사람이 만든 소프트웨어가 완전하지 않다는 건 멀웨어에도 적용된다. 블랙매터 랜섬웨어에서도 중요한 오류가 하나 발견됐는데, 이를 잘 이용하면 피해를 줄일 수 있다고 한다. 특히 원격 공유 자원을 보호하는 데 꽤 좋은 효과를 발휘할 수 있다.
[보안뉴스 문가용 기자] 최근 가장 기승을 부리는 랜섬웨어 중 하나를 꼽으라면 블랙매터(BlackMatter)가 첫 손에 꼽힌다. 이미 여러 나라의 주요 사회 기반 시설들을 비롯해 다양한 기업들과 기관들을 공격해 큰 피해를 입힌 랜섬웨어다. 그런데 이 블랙매터에는 심각한 논리 오류가 있어, 멀웨어의 악성 기능이 생각보다 강력하지 않을 수 있다는 소식이 나왔다.
[이미지 = utoimage]
보안 업체 일루시브(Illusive)에 의하면 “이 오류를 발동시키면 블랙매터의 위험성을 완화시키는 게 가능하다”고 한다. 일루시브 측은 블랙매터가 “실험을 목적으로 마련한 환경 내 원격 컴퓨터들의 공유 자원을 암호화하지 못한다는 사실이 관찰됐다”고 밝히며, “분석한 결과 특수한 네트워크 환경 설정 상태에서만 한 네트워크 내 다른 컴퓨터들도 암호화할 수 있다는 사실을 알아낼 수 있었다”고 공개했다.
즉 블랙매터가 네트워크 내 공유 자원을 암호화하는 것을 막는 게 가능하다는 것이다. 일루시브의 보안 전문가 샤하르 젤릭(Shahar Zelig)은 “다행인 소식이긴 하지만, 그럼에도 침해된 장비의 암호화는 여전히 진행된다는 걸 잊으면 안 된다”고 짚었다. “만약 공격자가 처음부터 다수의 시스템을 침해한 상태라면, 여전히 네트워크 내 다수 시스템이 마비될 것입니다. 이번에 발견된 오류는 원격 공유 자원에만 국한된 내용입니다.”
블랙매터가 처음 세상에 모습을 드러낸 건 2021년 7월의 일이다. 콜로니얼 파이프라인(Colonial Pipeline) 사태를 일으켰던 다크사이드(DarkSide) 랜섬웨어가 사라지고 난 직후의 일이었다. 많은 전문가들이 블랙매터가 다크사이드의 ‘또 다른 이름’이라고 보고 있다. 블랙매터는 등장 이후 미국, 캐나다, 영국, 인도, 브라질, 태국, 칠레에서 각종 피해를 일으켰다. 피해자들 중에는 대기업들이 다수 섞여 있는 것으로 알려져 있다.
블랙매터는 꽤나 잘 만들어진 랜섬웨어라는 평가를 받고 있다. 효율적이고, 용량이 작으며(80kb), 난독화 처리가 잘 되어 있고, 대부분 메모리 내에서만 작동하기 때문이다. 보안 업체 바로니스(Varonis)가 연구한 바에 의하면 블랙매터는 주로 취약한 원격 데스크톱이나 VPN 등을 통해 최초 침투한다고 한다. 다른 데서 훔친 로그인 크리덴셜을 활용하는 경우도 다수 보고되고 있다. 미국의 사이버 보안 전담 기구인 CISA도 지난 10월 블랙매터에 대한 경고를 발령했었다.
이번 일루시브의 분석은 블랙매터의 파일 암호화 원리에 집중을 하고 있다. 블랙매터는 먼저 액티브 디렉토리 내에 있는 모든 컴퓨터 계정들의 목록을 확보한다. 다음으로는 각 컴퓨터 계정들의 속성 정보들을 수집하고, 각 컴퓨터의 공유 자원들을 목록으로 만든다. 마지막으로는 모든 자원들을 암호화 한다. 한 시스템만이 아니라 네트워크 전체에 걸쳐 광범위하게 암호화를 진행함으로써 피해를 최대화 하는 게 블랙매터의 특징이다.
그런데 두 번째 단계에서 논리 오류가 발생한다는 게 젤릭의 설명이다. “만약 블랙매터가 침해한 컴퓨터에 dNSHostName이라는 속성이 없으면 블랙매터는 컴퓨터 속성 정보 수집 단계를 아예 중단시킵니다. 피해를 최대화 하기 위해 네트워크 내 컴퓨터 정보를 모으는데, 이 때 dNSHostName이라는 특성이 없는 컴퓨터가 있으면 정보를 더 이상 수집하지 않는다는 겁니다.”
또한 일루시브는 블랙매터가 디폴트 ‘computers’ 컨테이너 내에 있는 컴퓨터 계정들만을 수집한다는 사실도 알아냈다. 그러니 다른 곳에 계정 정보가 저장된 컴퓨터들은 암호화의 마수에서 벗어날 수 있다. “블랙매터의 논리적 오류는 모든 컴퓨터 객체가 dNSHostName이라는 속성을 가지고 있을 거라는 전제를 깔아둔 것이죠. 사실 대부분의 경우 맞아떨어지는 전제입니다. 컴퓨터가 액티브 디렉토리에 추가되면 자동으로 dNSHostName이라는 속성이 부여되거든요.”
젤릭은 이런 특성을 활용해 블랙매터의 악영향을 어느 정도 감소시키는 게 가능하다고 설명한다. “dNSHostName 속성이 없는 컴퓨터 계정들을 만들면 되는 일입니다. 그리고 그런 컴퓨터들이 블랙매터의 목록화 작업 시 가장 처음에 나오게 할수록 좋습니다. 즉 dNSHostName 속성이 없는 컴퓨터의 이름을 aaa-comp라는 식으로 만들면 알파벳 순서 상 가장 앞에 올 수밖에 없죠. 이런 능동적인 조치를 통해 원격 공유 자원까지 암호화 되는 것을 막을 수 있습니다.”
3줄 요약
1. 악명 높은 블랙매터 랜섬웨어, 현재 기승을 부리고 있어 난리.
2. 그런데 여기서 논리 오류가 하나 발견됐음.
3. 이를 활용하면 공유 자원까지 암호화 되는 것을 막을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 최근 가장 기승을 부리는 랜섬웨어 중 하나를 꼽으라면 블랙매터(BlackMatter)가 첫 손에 꼽힌다. 이미 여러 나라의 주요 사회 기반 시설들을 비롯해 다양한 기업들과 기관들을 공격해 큰 피해를 입힌 랜섬웨어다. 그런데 이 블랙매터에는 심각한 논리 오류가 있어, 멀웨어의 악성 기능이 생각보다 강력하지 않을 수 있다는 소식이 나왔다.
[이미지 = utoimage]
보안 업체 일루시브(Illusive)에 의하면 “이 오류를 발동시키면 블랙매터의 위험성을 완화시키는 게 가능하다”고 한다. 일루시브 측은 블랙매터가 “실험을 목적으로 마련한 환경 내 원격 컴퓨터들의 공유 자원을 암호화하지 못한다는 사실이 관찰됐다”고 밝히며, “분석한 결과 특수한 네트워크 환경 설정 상태에서만 한 네트워크 내 다른 컴퓨터들도 암호화할 수 있다는 사실을 알아낼 수 있었다”고 공개했다.
즉 블랙매터가 네트워크 내 공유 자원을 암호화하는 것을 막는 게 가능하다는 것이다. 일루시브의 보안 전문가 샤하르 젤릭(Shahar Zelig)은 “다행인 소식이긴 하지만, 그럼에도 침해된 장비의 암호화는 여전히 진행된다는 걸 잊으면 안 된다”고 짚었다. “만약 공격자가 처음부터 다수의 시스템을 침해한 상태라면, 여전히 네트워크 내 다수 시스템이 마비될 것입니다. 이번에 발견된 오류는 원격 공유 자원에만 국한된 내용입니다.”
블랙매터가 처음 세상에 모습을 드러낸 건 2021년 7월의 일이다. 콜로니얼 파이프라인(Colonial Pipeline) 사태를 일으켰던 다크사이드(DarkSide) 랜섬웨어가 사라지고 난 직후의 일이었다. 많은 전문가들이 블랙매터가 다크사이드의 ‘또 다른 이름’이라고 보고 있다. 블랙매터는 등장 이후 미국, 캐나다, 영국, 인도, 브라질, 태국, 칠레에서 각종 피해를 일으켰다. 피해자들 중에는 대기업들이 다수 섞여 있는 것으로 알려져 있다.
블랙매터는 꽤나 잘 만들어진 랜섬웨어라는 평가를 받고 있다. 효율적이고, 용량이 작으며(80kb), 난독화 처리가 잘 되어 있고, 대부분 메모리 내에서만 작동하기 때문이다. 보안 업체 바로니스(Varonis)가 연구한 바에 의하면 블랙매터는 주로 취약한 원격 데스크톱이나 VPN 등을 통해 최초 침투한다고 한다. 다른 데서 훔친 로그인 크리덴셜을 활용하는 경우도 다수 보고되고 있다. 미국의 사이버 보안 전담 기구인 CISA도 지난 10월 블랙매터에 대한 경고를 발령했었다.
이번 일루시브의 분석은 블랙매터의 파일 암호화 원리에 집중을 하고 있다. 블랙매터는 먼저 액티브 디렉토리 내에 있는 모든 컴퓨터 계정들의 목록을 확보한다. 다음으로는 각 컴퓨터 계정들의 속성 정보들을 수집하고, 각 컴퓨터의 공유 자원들을 목록으로 만든다. 마지막으로는 모든 자원들을 암호화 한다. 한 시스템만이 아니라 네트워크 전체에 걸쳐 광범위하게 암호화를 진행함으로써 피해를 최대화 하는 게 블랙매터의 특징이다.
그런데 두 번째 단계에서 논리 오류가 발생한다는 게 젤릭의 설명이다. “만약 블랙매터가 침해한 컴퓨터에 dNSHostName이라는 속성이 없으면 블랙매터는 컴퓨터 속성 정보 수집 단계를 아예 중단시킵니다. 피해를 최대화 하기 위해 네트워크 내 컴퓨터 정보를 모으는데, 이 때 dNSHostName이라는 특성이 없는 컴퓨터가 있으면 정보를 더 이상 수집하지 않는다는 겁니다.”
또한 일루시브는 블랙매터가 디폴트 ‘computers’ 컨테이너 내에 있는 컴퓨터 계정들만을 수집한다는 사실도 알아냈다. 그러니 다른 곳에 계정 정보가 저장된 컴퓨터들은 암호화의 마수에서 벗어날 수 있다. “블랙매터의 논리적 오류는 모든 컴퓨터 객체가 dNSHostName이라는 속성을 가지고 있을 거라는 전제를 깔아둔 것이죠. 사실 대부분의 경우 맞아떨어지는 전제입니다. 컴퓨터가 액티브 디렉토리에 추가되면 자동으로 dNSHostName이라는 속성이 부여되거든요.”
젤릭은 이런 특성을 활용해 블랙매터의 악영향을 어느 정도 감소시키는 게 가능하다고 설명한다. “dNSHostName 속성이 없는 컴퓨터 계정들을 만들면 되는 일입니다. 그리고 그런 컴퓨터들이 블랙매터의 목록화 작업 시 가장 처음에 나오게 할수록 좋습니다. 즉 dNSHostName 속성이 없는 컴퓨터의 이름을 aaa-comp라는 식으로 만들면 알파벳 순서 상 가장 앞에 올 수밖에 없죠. 이런 능동적인 조치를 통해 원격 공유 자원까지 암호화 되는 것을 막을 수 있습니다.”
3줄 요약
1. 악명 높은 블랙매터 랜섬웨어, 현재 기승을 부리고 있어 난리.
2. 그런데 여기서 논리 오류가 하나 발견됐음.
3. 이를 활용하면 공유 자원까지 암호화 되는 것을 막을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
