올해 1분기 랜섬웨어의 감염보고 건수는 감소하는 추세에 있는 것으로 확인 되었다. 이것은 분명 좋은 소식이지만 다음 분기에도 감소 추세에 있을 것이라고는 확신 할 수 없다. 왜냐하면 랜섬웨어 변형은 계속 증가하는 추세를 보이고 있기 때문에 안심 할 수는 없다.

안랩은 홈페이지 <www.ahnlab.com> -> 보안정보 -> 월간 ’ 201704호에 <20171분기 랜섬웨어 기상도 매우 나쁨’> 이란 글을 게시하였다. 여기도 밝혔듯이 랜섬웨어는 여전히 증가하고 있으며 그 변형 또한 매우 다양한 것을 알 수 있다.

다음은 2016.10 ~ 2017.03 기간 동안 ASD (AhnLab Smart Defence) 인프라로 수집된 랜섬웨어의 샘플수량과 감염보고 건수 이다.

[그림1] 2016 4분기, 2017 1분기 랜섬웨어 통계 (샘플 및  감염보고 건수)

위 [그림1] 그래프를 보면 작년 4분기 감염보고 건수는 상승 후 올해 1분기 감소하는 추세 인데 이것은 Locky 와 TeslaCrypt 가 자취를 거의 감춘것과 관련이 있다. 작년 한 해를 통틀어 가장 많은 변형과 감염 보고건수를 차지하는 랜섬웨어는 Cerber, CryptXXX, Locky, TeslaCrypt 였다. 이중에서 CryptXXX 는 작년 3분기까지 왕성한 활동을 보이다가 4분기에 들어서면서 샘플과 감염보고 수가 급격히 감소했다.

 

Locky 랜섬웨어 경우 작년 초에 처음 보고 되었다. 초기에는 Exploit Tool Kit 으로 유포 되었고 하반기에는 다운로더 증상을 가지는 악성 자바 스크립트 (진단명: JS/Nemucod 또는 JS/Downloader 또는 JS/Obfus.S<number>) 가 포함된 스팸 메일 유형으로 대량 유포 되었다. Locky 도 작년 하반기부터 변형 발견 수가 급감 하기 시작하여 올해 1분기에는 거의 자취를 감추었다. 이러한 이유 작년 러시아내에서 사이버범죄자 체포 이후 특정 Exploit Took Kit 을 더 이상 사용 할 수 없었기 때문으로 추정된다.

 

 

작년과 올해 1분기 랜섬웨어 유포에 주로 사용된 취약점 공격 툴킷의 종류와 대표 취약점은 다음

과 같다.

 

 취약점 공격 툴킷명

 사용된 대표 취약점

 유포된 랜섬웨어

 Angler Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Locky

 Neutrino Exploit Kit

 Adobe Flash 취약점 (CVE-2015-8651)               IE 취약점 (CVE-2016-0189)

 Locky

 Magnitude Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Cerber

 

[1] 랜섬웨어 유포에 사용된 취약점 공격 툴킷명

 

 

작년 하반기부터 랜섬웨어을 제작 및 유포하는 공격자들은 취약점 이외에 위와 같은 악성 스팸 메일 형태로 유포하는 방식으로 전환 했거나 이 두가지 방법을 병행하여 사용한다. 그 예로 취약점과 결합된Malvertising 기법을 이용하여 2년 전 국내 대형 온라인 커뮤니티에서 감염 되었던 Cryptolocker (다른 이름 Teerac 또는 TorrentLocker) 는 최근 다운로더 기능이 있는 자바 스크립트 및 악성 매크로가 포함된 워드문서 파일 또는 엑셀문서 파일이 첨부된 악성 스팸 메일 형태로 유포 되고 있다. 국내에서 악명을 떨치고 있는 Cerber 랜섬웨어의 경우 작년 초는 취약점으로만 유포 되었다가 작년 하반기 취약점과 악성 스팸 메일형태 두 가지 유포 경로를 가진 적이 있었다.

 

취약점 유포 방식은 다소 감소 하는 추세에 있으며 이는 보안패치에 대한 사용자 인식이 높아진 것으로 보여진다. 하지만 악성 스팸 메일 형태의 유포 방식은 취약점 보안패치와 무관하게 사회공학기법을 이용하여 사용자들로 하여금 메일에 첨부된 파일을 실행하도록 유도 한다. 따라서 보안 패치율이 높아질수록 해당 방식의 공격은 더욱 기승을 부릴 전망으로 보인다.

 

다음 201610월부터 20173월까지 주요 랜섬웨어 변형들의 발견 현황이다.

 

 

[그림2] 주요 랜섬웨어 변형 발견 현황

 

몇 가지 랜섬웨어를 살펴보면 Cerber 가 다른 랜섬웨어 보다도 월등히 많은 변형이 보고 되었다. Cerber 2016 1분기경 처음 보고 되었으며 Magnitude Exploit Kit 을 이용하며 Malvertising 기법 으로 유포 된다. 작년 하반기부터는 .HWP 확장자도 암호화 대상 목록에 추가 되기도 했다. 최근 변형은 설치된 보안 제품을 검사하여 해당 프로그램의 모든 실행파일을 대상으로 인터넷 연결을 방해 하도록 하는 증상이 확인 되었다.

 

Locky 는 위에서 언급한 것처럼 작년에 처음 보고된 이후 Cerber 과 함께 맹위를 떨친 이후 하반하부터 급격히 변형 발견 건수가 감소 했다.

 

Nabucur 랜섬웨어는 바이러스 증상을 포함하고 있어 변형 수량은 많지만 실제 감염보고 건수는 매우 적은 편이다.

 

SageCrypt 2017 1분기 Cerber 다음으로 변형발견 및 감염보고 건수가 많았다. SageCrypt 유포지가 국내 특정 인터넷 스포츠 및 연예 언론사 웹 사이트로 확인 되었다. 플래시 취약점 (CVE-2016-4117)을 이용하여 유포 되었으며 언론사 사이트 특성상 SNS 와 같은 서비스를 통해서 기사가 공유 되므로 이와 같은 이유로 국내 감염 보고 건수와 변형 발견이 많았다.

 

SageCrypt CryLocker 변형으로 알려져 있으며 Cerber 와 유사하게 특정 VBS 파일을 생성하고 음성으로 감염 사실을 알려준다. 또한 Google MAP API 를 사용하여 감염 시스템의 SSID, MAC 주소를 쿼리한다. 이를 통해 해당 랜섬웨어의 감염분포를 파악하는 것으로 보여진다.

 

[그림2] 주요 랜섬웨어 변형 발견 현황에는 포함 되지 않았지만 약 50개의 다양한 이름으로 명명된 랜섬웨어 변형들이 발견 되었으며 그 수는 점점 증가 하고 있어 단일 랜섬웨어로 가장 변형을 가지고 있는 Cerber 보다 어떤 달은 더 많이 보고 되기도 했다. 여기서는 그 중 다음과 같은 랜섬웨어들을 간단히 언급 하도록 한다.

 

VenusLocker 는 한글로 작성된 악성 스팸 메일 형태로 주로 국내 관공서를 대상으로 유포가 되었다. 메일에 랜섬웨어가 압축파일 형태로 첨부되는 경우와 다운로더 증상이 있는 악성 매크로가 포함된 문서를 첨부하는 형태로 유포 되기도 했다. 한편 암호화된 일부 파일은 복구가 가능하다. (블로그 링크)

 

CryptoMix CryptoShield  랜섬웨어도 국내 발견 보고 되었다. 두 랜섬웨어는 랜섬노트 및 암호화 확장자가 유사하거나, 자기 복제본 생성, 윈도우 기본 유틸리티를 이용한 윈도우 복구 무력화, 암호화 대상에서 제외 되는 확장자 및 폴더 경로등이 거의 같았다. 또한 CryptoShield 랜섬노트에 자신은 CryptoMix 변형이 아니라는 내용을 담기도 했다.

 

Spora 는 바로가기 (.lnk) 파일을 생성하여 지속적인 감염을 유도한다. 일반적으로 랜섬웨어는 한번 암호화된 이후에 자신을 재실행 하도록 하는 전략은 사용하지 않는다. 그러나 Spora CryptoMix, CryptoShield 는 재부팅 이후 자신을 재실행 할 수 있도록 해둔다.

 

Spora 는 취약점을 통해서 유포 되기도 하며 Chrome 사용자들을 타켓으로 특정 사이트 방문시 허위 Popup 창을 보여주고 클릭을 유도하여 감염 되기도 한다. 또한 Cerber  유포지에서도 발견 되기도 하며 외형이 Cerber 와 유사한 변형들도 종종 발견 되었다. 해당 랜섬웨어는 암호화 이후 생성되는 랜섬노트내 정보를 이용하여 제작자와 채팅을 할 수 있도록 되어 있기도 했다. 또한 암호화된 파일 종류에 따라서 제작자에게 지불하는 비용이 달라지는 특징이 있다.

 

위에서도 살펴보았지만 랜섬웨어의 유포방식은 크게 두 가지로 최근에는 악성 스팸메일 형태로 유포 되는 경향을 주로 보인다. 그리고 Malvertising 기법을 이용하여 사용자를 의도하지 않는 웹 사이트로 유도하고 취약점을 이용하여 악성코드를 감염 시킨다. 이러한 공격에는 여러 감염 단계가 있으며 이중 하나라도 성공하지 못하면 악성코드에 감염 될 수 없다. 안티 바이러스 연구가들은 이러한 감염 단계를 연구하고 무력화 하는 방법을 개발하여 이를 제품에 반영하고 있다. 이제 사용자 스스로 조심하는 단계는 이미 지났으며 보안 제품을 이용한 보호만큼 자동화 되고 안전한 것은 없다.

 

 

 
신고
Creative Commons License
Creative Commons License
Posted by L0REAL