최근 다시 나타난 로빈후드 랜섬웨어, 보안 솔루션부터 차단해

2020-02-10 10:16
  • 카카오톡
  • url
대만 회사 기가바이트의 정상 인증서 활용해...정상이긴 하지만 취약한 버전
패치가 완료되고 보안 솔루션 가동시킨 시스템도 당할 수밖에 없는 공격 원리


[보안뉴스 문가용 기자] 로빈후드(RobbinHood)라는 랜섬웨어를 활용하는 사이버 공격자들이 최근 정상적으로 서명된 하드웨어 드라이버들을 사용해 보안 도구들을 삭제한 후에 파일 암호화를 시작하는, 새로운 수법을 들고 나타났다.


[이미지 = iclickart]

이러한 공격에서 익스플로잇 되는 건 CVE-2019-19320이라는 취약점이라고 보안 업체 소포스(Sophos)는 밝혔다. 이 취약점은 대만의 머더보드 생산업체인 기가바이트(Gigabyte)가 예전에 출시했던 소프트웨어 패키지에 포함되어 있는, 서명된 드라이버 내에 존재하는 것으로 밝혀졌다. 취약점 패치가 이뤄진 건 2018년이지만, 기가바이트가 패치되지 않은 소프트웨어를 계속해서 사용해왔기 때문에 커다란 위협이 되고 있다.

해당 드라이버를 디지털 서명하기 위해 사용된 코드 서명 원리는 베리사인(Verisign)의 것으로, 아직까지 문제의 인증서를 폐지시키지 않고 있다는 것도 문제라고 소포스의 앤드류 브랜트(Andrew Brandt)와 마크 로만(Mark Loman)은 지적한다. “그래서 현재도 드라이버의 오센티코드(Authenticode) 서명이 유효한 것이죠.”

공격자들은 이렇게 여러 가지 요인으로 취약하게 된 기가바이트의 드라이버를 악용해 두 번째 드라이버를 윈도우 장비에 심는다. 이 드라이버는 악성이며 서명되지 않은 채다. 이 두 번째 드라이버는 보안 툴로부터 발생한 프로세스와 파일들을 마음대로 제거할 수 있게 되는데, 이 때문에 다음에 오는 랜섬웨어가 자유롭게 활동할 수 있게 된다. 이러한 방식으로 윈도우 7, 8, 10의 커널 메모리 설정 내용을 변경하는 것도 가능하다.

“악성 드라이버에는 ‘킬스위치’ 코드만 들어 있습니다. 그 외에는 아무 것도 없습니다.” 로만의 설명이다. “모든 것이 완벽히 패치된 윈도우 기반 컴퓨터를 사용한다고 하더라도, 공격자들은 가짜 인증서를 통해 방어 시스템을 무력화 한 뒤 랜섬웨어를 심어 공격을 할 수 있게 됩니다. 그것이 이번 로빈후드 캠페인의 무서운 점입니다.”

소포스는 “취약하긴 하지만 정상적으로 서명된 서드파티 인증서를 통해 랜섬웨어를 퍼트리는 공격은 처음 봤다”고 말한다. “특히 이를 방어 장치 무력화에 사용하고, 그런 뒤에 다시 랜섬웨어를 가동시키는 수법은 듣도 보도 못했습니다.”

조사를 진행하며 소포스의 보안 전문가들은 “이 공격을 진행하고 있는 자가 로빈후드를 개발한 자와 동일할 가능성이 높음을 나타내는 증거를 여럿 찾아냈다”고 한다. 로빈후드는 지난 해 5월 볼티모어 시를 마비시킨 것으로 유명한 랜섬웨어다.

로만은 세 가지 요소가 조화된 방어법이 필요하다고 권장했다. “현대의 공격자들은 셀 수 없을 만큼 다양한 기술들을 사용합니다. 그렇기 때문에 방어하는 입장에서도 다양한 기술들을 도입해야 합니다. 1) 다단계로 진행되는 공격을 훼방하는 기술, 2) 공공 클라우드를 포함하는 보안 전략, 3) 엔드포인트 보호 소프트웨어가 효과적입니다. 이 것이 첫 번째 요소입니다.”

두 번째는 “다중 인증, 복잡한 비밀번호, 제한된 권한 활용, 주기적 패치, 주기적 백업과 같은 강력한 보안 실천 사항을 준수하는 것”이라고 한다. “마지막은 조직 구성원들을 대상으로 하는 보안 교육입니다. 이는 자주, 끊임없이 해야 효과를 볼 수 있습니다.”

3줄 요약
1. 로빈후드 랜섬웨어 캠페인, 최근 기가바이트의 디지털 인증서 활용.
2. 이 인증서는 취약하다는 게 알려졌지만 폐지도 되지 않고, 계속 사용되어 오는 중.
3. 공격자들은 이를 통해 완벽히 방어가 된 시스템에라도 침투해 방어 도구 무력화 시키고 나서 공격 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

PC버전

닫기