[3줄 요약]
고도화된 암호화 기술…윈도우와 리눅스 환경 모두 위협
지니언스, 금융권 강타한 ‘건라’ 랜섬웨어 분석 보고서 발간
정상 복구 어렵도록 설계된 ‘건라’ 암호화 풀어낸 금융보안원의 성과 재조명
[보안뉴스 여이레 기자] 최근 금융권을 공포에 몰아넣은 SGI서울보증 해킹 사태의 공격 주체 ‘건라’(Gunra) 랜섬웨어에 대해 자세히 분석한 보고서가 나와 관심을 모으고 있다.
▲건라 랜섬노트 [자료: 지니언스]
지니언스가 발표한 이번 보고서에서는 건라 랜섬웨어의 특징과 동작 원리, 효과적인 탐지 및 대응 방안을 포괄적으로 제시했다.
보고서에 따르면 건라는 2024년 4월 처음 확인된 신종 위협으로, 기존 콘티 랜섬웨어의 코드를 재활용한 변종이다. 건라는 ChaCha20 대칭키 알고리즘으로 데이터를 암호화하고 대칭키는 다시 RSA-2048 공개키로 암호화하는 ‘하이브리드 암호화 방식’을 적용해 피해자가 정상 복구를 하기 매우 어렵도록 설계됐다.
특히 윈도우 환경에서 건라는 실행 중 자기 중복 방지를 위해 난수를 이용해 뮤텍스를 생성하며 주요 시스템 폴더나 임시 폴더, 실행 파일 등은 암호화 대상에서 제외한다. 파일과 폴더를 탐색하며 병렬 처리로 암호화를 진행하고, 암호화한 파일의 확장자는 ‘.CRYPT’로 변경한다.
시스템 복원 기능을 무력화하고 사용자 복구 가능성을 차단하기 위해 VSS(볼륨 섀도우 복사본) 목록을 조회하고 이를 삭제하는 과정도 수행한다. 구체적으로 WQL(WMI 쿼리 언어)을 사용해 시스템 내 존재하는 모든 볼륨 섀도우 복사본을 확인하는데, “SELECT * FROM Win32_ShadowCopy”라는 명령어로 Win32_ShadowCopy WMI 클래스에 등록된 모든 복사본 정보를 가져온다. 이 결과를 바탕으로 삭제 대상이 되는 각 섀도우 복사본에 대해 적절한 삭제 명령어를 생성하고 실행해 복구 기능을 무력화한다.
또 시스템 내 모든 디렉터리를 순회하면서 ‘R3adm3.txt’라는 이름의 랜섬노트를 생성한다. 이 파일에는 피해자가 공격자에게 연락할 수 있도록 qTox ID 또는 이메일 주소가 포함된다. 해당 연락처를 통해 지시에 따라야만 암호화된 파일을 복호화 할 수 있다는 협박 문구도 적혀 있다.
건라는 리눅스 버전도 위협할 수 있다. 파일 시스템 내의 암호화 대상을 탐색하기 위해 readdir() 함수를 활용하고 하위 디렉터리까지 모두 탐색해 특정 확장자 파일을 대상으로 비동기 방식 암호화를 진행한다. 암호화 기법은 윈도우 버전과 마찬가지로 ChaCha20과 RSA 공개키를 결합한 하이브리드 구조를 사용한다. 암호화된 파일에는 ‘.ENCRT’ 확장자를 붙인다.
지니언스는 “지니안EDR은 건라 랜섬웨어 실행 시 즉각적인 탐지와 프로세스 차단, 격리 조치를 수행하며, VSS 삭제 시도 및 대량의 파일 확장자 변경, 랜섬노트 반복 생성 같은 이상 행동을 모니터링해 공격을 조기에 식별한다”며, “안티랜섬웨어 모듈을 활성화하면 실시간으로 암호화 시도를 차단하고 손상된 파일 복구도 지원한다”고 밝혔다.
한편, 이러한 특징과 동작 원리를 지닌 ‘건라’ 랜섬웨어가 암호화시킨 데이터를 풀어내 몸값 지급 없이 데이터 복구에 성공한 금융보안원 보안인력들의 성과도 새삼 주목 받고 있다.
금융보안원은 공격자가 이용한 악성코드의 결함에서 실마리를 얻어 이번 해킹으로 잠겨버린 SGI서울보증 데이터를 복호화할 키를 추출해낸 것으로 알려졌다.
[여이레 기자(gore@boannews.com)]
고도화된 암호화 기술…윈도우와 리눅스 환경 모두 위협
지니언스, 금융권 강타한 ‘건라’ 랜섬웨어 분석 보고서 발간
정상 복구 어렵도록 설계된 ‘건라’ 암호화 풀어낸 금융보안원의 성과 재조명
[보안뉴스 여이레 기자] 최근 금융권을 공포에 몰아넣은 SGI서울보증 해킹 사태의 공격 주체 ‘건라’(Gunra) 랜섬웨어에 대해 자세히 분석한 보고서가 나와 관심을 모으고 있다.
▲건라 랜섬노트 [자료: 지니언스]
지니언스가 발표한 이번 보고서에서는 건라 랜섬웨어의 특징과 동작 원리, 효과적인 탐지 및 대응 방안을 포괄적으로 제시했다.
보고서에 따르면 건라는 2024년 4월 처음 확인된 신종 위협으로, 기존 콘티 랜섬웨어의 코드를 재활용한 변종이다. 건라는 ChaCha20 대칭키 알고리즘으로 데이터를 암호화하고 대칭키는 다시 RSA-2048 공개키로 암호화하는 ‘하이브리드 암호화 방식’을 적용해 피해자가 정상 복구를 하기 매우 어렵도록 설계됐다.
특히 윈도우 환경에서 건라는 실행 중 자기 중복 방지를 위해 난수를 이용해 뮤텍스를 생성하며 주요 시스템 폴더나 임시 폴더, 실행 파일 등은 암호화 대상에서 제외한다. 파일과 폴더를 탐색하며 병렬 처리로 암호화를 진행하고, 암호화한 파일의 확장자는 ‘.CRYPT’로 변경한다.
시스템 복원 기능을 무력화하고 사용자 복구 가능성을 차단하기 위해 VSS(볼륨 섀도우 복사본) 목록을 조회하고 이를 삭제하는 과정도 수행한다. 구체적으로 WQL(WMI 쿼리 언어)을 사용해 시스템 내 존재하는 모든 볼륨 섀도우 복사본을 확인하는데, “SELECT * FROM Win32_ShadowCopy”라는 명령어로 Win32_ShadowCopy WMI 클래스에 등록된 모든 복사본 정보를 가져온다. 이 결과를 바탕으로 삭제 대상이 되는 각 섀도우 복사본에 대해 적절한 삭제 명령어를 생성하고 실행해 복구 기능을 무력화한다.
또 시스템 내 모든 디렉터리를 순회하면서 ‘R3adm3.txt’라는 이름의 랜섬노트를 생성한다. 이 파일에는 피해자가 공격자에게 연락할 수 있도록 qTox ID 또는 이메일 주소가 포함된다. 해당 연락처를 통해 지시에 따라야만 암호화된 파일을 복호화 할 수 있다는 협박 문구도 적혀 있다.
건라는 리눅스 버전도 위협할 수 있다. 파일 시스템 내의 암호화 대상을 탐색하기 위해 readdir() 함수를 활용하고 하위 디렉터리까지 모두 탐색해 특정 확장자 파일을 대상으로 비동기 방식 암호화를 진행한다. 암호화 기법은 윈도우 버전과 마찬가지로 ChaCha20과 RSA 공개키를 결합한 하이브리드 구조를 사용한다. 암호화된 파일에는 ‘.ENCRT’ 확장자를 붙인다.
지니언스는 “지니안EDR은 건라 랜섬웨어 실행 시 즉각적인 탐지와 프로세스 차단, 격리 조치를 수행하며, VSS 삭제 시도 및 대량의 파일 확장자 변경, 랜섬노트 반복 생성 같은 이상 행동을 모니터링해 공격을 조기에 식별한다”며, “안티랜섬웨어 모듈을 활성화하면 실시간으로 암호화 시도를 차단하고 손상된 파일 복구도 지원한다”고 밝혔다.
한편, 이러한 특징과 동작 원리를 지닌 ‘건라’ 랜섬웨어가 암호화시킨 데이터를 풀어내 몸값 지급 없이 데이터 복구에 성공한 금융보안원 보안인력들의 성과도 새삼 주목 받고 있다.
금융보안원은 공격자가 이용한 악성코드의 결함에서 실마리를 얻어 이번 해킹으로 잠겨버린 SGI서울보증 데이터를 복호화할 키를 추출해낸 것으로 알려졌다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
