상반기 랜섬웨어 동향에는 크고 작은 사건들이 많았다. 특히 5월과 6월에는 사회적으로 큰 이슈가 되었던 WannaCryptor 와 Petya 랜섬웨어가 있었다. 그리고 작년에 맹위를 떨쳤던 Locky 가 다시 유포 되었고 이와 유사한 Jaff 랜섬웨어도 발견 되었다.

상반기 중 랜섬웨어의 감염 보고 건수 (샘플이 사용자로부터 감염 보고된 수) 는 1분기 하락 하다가 4, 5월 증가했으나 6월에 다시 감소 추세에 있다. 그러나 발견되고 있는 랜섬웨어의 샘플 수량은 5월을 제외하고 계속 증가 추세에 있다.

 

[그림1] 2017년 상반기 랜섬웨어 통계 (샘플 및 감염보고 건수)

5월에 샘플수량이 감소한 원인은 명확히 확인 되지 않았지만 가장 많은 변형이 발견 되고 있는Cerber 를 포함하여 전체적으로 랜섬웨어 발견 건수가 감소 하였다. 그러나 Cerber 경우 지속적으로 샘플 발견 대비 감염보고 수가 높으므로 심각한 주의가 요구 된다. 아래 그래프를 통해서 Cerber 의 샘플 발견 대비 감염보고 수가 높음을 알 수 있다. 이 의미는 특정 샘플이 다수의 사용자로부터 감염보고가 되었음을 뜻한다. 그 만큼 Cerber 감염율이 높다고 할 수 있다.

[그림2] 2017년 상반기 Cerber 감염보고 건수 통계 (샘플대비 감염보고 건수)

 지난 분기 보고서에도 언급 했지만 랜섬웨어을 제작 및 유포하는 공격자들은 웹 브라우저를 이용한 취약점과 이메일을 주 감염경로로 사용하고 있다. 특히 Cerber 2가지를 적절하게 병행하면서 시스템을 감염 시키고 있다. 특히 웹 브라우저 관련 취약점을 이용하는 경우가 많이 보고 되고 있으므로 Adobe Flash Internet Explorer 는 항상 최신버전을 유지 해야 한다. 필요하다면 다른 웹 브라우저를 이용해보거나 웹 서핑 시 의도하지 않는 광고를 차단 할 수 있는 프로그램의 도움을 받는 것도 좋다.

상반기 중 2분기에 이슈가 되었던 랜섬웨어는 다음과 같다.

 Locky 랜섬웨어가 다시 발견 되었다. 악성 스팸 메일 형태로 지난 4~5월에 대량 유포가 되었다. 작년과 다르게 메일에 PDF 문서가 첨부된 형태로 유포 되었다. 해당 PDF 는 자바 스크립트와 악의적인 매크로가 포함된 워드 문서 객체를 포함한 형태 였다. 이는 안티 바이러스 제품 진단을 우회 및 사용자가 의심 없이 문서를 열어보도록 하기 위한 것으로 보인다. 이후에 이와 유사한 형태를 따라 하는 악성 스팸메일이 발견 되기도 하였다.

 암호화한 파일의 확장자를 .MOLE 로 변경하는 MoleCrypto 랜섬웨어는 랜섬노트가 CryptoMix CryptoShield 와 매우 유사하며 4월경 국내 발견 되었다. 해당 랜섬웨어는 SageCrypt 가 악성 스팸 메일로 유포 될 때 사용하는 특정 IP 를 모니텅 중에 발견 되었는데 두 랜섬웨어의 연관성은 확인 되지 않았다.

Locky 와 유사한 방법으로 유포된 Jaff 랜섬웨어는 마치 Locky 의 또 다른 변형처럼 느껴질 만큼 모든게 닮았다. PDF 문서내 JS / DOCM 객체를 포함한 것은 물론 Locky 랜섬웨어가 자신을 다운로드 할 때 사용된 일부 URL 중에서 Jaff 역시 같은 도메인을 사용한 것이 확인 되기도 하였다. 해당 랜섬웨어는 실행 시 시스템의 전원을 체크하여 윈도우 10 & 노트북 환경 및 러시어 언어로 윈도우가 설정된 경우 더 이상 실행 되지 않고 자신을 종료한다.

5월에 큰 이슈가 되었던 WannaCryptor 는 랜섬웨어 유포에 전례가 없었던 취약점을 이용하여 네트워크로 자신을 전파 하였다. 이것은 SMB(Server Message Block) 취약점(MS17-010)을 이용한 것으로 전세계적으로 확산 되었다. 해당 취약점은 다른 악성코드 (주로 비트코인 채굴 악성코드) 에서 확인 되었지만 랜섬웨어 전파에 사용된 것이 큰 파급력을 보였다.

자신을 전파 하기 위해서 Spora 와 같은 일부 랜섬웨어가 매핑 된 네트워크 드라이브로 자신을 전파 시키는 경우가 있었으나 WannaCryptor 는 네트워크에 연결된 취약한 모든 시스템이 감염 대상이 되었다.

 올해 초 공공기관에서 주로 보고된 VenusLocker 변형도 발견 되었다. 국외에 거점을 두고 있는 유명 특송회사의 지점안내 문서파일명으로 자신을 위장 하였다. 실제로 실행 가능한 EXE 형태로 파일명만 위장 되어 있었다. 한글로 작성된 랜섬노트의 내용으로 볼 때 한글을 모국어로 사용하고 국내 사정을 잘 아는 사람이 개입 되었을 가능성이 높다.

 국외에서 발견 보고가 있었던 Globeimposter 랜섬웨어도 보고 되었다. 암호화한 파일의 확장자를 .crypt 로 변경하며 확장자와 상관 없이 접근 가능한 모든 파일을 암호화 한다. 이로 인하여 재부팅시 정상적으로 부팅이 되지 않는다.

 Gennasom 랜섬웨어는 존재가 확실하지 않는 세계 빈곤 퇴치기구를 가장한 랜섬웨어로 랜섬노트에 관련 사진을 보여주면서 비트코인을 요구한다. 유포 방법이 일반적인 랜섬웨어와 다르게 특정 응용 프로그램의 업데이트 서버로 추정 되는 곳에서 Dropper 가 확인 되었다. 해당 서버의 침해여부는 조사 되지 않았다.

WannaCryptor 유포에 이용 되었던 SMB(Server Message Block) 취약점 (MS17-010) 을 이용하여 Petya 랜섬웨어가 유포 되었다. 해당 랜섬웨어는 2016년 최초 알려졌다. 다른 랜섬웨어와는 다르게 문서, 미디어 파일들도 암호화 하지만 부팅이 필요한 정보를 담고 있는 MBR (Master Boot Record) 을 변조하고, 파일의 메타 정보 (파일 크기,시간,날짜,권한, 데이터등)와 같은 중요한 정보가 담긴 MFT (Master File Table) 영역을 암호화 한다.

일부 안티 바이러스 연구가들은 6월에 발견된 Petya 는 기존에 알려진 것과 다르다고 얘기하고 있다. 안랩 역시 이러한 근거를 확인 하였다. 그 이유로는 비트코인을 지불화고 키를 받아도 MFT 를 복호화 할 수 없도록 디스크에 남겨둔 Salsa20 암호화 Key 정보를 지우는 것과 랜섬노트에 보여지는 개인 ID 역시 임의의 값으로 만들어져 공격자도 이 값으로도 누구인지 특정 할 수 없기 때문이다. 따라서 해당 Petya 는 금전적인 이득 보다는 시스템을 손상 시킬 목적으로 제작 되었다.

안랩은 진단명 기준으로 100개가 넘는 랜섬웨어의 샘플과 감염 현황을 모니터링 하고 있다. 이중에서 상위에 존재하는 15개 유형에 대하여 다음과 같이 현황을 파악해 보았다.

[그림3] 2017년 상반기 랜섬웨어 샘플 현황

Cerber 가 상대적으로 상반기 발견된 랜섬웨어에서 가장 많은 변형군을 가지고 있는 것으로 조사 되었다. 그리고 위 항목내 15개 랜섬웨어 중 Locky, SageCrypt, Matrixran, Petya, Jaff, Venuslocker, WanaCryptor Cerber 대비 발견 수는 작지만 사용자들로부터 활발히 보고 되거나 이슈가 되었다.

 2017년 상반기는 랜섬웨어로 인한 큰 보안사고가 국내외 이슈가 되었다. WannaCryptor 를 비롯하여 국내 모 호스팅 업체 서버를 노린 랜섬웨어와 취약점 전파와 디스크를 파괴하는 Petya 랜섬웨어등 랜섬웨어가 더 이상 개인이나 기업의 피해를 넘어 국가적인 사회혼란을 야기 할 만큼 보안사고의 문제로 자리 잡았다. 앞으로 불특정 다수를 노리는 랜섬웨어 감염은 랜섬웨어를 쉽게 제작 할 수 있는 서비스로 더욱 많은 변형이 쏟아져 나올 것으로 보인다.

이와 함께 올 상반기 보여졌던 랜섬웨어 공격 흐름으로 비춰 볼 때 앞으로는 특정 기업 및 국가만을 노리며 해커의 금전적인 이득 보다는 데이터 파괴 행위를 통한 기업의 업무의 연속성을 중단 시키고 국가적으로는 사회 혼란을 불러일으킬 만한 랜섬웨어 공격 형태도 예상해 볼 수 있다. 끝으로 안랩에서 정리한 상반기 랜섬웨어 동향ASEC (AhnLab Security Emergency Response Center) Report Vol.87 에 소개 되었으므로 참고하기 바란다.

 

 

 

 

 

 

 

 

신고
Posted by L0REAL