2024-03-29 18:50 (금)
랜섬웨어가 먹히는 이유, 암호화 기술 뒤에 숨겨진 전략
상태바
랜섬웨어가 먹히는 이유, 암호화 기술 뒤에 숨겨진 전략
  • 길민권
  • 승인 2016.06.18 15:24
이 기사를 공유합니다

"여러 기관에서 랜섬웨어 공격에 대비해 비트코인 사들이고 있다"
기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까? 최근 여러 기관에서 랜섬웨어 공격에 대비해 비트코인을 사들이고 있다는 연구가 있었다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책이다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없다.
 
◇지속적인 랜섬웨어의 공격
트렌드마이크로는 17일 자사 보안블로그에 <랜섬웨어가 먹히는 이유: 암호화 기술 뒤에 숨겨진 전략>이란 주제로 랜섬웨어에 대한 최근 트렌드와 대응방안에 대해 상세히 설명했다. 내용은 아래와 같다.
 
랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요하다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용해, 복호화를 어렵게 만들고 있다.
 
예를 들어보겠다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했다. 그 후, 감염된 컴퓨터를 치료해 파일 복구를 시도한다. 하지만 이 때 여러 문제점이 발생한다.
 
일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것이다. 하단의 커맨드 중 하나를 사용해 이를 실행한다.
 
vssadmin.exe Delete Shadows/All/Quiet
WMIC.exe shadowcopy delete/nointeractive
 
섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것이다. CRYPWALL, Locky, CERBER, CRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있다.
 
◇부팅 변경
마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해진다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물이다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어다.
 
◇감염 확산
랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 된다. 해당 공격 수법을 사용하는 랜섬웨어는 Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산해 감염시킨다.
 
◇백신 우회
워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사한다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동한다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것이다.
 
 
VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 한다.
 
 
◇또 다른 공격 수법
랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유해 발견되는 모든 파일을 암호화 하는 것이다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용한다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산해 데이터를 암호화 한다.
 
또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용한다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었다. CryptXXX의 경우, 피해자의 정보를 탈취해 블랙마켓에서 판매한다.
 
랜섬웨어 공격자가 취약점을 이용해 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워진다. SAMSAM은 Jexboss 익스플로잇을 악용해 네트워크를 통해 취약한 서버에 침투해 랜섬웨어 공격을 실행했다.
 
◇다층 보안 설계
파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있다. 하지만 이것은 매우 위험한 결정이라고 할 수 있다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있다.
 
랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작이다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문이다. 기업에서는 다층 보안 설계를 구축해야 한다.
 
트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공하고 있다.

★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★