클립뱅커 기능 함께 존재하는 것이 차이점...비트코인 지갑 주소 공격자 주소로 변경
악성코드 초기 실행 시 특정 경로에 파일 복사 및 실행...정상적인 프로세스로 위장해
[보안뉴스 김영명 기자] 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업을 노린 공격에 사용 중인 것이 확인됐다. 하쿠나 마타타는 최근에 제작된 랜섬웨어로, 올해 7월 6일 트위터에서 최초로 확인됐으며, 같은 달 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이 트위터에 공유됐다. 또한, 바이러스토탈(VirusTotal)에 업로드된 하쿠나 마타타는 올해 7월 2일에 업로드된 파일이 최초인 것이 확인된다.
▲하쿠나 마타타 랜섬웨어 감염으로 변조된 바탕화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면, 하쿠나 마타타는 전형적인 랜섬웨어들과 달리 클립뱅커(ClipBanker) 기능이 함께 존재한다. 클립뱅커 기능을 통해 암호화 이후에도 시스템에 상주하며 비트코인 지갑 주소를 공격자 주소로 변경한다. 만약 시스템이 암호화된 이후 같은 시스템에서 비트코인을 거래할 경우 공격자의 지갑 주소로 거래가 이루어질 위험성이 있다.
공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드들과 이벤트 로그를 삭제해 정확한 정보 확인은 쉽지 않지만, 정황상 원격 데스크톱 서비스(Remote Desktop Protocol, RDP)가 최초 공격 벡터로 이용됐을 것으로 추정된다.
일반적으로 공격자들은 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화된 시스템들을 스캐닝한 후 스캐닝 과정에서 찾은 시스템에 무차별 대입 공격이나 사전 공격을 수행한다. 만약, 사용자가 부적절한 계정 정보를 사용한다면 공격자는 쉽게 계정 정보를 획득할 수 있다.
실제 공격 대상이 된 시스템은 외부에 노출돼 있으면서 RDP가 활성화됐다. 이에 따라 랜섬웨어 감염 이후에도 지속해서 브루트 포싱 공격(조합 가능한 모든 문자열을 하나씩 대입하는 방식)을 통한 로그인 실패 로그들이 확인되고 있다. 만약 브루트 포싱 공격에 성공할 경우 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로 시스템에 로그인할 수 있으며, 이는 해당 시스템에 대한 제어를 탈취하는데 성공했다는 것을 의미한다.
▲하쿠나 마타타 랜섬웨어의 기본 랜섬노트[자료=안랩 ASEC 분석팀]
공격자는 C 드라이브 내 Temp 등의 특정 경로에 악성코드들을 설치했다. 설치되는 도구들은 대부분 너소프트(NirSoft) 사에서 제작한 계정 정보 탈취 기능을 담당하는 도구들인 것이 특징이다. 계정 정보 탈취 도구들은 특정 경로에 생성되며, 공격자는 해당 도구들을 이용해 계정 정보를 수집해 또 다른 경로에 텍스트 파일로 생성했을 것으로 추정된다. 공격자는 이외에도 프로세스 해커 및 ‘RCH.exe’, ‘ver7.exe’ 파일을 생성했다. ‘RCH.exe’는 현재 확인 불가하지만 ‘ver7.exe’는 하쿠나 마타타 랜섬웨어로 추정된다.
랜섬웨어 공격자들은 공격 대상 시스템이 기업 내부 네트워크에 있을 경우 다양한 도구를 이용해 내부 네트워크를 스캐닝하고 계정 정보를 수집한다. 그리고 획득한 정보를 이용, 측면 이동 후 네트워크에 포함된 최대한 많은 시스템들을 암호화하려고 시도한다.
공격에 사용된 랜섬웨어는 ‘ver7.exe’라는 이름이며, 실제 생성된 파일 로그에서도 확인된다. 하지만 조사 결과 해당 악성코드는 하쿠나 마타타 랜섬웨어로 확인됐다. 하쿠나 마타타가 처음 실행되면 먼저 자신을 특정 경로에 복사, 실행해 정상적인 프로세스로 위장한다.
▲브루트 포싱 공격에 대한 이벤트 로그[자료=안랩 ASEC 분석팀]
암호화 대상 확장자는 869개로 확인됐으며, 화이트 리스트 경로에 있는 파일들과 화이트 리스트 파일명을 갖는 파일들, 랜섬노트 파일명을 갖는 파일을 제외하고 모두 암호화한다. 파일 암호화에는 AES-256(CBC) 알고리즘이 사용된다. 파일 암호화가 완료되면 해당 AES-256 키값과 IV는 RSA-2048 알고리즘으로 암호화돼 암호화된 파일 뒤에 0x100 만큼 덧붙여진다. 0x80000보다 큰 파일의 경우에는 일정 부분만 암호화된다.
하쿠나 마타타는 그 이후 현재 실행 중인 프로세스들 중에서 데이터베이스 및 MS 오피스 관련 프로세스들을 강제로 종료하고 다시 암호화를 진행한다. 이외에도 런키(Run Key)에 등록해 재부팅 후에도 실행되도록 하며, 바탕화면을 변경해 사용자에게 암호화한 사실을 알린다.
▲ver7.exe라는 이름으로 제작된 하쿠나 마타타 랜섬웨어[자료=안랩 ASEC 분석팀]
그 이후 관리자 권한으로 실행 중인지를 검사하고, 맞는다면 데이터베이스, 백업 관련 서비스들을 종료시킨다. 그리고는 특정 명령들을 이용해 볼륨 쉐도우 복사본을 삭제한다. 랜섬노트는 일반적인 랜섬웨어들의 랜섬노트와 유사하게 72시간 내에 연락하라는 내용과 그렇지 않을 경우 탈취한 정보들을 외부에 공개하겠다는 협박이 포함됐다.
하쿠나 마타타 랜섬웨어는 일반적인 랜섬웨어와 달리 클립뱅커 기능이 포함됐다. 감염 시스템의 파일들을 암호화한 이후에도 계속 실행되면서 클립보드를 검사하는데, 만약 사용자가 비트코인 지갑 주소를 복사해 클립보드에 저장될 경우 이를 공격자의 지갑 주소로 변경한다. 공격자의 지갑 주소는 ‘RANDOM_VALUE’ 문자열에서 ‘SALT_ALL’의 순서에 따라 생성된다.
▲하쿠나 마타타 랜섬웨어의 랜섬노트[자료=안랩 ASEC 분석팀]
일반적으로 암호화폐의 지갑 주소는 길고 랜덤한 문자열로 구성돼 변경 여부를 알기 힘들다.즉, 랜섬웨어 감염 이후 같은 시스템에서 비트코인 거래를 한다면 사용자는 공격자의 주소로 비트코인을 전송할 위험성이 있다.
외부에 노출된 시스템은 지속적인 공격 대상이 된다. 윈도 시스템들에 대한 대표적인 공격 방식으로는 부적절한 계정 정보를 갖고 있는 RDP 서비스에 대한 무차별 대입 공격 및 사전 공격이 있다. 특히 크리시스(Crysis), 비너스(Venus), 글로브임포스터(GlobeImposter), 메두사라커(MedusaLocker) 등 상당수의 랜섬웨어 공격자들은 RDP를 초기 공격 벡터로 사용한다.
ASEC 관계자는 “사용자들은 RDP를 사용하지 않을 경우 비활성화한다면 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용한다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경해 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한, V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
악성코드 초기 실행 시 특정 경로에 파일 복사 및 실행...정상적인 프로세스로 위장해
[보안뉴스 김영명 기자] 최근 하쿠나 마타타(Hakuna matata) 랜섬웨어가 국내 기업을 노린 공격에 사용 중인 것이 확인됐다. 하쿠나 마타타는 최근에 제작된 랜섬웨어로, 올해 7월 6일 트위터에서 최초로 확인됐으며, 같은 달 14일에는 공격자가 다크웹에서 하쿠나 마타타를 홍보하는 게시글이 트위터에 공유됐다. 또한, 바이러스토탈(VirusTotal)에 업로드된 하쿠나 마타타는 올해 7월 2일에 업로드된 파일이 최초인 것이 확인된다.
▲하쿠나 마타타 랜섬웨어 감염으로 변조된 바탕화면[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면, 하쿠나 마타타는 전형적인 랜섬웨어들과 달리 클립뱅커(ClipBanker) 기능이 함께 존재한다. 클립뱅커 기능을 통해 암호화 이후에도 시스템에 상주하며 비트코인 지갑 주소를 공격자 주소로 변경한다. 만약 시스템이 암호화된 이후 같은 시스템에서 비트코인을 거래할 경우 공격자의 지갑 주소로 거래가 이루어질 위험성이 있다.
공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드들과 이벤트 로그를 삭제해 정확한 정보 확인은 쉽지 않지만, 정황상 원격 데스크톱 서비스(Remote Desktop Protocol, RDP)가 최초 공격 벡터로 이용됐을 것으로 추정된다.
일반적으로 공격자들은 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화된 시스템들을 스캐닝한 후 스캐닝 과정에서 찾은 시스템에 무차별 대입 공격이나 사전 공격을 수행한다. 만약, 사용자가 부적절한 계정 정보를 사용한다면 공격자는 쉽게 계정 정보를 획득할 수 있다.
실제 공격 대상이 된 시스템은 외부에 노출돼 있으면서 RDP가 활성화됐다. 이에 따라 랜섬웨어 감염 이후에도 지속해서 브루트 포싱 공격(조합 가능한 모든 문자열을 하나씩 대입하는 방식)을 통한 로그인 실패 로그들이 확인되고 있다. 만약 브루트 포싱 공격에 성공할 경우 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로 시스템에 로그인할 수 있으며, 이는 해당 시스템에 대한 제어를 탈취하는데 성공했다는 것을 의미한다.
▲하쿠나 마타타 랜섬웨어의 기본 랜섬노트[자료=안랩 ASEC 분석팀]
공격자는 C 드라이브 내 Temp 등의 특정 경로에 악성코드들을 설치했다. 설치되는 도구들은 대부분 너소프트(NirSoft) 사에서 제작한 계정 정보 탈취 기능을 담당하는 도구들인 것이 특징이다. 계정 정보 탈취 도구들은 특정 경로에 생성되며, 공격자는 해당 도구들을 이용해 계정 정보를 수집해 또 다른 경로에 텍스트 파일로 생성했을 것으로 추정된다. 공격자는 이외에도 프로세스 해커 및 ‘RCH.exe’, ‘ver7.exe’ 파일을 생성했다. ‘RCH.exe’는 현재 확인 불가하지만 ‘ver7.exe’는 하쿠나 마타타 랜섬웨어로 추정된다.
랜섬웨어 공격자들은 공격 대상 시스템이 기업 내부 네트워크에 있을 경우 다양한 도구를 이용해 내부 네트워크를 스캐닝하고 계정 정보를 수집한다. 그리고 획득한 정보를 이용, 측면 이동 후 네트워크에 포함된 최대한 많은 시스템들을 암호화하려고 시도한다.
공격에 사용된 랜섬웨어는 ‘ver7.exe’라는 이름이며, 실제 생성된 파일 로그에서도 확인된다. 하지만 조사 결과 해당 악성코드는 하쿠나 마타타 랜섬웨어로 확인됐다. 하쿠나 마타타가 처음 실행되면 먼저 자신을 특정 경로에 복사, 실행해 정상적인 프로세스로 위장한다.
▲브루트 포싱 공격에 대한 이벤트 로그[자료=안랩 ASEC 분석팀]
암호화 대상 확장자는 869개로 확인됐으며, 화이트 리스트 경로에 있는 파일들과 화이트 리스트 파일명을 갖는 파일들, 랜섬노트 파일명을 갖는 파일을 제외하고 모두 암호화한다. 파일 암호화에는 AES-256(CBC) 알고리즘이 사용된다. 파일 암호화가 완료되면 해당 AES-256 키값과 IV는 RSA-2048 알고리즘으로 암호화돼 암호화된 파일 뒤에 0x100 만큼 덧붙여진다. 0x80000보다 큰 파일의 경우에는 일정 부분만 암호화된다.
하쿠나 마타타는 그 이후 현재 실행 중인 프로세스들 중에서 데이터베이스 및 MS 오피스 관련 프로세스들을 강제로 종료하고 다시 암호화를 진행한다. 이외에도 런키(Run Key)에 등록해 재부팅 후에도 실행되도록 하며, 바탕화면을 변경해 사용자에게 암호화한 사실을 알린다.
▲ver7.exe라는 이름으로 제작된 하쿠나 마타타 랜섬웨어[자료=안랩 ASEC 분석팀]
그 이후 관리자 권한으로 실행 중인지를 검사하고, 맞는다면 데이터베이스, 백업 관련 서비스들을 종료시킨다. 그리고는 특정 명령들을 이용해 볼륨 쉐도우 복사본을 삭제한다. 랜섬노트는 일반적인 랜섬웨어들의 랜섬노트와 유사하게 72시간 내에 연락하라는 내용과 그렇지 않을 경우 탈취한 정보들을 외부에 공개하겠다는 협박이 포함됐다.
하쿠나 마타타 랜섬웨어는 일반적인 랜섬웨어와 달리 클립뱅커 기능이 포함됐다. 감염 시스템의 파일들을 암호화한 이후에도 계속 실행되면서 클립보드를 검사하는데, 만약 사용자가 비트코인 지갑 주소를 복사해 클립보드에 저장될 경우 이를 공격자의 지갑 주소로 변경한다. 공격자의 지갑 주소는 ‘RANDOM_VALUE’ 문자열에서 ‘SALT_ALL’의 순서에 따라 생성된다.
▲하쿠나 마타타 랜섬웨어의 랜섬노트[자료=안랩 ASEC 분석팀]
일반적으로 암호화폐의 지갑 주소는 길고 랜덤한 문자열로 구성돼 변경 여부를 알기 힘들다.즉, 랜섬웨어 감염 이후 같은 시스템에서 비트코인 거래를 한다면 사용자는 공격자의 주소로 비트코인을 전송할 위험성이 있다.
외부에 노출된 시스템은 지속적인 공격 대상이 된다. 윈도 시스템들에 대한 대표적인 공격 방식으로는 부적절한 계정 정보를 갖고 있는 RDP 서비스에 대한 무차별 대입 공격 및 사전 공격이 있다. 특히 크리시스(Crysis), 비너스(Venus), 글로브임포스터(GlobeImposter), 메두사라커(MedusaLocker) 등 상당수의 랜섬웨어 공격자들은 RDP를 초기 공격 벡터로 사용한다.
ASEC 관계자는 “사용자들은 RDP를 사용하지 않을 경우 비활성화한다면 공격 시도를 줄일 수 있다. 만약 RDP 서비스를 사용한다면 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경해 무차별 대입 공격 및 사전 공격을 방지해야 한다. 또한, V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
