.gif)
워너크라이와 같은 방식으로 퍼지고 있지만 타격 조직들 달라
WMI 기능 활용해 횡적 움직임도 가능...패치된 취약점 악용
[보안뉴스 문가용 기자] 두 번째 워너크라이 사태가 또 한 번 터졌다. 세계 곳곳의 조직들이 다시 한 번 랜섬웨어 공격에 당하기 시작한 것이다. 러시아 혹은 우크라이나로부터 출발한 것으로 보이는 이번 랜섬웨어는 러시아는 물론 우크라이나, 프랑스, 스페인, 네덜란드, 덴마크, 인도, 한국에서 모습을 드러냈다. 특히 주요 사회 인프라 부문의 타격이 크다고 한다.
[이미지 = iclickart]
먼저 랜섬웨어 감염이 보고된 곳 중 주요한 곳만 추리면 1) 러시아 최대 석유 회사인 로즈네프트(Rosneft)와 2) 철강 회사인 에브라즈(Evraz), 3) 덴마크의 거대 선박 회사인 A.P. 몰러-머스크(A.P. Moller-Maersk) 그룹, 4) 우크라이나의 보리스필 공항(Boryspyl Airport), 5) 미국 제약 회사인 머크(Merck), 6) 체르노빌의 방사능 탐지 시스템이다.
보안 전문 업체들은 이 사태가 지난 워너크라이와 흡사하다고 설명하지만, 차이점도 존재한다. 가장 큰 차이점은 워너크라이에 비해 더 1) 전문적이고, 2) 킬스위치 등의 안전장치가 존재하지 않는다는 것이다. 보안 전문 업체인 에프시큐어(F-Secure)의 션 설리반(Sean Sullivan)은 “워너크라이 때 발견되었던 자잘한 실수들이 아직까지 눈에 띄지 않는다”고 설명했다. “이미 더 발전된 형태로 워너크라이 사태가 반복될 것이라는 건 예견된 것이었는데, 그것이 이뤄진 것입니다.”
하지만 기사 작성 시점에 보안 업체 사이버리즌(Cybereason)은 “C:/Windows/perfc”라는 파일을 만들면 랜섬웨어 감염을 막을 수 있다고 트위터를 통해 공개했다.
보안 업체 카스퍼스키 랩은 현지 시각으로 화요일 오후 약 2000개 조직들이 랜섬웨어에 감염되었다고 주장했으며, 이는 대부분 러시아와 우크라이나에 있는 곳들이라고 설명했다. 일부는 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국에도 있다고 밝혔다.
보안 업체가 최초로 발견한 랜섬웨어 샘플의 이름은 골든아이(GoldenEye)로, 분석을 통해 악명 높은 페트야(Petya)의 변종인 것으로 밝혀졌다. 페트야는 최소 1년 전부터 활동을 해온 랜섬웨어 패밀리의 이름이다. 페트야의 특징은 마스터 부트 레코드(MBR)를 암호화한다는 것으로, 골든아이에서도 똑같은 특성이 발견되었다고 한다.
하지만 카스퍼스키는 기존 페트야와 골든아이 사이에는 큰 차이점도 존재한다고 설명하고 있다. 또 다른 보안 업체 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal) 역시 “페트야와의 유사점이 존재하는 건 사실이지만 현존 백신 제품들 중 골든아이를 탐지할 수 있었던 건 딱 두 가지 뿐이었던 것으로 보아 새로운 랜섬웨어가 나타났다고 봐도 무방하다”는 입장이다. 이 의견을 가진 전문가들은 이번 랜섬웨어를 낫페트야(NotPetya)라고 부르기도 한다.
그렇다면 워너크라이와 비교해서는 어떨까? 골든아이는 워너크라이와 마찬가지로 SMB 취약점을 공략하는 NSA의 비밀 해킹 툴인 이터널블루(EternalBlue)를 통해 증식하고 있다. 유사점이다. 그러나 워너크라이와 달리 골든아이는 다른 취약점을 익스플로잇한다. 마이크로소프트 오피스의 워드패드에 있는 코드 실행 취약점으로 CVE-2017-0199로 명명된 바 있다.
보안 업체 리스크 베이스드 시큐리티(Risk Based Security)는 오피스 워드패드의 취약점에 대해 “2016년 10월에 이미 핀스파이(FINSPY)와 드리덱스(Dridex) 뱅킹 트로이 목마 캠페인에 의해 익스플로잇된 바 있는 취약점”이라고 설명한다. MS도 이미 4월에 패치를 내놓은 바 있다.
보안 업체인 사이포트(Cyphort)의 전문가들은 골든아이가 악성 링크를 포함한 이메일을 통해 퍼졌으나 아직 그 근원지를 파악 못하고 있다고 말했다. 또한 골든아이가 네트워크 내에서 횡적 이동을 할 수 있으며, 이때 윈도우의 WMI(Windows Management INstrumentation) 기능을 활용한다고 설명하기도 했다. “페이로드 중에는 사용자 이름과 비밀번호를 탈취하는 로키 봇(Loki Bot)에 대한 정보가 담겨 있기도 했습니다.”
현재 골든아이 혹은 낫페트야가 요구하는 금액은 300달러로, 보통 랜섬웨어들과 마찬가지로 비트코인을 지불 방식으로 채택했다. 보안 업체 이센타이어(eSentire)의 최고 보안 전략가인 엘돈 스프리커호프(Eldon Sprickerhoff)는 골든아이에 대해 “페트야 랜섬웨어의 골격에 다른 기능과 살들을 덧붙인 것”이라며 “기존 페트야가 가지고 있던 모든 약점들이 워너크라이의 일부 특성을 덧입어 강화되었다고 볼 수 있다”고 설명했다.
이번 사태로 또 한 번 취약점 패치의 중요성이 부각되고 있다. “결국 랜섬웨어의 종류가 페트야이든 아니든, 워너크라이와 동일한 방식으로 퍼지고 있다는 게 중요합니다. 그리고 그 워너크라이는 불과 한 달 전에 있었던 일이고요. 패치가 이미 나와 있는 취약점을 손보지 않아서 걷잡을 수 없이 커진 사태라고 볼 수 있습니다. 이론 상 막을 수 있었어야 합니다.”
보안 업체 클래로티(Claroty)의 공동 창립자인 갈리나 안토바(Galina Antova)는 “이제 제3의 워너크라이를 대비해야 한다”고 강조했다. “멀웨어가 계속해서 진화하고 발전하는 건 누구나 아는 사실입니다. 워너크라이와 이번 골든아이가 불과 한 달 간격으로 연속해서 벌어졌습니다. 그 사이 멀웨어는 한 단계 업그레이드 했고요. 이 사태가 끝나기도 전에 또 제3의 워너크라이가 나타날 가능성도 높습니다. 그러기 위해 지금 가지고 있는 샘플 분석을 먼저 마쳐야 하겠지만요.”
현재 공격자에 대한 추측들이 이어지고 있지만 이렇다할 용의자가 등장한 것은 아니다. 워너크라이를 주도한 이들이 다시 한 번 공격한 것이라는 의견도 있고, 러시아가 범인이라는 의견도 있다. “워너크라이와 이번 공격이 가장 다른 건 사회 기반 시설이라고 볼 수 있는 곳을 주력으로 노렸다는 것이죠. 심지어 세계 경제와도 연결된 곳이라고 볼 수 있는 시설 및 조직들입니다. 사회 혹은 산업 기반 시설에 대한 보안 강화가 시급히 이루어져야 할 것입니다. 공격자들의 스케일이 달라지고 있거든요.”
[국제부 문가용 기자(globoan@boannews.com)]
WMI 기능 활용해 횡적 움직임도 가능...패치된 취약점 악용
[보안뉴스 문가용 기자] 두 번째 워너크라이 사태가 또 한 번 터졌다. 세계 곳곳의 조직들이 다시 한 번 랜섬웨어 공격에 당하기 시작한 것이다. 러시아 혹은 우크라이나로부터 출발한 것으로 보이는 이번 랜섬웨어는 러시아는 물론 우크라이나, 프랑스, 스페인, 네덜란드, 덴마크, 인도, 한국에서 모습을 드러냈다. 특히 주요 사회 인프라 부문의 타격이 크다고 한다.
[이미지 = iclickart]
먼저 랜섬웨어 감염이 보고된 곳 중 주요한 곳만 추리면 1) 러시아 최대 석유 회사인 로즈네프트(Rosneft)와 2) 철강 회사인 에브라즈(Evraz), 3) 덴마크의 거대 선박 회사인 A.P. 몰러-머스크(A.P. Moller-Maersk) 그룹, 4) 우크라이나의 보리스필 공항(Boryspyl Airport), 5) 미국 제약 회사인 머크(Merck), 6) 체르노빌의 방사능 탐지 시스템이다.
보안 전문 업체들은 이 사태가 지난 워너크라이와 흡사하다고 설명하지만, 차이점도 존재한다. 가장 큰 차이점은 워너크라이에 비해 더 1) 전문적이고, 2) 킬스위치 등의 안전장치가 존재하지 않는다는 것이다. 보안 전문 업체인 에프시큐어(F-Secure)의 션 설리반(Sean Sullivan)은 “워너크라이 때 발견되었던 자잘한 실수들이 아직까지 눈에 띄지 않는다”고 설명했다. “이미 더 발전된 형태로 워너크라이 사태가 반복될 것이라는 건 예견된 것이었는데, 그것이 이뤄진 것입니다.”
하지만 기사 작성 시점에 보안 업체 사이버리즌(Cybereason)은 “C:/Windows/perfc”라는 파일을 만들면 랜섬웨어 감염을 막을 수 있다고 트위터를 통해 공개했다.
보안 업체 카스퍼스키 랩은 현지 시각으로 화요일 오후 약 2000개 조직들이 랜섬웨어에 감염되었다고 주장했으며, 이는 대부분 러시아와 우크라이나에 있는 곳들이라고 설명했다. 일부는 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국에도 있다고 밝혔다.
보안 업체가 최초로 발견한 랜섬웨어 샘플의 이름은 골든아이(GoldenEye)로, 분석을 통해 악명 높은 페트야(Petya)의 변종인 것으로 밝혀졌다. 페트야는 최소 1년 전부터 활동을 해온 랜섬웨어 패밀리의 이름이다. 페트야의 특징은 마스터 부트 레코드(MBR)를 암호화한다는 것으로, 골든아이에서도 똑같은 특성이 발견되었다고 한다.
하지만 카스퍼스키는 기존 페트야와 골든아이 사이에는 큰 차이점도 존재한다고 설명하고 있다. 또 다른 보안 업체 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal) 역시 “페트야와의 유사점이 존재하는 건 사실이지만 현존 백신 제품들 중 골든아이를 탐지할 수 있었던 건 딱 두 가지 뿐이었던 것으로 보아 새로운 랜섬웨어가 나타났다고 봐도 무방하다”는 입장이다. 이 의견을 가진 전문가들은 이번 랜섬웨어를 낫페트야(NotPetya)라고 부르기도 한다.
그렇다면 워너크라이와 비교해서는 어떨까? 골든아이는 워너크라이와 마찬가지로 SMB 취약점을 공략하는 NSA의 비밀 해킹 툴인 이터널블루(EternalBlue)를 통해 증식하고 있다. 유사점이다. 그러나 워너크라이와 달리 골든아이는 다른 취약점을 익스플로잇한다. 마이크로소프트 오피스의 워드패드에 있는 코드 실행 취약점으로 CVE-2017-0199로 명명된 바 있다.
보안 업체 리스크 베이스드 시큐리티(Risk Based Security)는 오피스 워드패드의 취약점에 대해 “2016년 10월에 이미 핀스파이(FINSPY)와 드리덱스(Dridex) 뱅킹 트로이 목마 캠페인에 의해 익스플로잇된 바 있는 취약점”이라고 설명한다. MS도 이미 4월에 패치를 내놓은 바 있다.
보안 업체인 사이포트(Cyphort)의 전문가들은 골든아이가 악성 링크를 포함한 이메일을 통해 퍼졌으나 아직 그 근원지를 파악 못하고 있다고 말했다. 또한 골든아이가 네트워크 내에서 횡적 이동을 할 수 있으며, 이때 윈도우의 WMI(Windows Management INstrumentation) 기능을 활용한다고 설명하기도 했다. “페이로드 중에는 사용자 이름과 비밀번호를 탈취하는 로키 봇(Loki Bot)에 대한 정보가 담겨 있기도 했습니다.”
현재 골든아이 혹은 낫페트야가 요구하는 금액은 300달러로, 보통 랜섬웨어들과 마찬가지로 비트코인을 지불 방식으로 채택했다. 보안 업체 이센타이어(eSentire)의 최고 보안 전략가인 엘돈 스프리커호프(Eldon Sprickerhoff)는 골든아이에 대해 “페트야 랜섬웨어의 골격에 다른 기능과 살들을 덧붙인 것”이라며 “기존 페트야가 가지고 있던 모든 약점들이 워너크라이의 일부 특성을 덧입어 강화되었다고 볼 수 있다”고 설명했다.
이번 사태로 또 한 번 취약점 패치의 중요성이 부각되고 있다. “결국 랜섬웨어의 종류가 페트야이든 아니든, 워너크라이와 동일한 방식으로 퍼지고 있다는 게 중요합니다. 그리고 그 워너크라이는 불과 한 달 전에 있었던 일이고요. 패치가 이미 나와 있는 취약점을 손보지 않아서 걷잡을 수 없이 커진 사태라고 볼 수 있습니다. 이론 상 막을 수 있었어야 합니다.”
보안 업체 클래로티(Claroty)의 공동 창립자인 갈리나 안토바(Galina Antova)는 “이제 제3의 워너크라이를 대비해야 한다”고 강조했다. “멀웨어가 계속해서 진화하고 발전하는 건 누구나 아는 사실입니다. 워너크라이와 이번 골든아이가 불과 한 달 간격으로 연속해서 벌어졌습니다. 그 사이 멀웨어는 한 단계 업그레이드 했고요. 이 사태가 끝나기도 전에 또 제3의 워너크라이가 나타날 가능성도 높습니다. 그러기 위해 지금 가지고 있는 샘플 분석을 먼저 마쳐야 하겠지만요.”
현재 공격자에 대한 추측들이 이어지고 있지만 이렇다할 용의자가 등장한 것은 아니다. 워너크라이를 주도한 이들이 다시 한 번 공격한 것이라는 의견도 있고, 러시아가 범인이라는 의견도 있다. “워너크라이와 이번 공격이 가장 다른 건 사회 기반 시설이라고 볼 수 있는 곳을 주력으로 노렸다는 것이죠. 심지어 세계 경제와도 연결된 곳이라고 볼 수 있는 시설 및 조직들입니다. 사회 혹은 산업 기반 시설에 대한 보안 강화가 시급히 이루어져야 할 것입니다. 공격자들의 스케일이 달라지고 있거든요.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)