표적형 랜섬웨어 류크, 최근 기업 홈페이지 등을 통해 외부에 노출된 웹 서버 노려
스피어 피싱, 탈취 및 노출된 된 관리자 계정 통한 접근 등 다양한 경로 이용
웹 서버 취약점 패치하고, 임직원 계정에 MFA 적용하는 등 보안 강화 필요
[보안뉴스 이상우 기자] 최근 발견된 류크 랜섬웨어는 웹 서버를 노리며, 협상 조건과 방법을 알리는 랜섬노트에는 딥웹을 통해 수월하게 소통할 수 있도록 Tor 브라우저 설치를 유도한다. 또한, 파일 암호화 후에는 시스템에 연결된 기본 프린터를 통해 랜섬 노트를 인쇄하는 모습도 보였다.
▲류크 랜섬웨어의 새로운 랜섬노트[자료=맥아피]
맥아피 연구소가 자사 블로그를 통해 류크 랜섬웨어의 새로운 동향과 보안 점검사항을 공개했다. 류크 랜섬웨어는 지난 2018년 8월 여러 기업을 대상으로 한 캠페인에서 처음 목격됐다. 랜섬웨어의 초기 버전을 분석한 결과 헤르메스 랜섬웨어와 소스 코드를 공유하는 등 유사성이 드러났다. 헤르메스 랜섬웨어의 경우 다크웹에서 판매되는 악성코드로, 여러 사이버 공격자에 의해 사용돼 왔다. 국내 기업 피해사례도 있으며, 기업의 도메인 컨트롤러를 탈취한 뒤 유포되었다. 랜섬웨어 자체에도 내부 네트워크를 스캔해 SMB 공유폴더에 접근해 전파되는 기능이 있다.
류크 랜섬웨어는 파일을 암호화하기 위해 대칭 AES(256비트) 암호화와 비대칭 RSA(2,048비트 또는 4,096비트) 암호화를 함께 사용한다. 대칭 키는 파일 내용을 암호화하는 데, 비대칭 공개 키는 대칭 키를 암호화하는 데 쓰인다. 피해자가 랜섬머니를 지불하면 해당 비대칭 개인 키가 공개되어 암호화된 파일의 암호를 해독할 수 있다.
표적공격을 위해 초기 감염 경로가 피해자에게 맞춰진 것 역시 특징이다. 초기 경로는 주로 스피어 피싱 이메일, VPN이나 원격 근무 시스템 등에 접근하기 위해 타인의 아이디·비밀번호 악용, 악성 프로그램 감염 등을 이용한다. 악성코드 감염의 예로, 이모텟(Emotet)과 트릭봇(TrickBot) 조합을 통해 류크 랜섬웨어를 배포하는 형태가 많았으며, 최근에는 바자로더(BazarLoader)도 이를 배포하는 것으로 나타났다.
류크는 Ransom-Ryuk![partial-hash]라는 이름으로 탐지된다. 기업은 winPEAS, 라자냐, 블러드하운드, 샤프하운드 등의 오픈 소스 기반 침투 테스트 도구, 코발트 스트라이크, 메타스폴로이트, 엠파이어, 고벤트 등의 해킹 프레임워크 등 악의적으로 쓰일 수 있는 도구의 비정상적인 작동을 주의해야 한다.
유사한 형태의 서비스형 랜섬웨어(Ransomware as a Service)를 살펴보면 랜섬웨어 범죄자들이 특정 진입경로를 흔하게 사용하는 경우가 많다. 스피어 피싱은 공격자가 피해자에게 직접 접근한 뒤 공격을 위한 초기 거점을 확보하는 용도로 쓰이고 있으며, 변형 악성코드가 첨부된 피싱 이메일은 공격자가 피해자의 네트워크에 침투하는 진입점 역할을 한다.
공격자는 기업의 서비스 중 공개된 영역, 즉 웹 서버나 DB서버를 공격에 이용하는 Exploit Public-Facing Application 기법을 이용하기도 한다. 따라서 기업은 웹 서버 취약점 패치 등을 빠르고 부지런하게 해야 한다. 원격 제어 소프트웨어, 웹 서버, 네트워크 엣지 장비, 방화벽과 취약점 등은 이미 오래 전부터 공격에 수없이 사용돼 왔다.
유효한 계정을 사용하는 것은 사이버 범죄자가 발판을 마련할 수 있는 검증된 방법이다. 관리자가 악성코드 등으로 유출한 관리자 계정 정보를 이용해 직접 시스템에 접근할 수 있는 것은 물론, 동일한 ID와 비밀번호로 인접한 서버에도 접근할 수 있다. 뿐만 아니라 랜섬웨어 범죄자는 VPN 및 기업 로그인 정보를 다크웹 등에서도 구매할 수 있으며, 이를 통해 안전하게 시스템에 접근하는 것이 가능하다. 때문에 기업은 사용자 계정에 대해 보안을 강화하는 것은 물론, 다요소 인증 등을 통한 접근제어 역시 반드시 필요하다.
무엇보다 랜섬웨어 공격의 경우 사용자 PC의 운영체제나 소프트웨어 취약점 보완 패치 업데이트를 진행하고, 엔드 포인트를 보호해야 한다. 또한, 파일에 대한 무단 암호화 차단 같은 행위 기반 탐지 솔루션은 물론, 복원을 위한 설정(백업 등)을 함께 사용해야 한다.
[이상우 기자(boan@boannews.com)]
스피어 피싱, 탈취 및 노출된 된 관리자 계정 통한 접근 등 다양한 경로 이용
웹 서버 취약점 패치하고, 임직원 계정에 MFA 적용하는 등 보안 강화 필요
[보안뉴스 이상우 기자] 최근 발견된 류크 랜섬웨어는 웹 서버를 노리며, 협상 조건과 방법을 알리는 랜섬노트에는 딥웹을 통해 수월하게 소통할 수 있도록 Tor 브라우저 설치를 유도한다. 또한, 파일 암호화 후에는 시스템에 연결된 기본 프린터를 통해 랜섬 노트를 인쇄하는 모습도 보였다.
▲류크 랜섬웨어의 새로운 랜섬노트[자료=맥아피]
맥아피 연구소가 자사 블로그를 통해 류크 랜섬웨어의 새로운 동향과 보안 점검사항을 공개했다. 류크 랜섬웨어는 지난 2018년 8월 여러 기업을 대상으로 한 캠페인에서 처음 목격됐다. 랜섬웨어의 초기 버전을 분석한 결과 헤르메스 랜섬웨어와 소스 코드를 공유하는 등 유사성이 드러났다. 헤르메스 랜섬웨어의 경우 다크웹에서 판매되는 악성코드로, 여러 사이버 공격자에 의해 사용돼 왔다. 국내 기업 피해사례도 있으며, 기업의 도메인 컨트롤러를 탈취한 뒤 유포되었다. 랜섬웨어 자체에도 내부 네트워크를 스캔해 SMB 공유폴더에 접근해 전파되는 기능이 있다.
류크 랜섬웨어는 파일을 암호화하기 위해 대칭 AES(256비트) 암호화와 비대칭 RSA(2,048비트 또는 4,096비트) 암호화를 함께 사용한다. 대칭 키는 파일 내용을 암호화하는 데, 비대칭 공개 키는 대칭 키를 암호화하는 데 쓰인다. 피해자가 랜섬머니를 지불하면 해당 비대칭 개인 키가 공개되어 암호화된 파일의 암호를 해독할 수 있다.
표적공격을 위해 초기 감염 경로가 피해자에게 맞춰진 것 역시 특징이다. 초기 경로는 주로 스피어 피싱 이메일, VPN이나 원격 근무 시스템 등에 접근하기 위해 타인의 아이디·비밀번호 악용, 악성 프로그램 감염 등을 이용한다. 악성코드 감염의 예로, 이모텟(Emotet)과 트릭봇(TrickBot) 조합을 통해 류크 랜섬웨어를 배포하는 형태가 많았으며, 최근에는 바자로더(BazarLoader)도 이를 배포하는 것으로 나타났다.
류크는 Ransom-Ryuk![partial-hash]라는 이름으로 탐지된다. 기업은 winPEAS, 라자냐, 블러드하운드, 샤프하운드 등의 오픈 소스 기반 침투 테스트 도구, 코발트 스트라이크, 메타스폴로이트, 엠파이어, 고벤트 등의 해킹 프레임워크 등 악의적으로 쓰일 수 있는 도구의 비정상적인 작동을 주의해야 한다.
유사한 형태의 서비스형 랜섬웨어(Ransomware as a Service)를 살펴보면 랜섬웨어 범죄자들이 특정 진입경로를 흔하게 사용하는 경우가 많다. 스피어 피싱은 공격자가 피해자에게 직접 접근한 뒤 공격을 위한 초기 거점을 확보하는 용도로 쓰이고 있으며, 변형 악성코드가 첨부된 피싱 이메일은 공격자가 피해자의 네트워크에 침투하는 진입점 역할을 한다.
공격자는 기업의 서비스 중 공개된 영역, 즉 웹 서버나 DB서버를 공격에 이용하는 Exploit Public-Facing Application 기법을 이용하기도 한다. 따라서 기업은 웹 서버 취약점 패치 등을 빠르고 부지런하게 해야 한다. 원격 제어 소프트웨어, 웹 서버, 네트워크 엣지 장비, 방화벽과 취약점 등은 이미 오래 전부터 공격에 수없이 사용돼 왔다.
유효한 계정을 사용하는 것은 사이버 범죄자가 발판을 마련할 수 있는 검증된 방법이다. 관리자가 악성코드 등으로 유출한 관리자 계정 정보를 이용해 직접 시스템에 접근할 수 있는 것은 물론, 동일한 ID와 비밀번호로 인접한 서버에도 접근할 수 있다. 뿐만 아니라 랜섬웨어 범죄자는 VPN 및 기업 로그인 정보를 다크웹 등에서도 구매할 수 있으며, 이를 통해 안전하게 시스템에 접근하는 것이 가능하다. 때문에 기업은 사용자 계정에 대해 보안을 강화하는 것은 물론, 다요소 인증 등을 통한 접근제어 역시 반드시 필요하다.
무엇보다 랜섬웨어 공격의 경우 사용자 PC의 운영체제나 소프트웨어 취약점 보완 패치 업데이트를 진행하고, 엔드 포인트를 보호해야 한다. 또한, 파일에 대한 무단 암호화 차단 같은 행위 기반 탐지 솔루션은 물론, 복원을 위한 설정(백업 등)을 함께 사용해야 한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
