손님 Endpoint(Midnight) 랜섬웨어 분석
Contents
새벽에 온 암호화 손님 Endpoint(Midnight) 랜섬웨어 분석
요약
EndPoint는 이전에 Midnight으로 알려졌던 랜섬웨어 변종으로, Babuk 랜섬웨어 프레임워크를 기반으로 개발된 것으로 알려져 있다. Windows 환경뿐 아니라 ESXi와 NAS 환경도 겨냥하며, 파일 암호화와 데이터 유출 협박을 함께 수행하는 Double Extortion 방식을 사용한다.
개요
Babuk 소스코드 유출 이후 여러 파생 랜섬웨어가 등장했으며, EndPoint도 그중 하나로 확인된다. 감염 파일에는 .endpoint
확장자가 부여되며, 랜섬노트에는 피해자와 연락하기 위한 uTox ID가 포함된다. 과거 랜섬노트의 [email protected]
계정은 동아시아연구소 소장을 사칭한 계정으로, 2024년 이후 북한 연계 공격자가 사용한 것으로 식별된 바 있다.
분석 내용
파일 암호화
EndPoint는 실행 인자를 통해 암호화 범위를 조정한다. -paths=
는 특정 경로만, /n
은 네트워크 공유 폴더만 암호화하며, /e
는 .endpoint
확장자 변경을 비활성화한다. 실행 경로에는 debug.endpoint
파일을 생성해 FindFirstFileW
와 MoveFileExW
실패 로그를 기록한다.
암호화 전에는 데이터베이스, 오피스, 메일 클라이언트 등 여러 프로세스를 종료하고, vssadmin.exe delete shadows /all /quiet
명령어로 볼륨 섀도우 복사본을 삭제한다. 또한 vss
, sql
, Veeam
, Sophos
, Acronis
등 백업·보안 관련 서비스를 강제로 중단한다.
암호화 대상에서는 Windows
, Program Files
, AppData
등 일부 디렉터리와 bootmgr
, ntuser.dat
같은 파일, .exe
, .dll
, .msi
, .endpoint
확장자를 제외한다. CPU …
요약
EndPoint는 이전에 Midnight으로 알려졌던 랜섬웨어 변종으로, Babuk 랜섬웨어 프레임워크를 기반으로 개발된 것으로 알려져 있다. Windows 환경뿐 아니라 ESXi와 NAS 환경도 겨냥하며, 파일 암호화와 데이터 유출 협박을 함께 수행하는 Double Extortion 방식을 사용한다.
개요
Babuk 소스코드 유출 이후 여러 파생 랜섬웨어가 등장했으며, EndPoint도 그중 하나로 확인된다. 감염 파일에는 .endpoint
확장자가 부여되며, 랜섬노트에는 피해자와 연락하기 위한 uTox ID가 포함된다. 과거 랜섬노트의 [email protected]
계정은 동아시아연구소 소장을 사칭한 계정으로, 2024년 이후 북한 연계 공격자가 사용한 것으로 식별된 바 있다.
분석 내용
파일 암호화
EndPoint는 실행 인자를 통해 암호화 범위를 조정한다. -paths=
는 특정 경로만, /n
은 네트워크 공유 폴더만 암호화하며, /e
는 .endpoint
확장자 변경을 비활성화한다. 실행 경로에는 debug.endpoint
파일을 생성해 FindFirstFileW
와 MoveFileExW
실패 로그를 기록한다.
암호화 전에는 데이터베이스, 오피스, 메일 클라이언트 등 여러 프로세스를 종료하고, vssadmin.exe delete shadows /all /quiet
명령어로 볼륨 섀도우 복사본을 삭제한다. 또한 vss
, sql
, Veeam
, Sophos
, Acronis
등 백업·보안 관련 서비스를 강제로 중단한다.
암호화 대상에서는 Windows
, Program Files
, AppData
등 일부 디렉터리와 bootmgr
, ntuser.dat
같은 파일, .exe
, .dll
, .msi
, .endpoint
확장자를 제외한다. CPU …