.gif)
암호화 알고리즘 자체는 복호가 불가능...하지만 비밀번호 메모리에 잠깐 남아
윈도우가 생성하는 백업 파일 삭제 안 해...실낱같지만 복구 희망 존재
[보안뉴스 문가용 기자] 배드래빗(Bad Rabbit) 랜섬웨어에 감염된 사용자 일부가 공격자들에게 돈을 내지 않아도 될 것 같다는 연구 결과가 카스퍼스키로부터 나왔다. 배드래빗의 암호화 기능을 분석한 결과, 일부 복호화 가능성이 발견되었기 때문이다.
.jpg)
[이미지 = iclickart]
배드래빗은 처음 등장부터 낫페트야(NotPetya) 공격과 연관성이 있는 것으로 보고됐다. 하지만 낫페트야가 사실상 ‘삭제형 멀웨어’였던 것에 반해 배드래빗은 진짜 랜섬웨어였다. 배드래빗이 활용하고 있는 암호화 알고리즘은 AES-128-CBC와 RSA-2048로, 크래킹이 불가능하다고 알려졌다. 하지만 카스퍼스키에 의하면 특정 조건이 갖춰질 경우 일부 파일을 복구시킬 수 있다고 한다.
배드래빗은 한 번 감염에 성공하면 특정 유형의 파일을 찾아낸 후 암호화를 시작한다. 디스크 역시 암호화시킨 후 협박 메시지를 화면에 출력하는데, 이 때문에 사용자는 복호화 시도를 할 수조차 없게 된다. 하지만 카스퍼스키가 분석한 결과 디스크 암호화 및 부트로더(bootloader)의 기능성이 정상 유틸리티 프로그램인 디스크크립터(DiskCryptor)로부터 나온 것이라고 한다.
카스퍼스키의 연구원들은 감염된 시스템을 부팅하는 데에 필요한 비밀번호가 메모리에 그대로 남아있는 것을 발견했다. 즉 메모리를 잘 공략만하면 중요한 정보를 얻어낼 기회가 생긴다는 것이다. “비밀번호를 생성하는 프로세스는 dispci.exe입니다. 이 프로세스가 종료되기 전까지 비밀번호를 추출할 수 있다면 복호화가 가능합니다. 물론 희박한 가능성이긴 합니다.”
이 방법이 ‘희박하더라도’ 가능성을 내포하고 있는 것은 배드래빗의 공격자들이 섀도 복사본(shadow copy) 파일을 삭제하지 않기 때문이다. 섀도 복사본 파일이란 윈도우가 자동으로 생성하는 백업 파일을 말한다. 사용자가 평소 윈도우의 자동 백업 옵션을 활성화시키고 있었고, 위에서 언급한 비밀번호를 취득해 내서 암호화 자체를 무력화시켰다면, 이 백업을 활용해 디스크 복구가 가능해진다.
카스퍼스키는 또한 배드래빗이 NSA와 관련이 있는 것으로 보이는 해킹 툴, 이터널로맨스(EternalRomance)를 활용했다고 밝히기도 했다. 이는 낫페트야 역시 활용했던 툴이다.
이러한 유사성 때문에 배드래빗 공격자와 낫페트야 공격자가 동일하거나 연관성이 깊다고 보는 것이 중론이다. 그리고 낫페트야 공격자들의 배후에는 러시아의 블랙에너지(BlackEnergy)라는 그룹이 있다는 것이 중론이기도 하다. 배드래빗과 낫페트야 모두 러시아인 피해자가 가장 많다는 걸 감안해보면 이러한 추측이 어느 정도 힘을 얻는다.
카스퍼스키가 공개한 기술적 세부사항은 여기서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
윈도우가 생성하는 백업 파일 삭제 안 해...실낱같지만 복구 희망 존재
[보안뉴스 문가용 기자] 배드래빗(Bad Rabbit) 랜섬웨어에 감염된 사용자 일부가 공격자들에게 돈을 내지 않아도 될 것 같다는 연구 결과가 카스퍼스키로부터 나왔다. 배드래빗의 암호화 기능을 분석한 결과, 일부 복호화 가능성이 발견되었기 때문이다.
[이미지 = iclickart]
배드래빗은 처음 등장부터 낫페트야(NotPetya) 공격과 연관성이 있는 것으로 보고됐다. 하지만 낫페트야가 사실상 ‘삭제형 멀웨어’였던 것에 반해 배드래빗은 진짜 랜섬웨어였다. 배드래빗이 활용하고 있는 암호화 알고리즘은 AES-128-CBC와 RSA-2048로, 크래킹이 불가능하다고 알려졌다. 하지만 카스퍼스키에 의하면 특정 조건이 갖춰질 경우 일부 파일을 복구시킬 수 있다고 한다.
배드래빗은 한 번 감염에 성공하면 특정 유형의 파일을 찾아낸 후 암호화를 시작한다. 디스크 역시 암호화시킨 후 협박 메시지를 화면에 출력하는데, 이 때문에 사용자는 복호화 시도를 할 수조차 없게 된다. 하지만 카스퍼스키가 분석한 결과 디스크 암호화 및 부트로더(bootloader)의 기능성이 정상 유틸리티 프로그램인 디스크크립터(DiskCryptor)로부터 나온 것이라고 한다.
카스퍼스키의 연구원들은 감염된 시스템을 부팅하는 데에 필요한 비밀번호가 메모리에 그대로 남아있는 것을 발견했다. 즉 메모리를 잘 공략만하면 중요한 정보를 얻어낼 기회가 생긴다는 것이다. “비밀번호를 생성하는 프로세스는 dispci.exe입니다. 이 프로세스가 종료되기 전까지 비밀번호를 추출할 수 있다면 복호화가 가능합니다. 물론 희박한 가능성이긴 합니다.”
이 방법이 ‘희박하더라도’ 가능성을 내포하고 있는 것은 배드래빗의 공격자들이 섀도 복사본(shadow copy) 파일을 삭제하지 않기 때문이다. 섀도 복사본 파일이란 윈도우가 자동으로 생성하는 백업 파일을 말한다. 사용자가 평소 윈도우의 자동 백업 옵션을 활성화시키고 있었고, 위에서 언급한 비밀번호를 취득해 내서 암호화 자체를 무력화시켰다면, 이 백업을 활용해 디스크 복구가 가능해진다.
카스퍼스키는 또한 배드래빗이 NSA와 관련이 있는 것으로 보이는 해킹 툴, 이터널로맨스(EternalRomance)를 활용했다고 밝히기도 했다. 이는 낫페트야 역시 활용했던 툴이다.
이러한 유사성 때문에 배드래빗 공격자와 낫페트야 공격자가 동일하거나 연관성이 깊다고 보는 것이 중론이다. 그리고 낫페트야 공격자들의 배후에는 러시아의 블랙에너지(BlackEnergy)라는 그룹이 있다는 것이 중론이기도 하다. 배드래빗과 낫페트야 모두 러시아인 피해자가 가장 많다는 걸 감안해보면 이러한 추측이 어느 정도 힘을 얻는다.
카스퍼스키가 공개한 기술적 세부사항은 여기서 열람이 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)