ASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Transcription

1

2 ASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다 년 2 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 재프랜섬웨어, 제 2 의록키되나 04 상반기결산 1H THREAT REVIEWS 2017 년상반기랜섬웨어동향분석 12 2

3 보안이슈 SECURITY ISSUE 재프랜섬웨어, 제 2 의록키되나

4 보안이슈 재프랜섬웨어, Security Issue 제 2 의록키되나 지난 2017 년 5 월안랩은클라우드기반의악성코드위협분석및대응시스템인 ASD(AhnLab Smart Defense) 를통해재프 (Jaff) 랜섬웨어가국내에급속도로유포되고있는정황을포착했다. 지난 5월에발견된재프랜섬웨어는네커스 (Necurs) 봇넷을이용한스팸메일을통해유포된랜섬웨어로전세계 600만대이상의 PC를감염시키며막대한피해를입혔다. 네커스봇넷은금융정보탈취악성코드인드라이덱스 (Dridex) 와록키 (Locky) 랜섬웨어유포에활용되었던스팸봇넷으로알려져있다. 이에국내외보안업체들은새로운록키랜섬웨어의등장, 세대를교체한록키랜섬웨어등여러가능성을제기하고있다. 재프랜섬웨어는 2017 년 2 분기에새롭게등장했지만스팸메일을통해불특정다수에게동시다발적 으로유포되어꾸준히감염피해가이어졌다. 이와관련해재프랜섬웨어의동작과정, 그리고일련의 암호화과정등을상세히살펴본다. 1. 유포방식 먼저재프랜섬웨어가유포되어사용자 PC 를감 염시키는일련의과정을살펴보자. 재프랜섬웨 어는 [ 그림 1-1] 과같이네커스봇넷을이용한악 그림 1-1 재프랜섬웨어의유포과정 4

5 성스팸메일을통해유포된다. 사용자가메일에첨부된 PDF 문서가포함하고있는 *.docm 형식의워드파일을실행하면, 워드파일에숨어있던악성매크로가실행되면서사용자 PC가재프랜섬웨어에감염된다. 그림 1-2 PDF 내부에존재하는스크립트에의한 *.docm 실행 사용자가첨부파일인 PDF 문서를열면 [ 그림 1-2] 와같이 첨부된.docm 파일을실행하라 는내용 의메시지창이나타난다. 이때사용자가 docm 확장자의워드파일을실 행하고 [ 그림 1-3] 과같이매크로사용버튼을 누르게되면 docm 파일은특정 URL 로부터인 코딩된바이너리를내려받는다. 그림 1-3 *.docm 파일실행화면 악성매크로가실행되면서내려받은바이너리는 32 바이트 (byte) 길이의 XOR 키값을통해디코딩 된다. 디코딩과정이모두완료되면최종적으로랜섬웨어가실행되면서사용자 PC 의파일들이암호 화된다. 그림 1-4 *.docm 파일내부에존재하는 XOR 키값 5

6 2. 동작과정다음은실행된재프랜섬웨어의동작과정을살펴보자. 재프랜섬웨어는윈도우 (Windows) 에서제공하는전력관리 API인 GetSystemPowerStatus를이용해시스템의배터리절약모드사용여부와언어환경에따라감염여부를결정한다. 배터리절약모드기능은윈도우 10 노트북에기본으로탑재되는기능중하나로, [ 그림 1-5] 와같이배터리아이콘을클릭하면배터리절약모드를사용하고있는것을확인할수있다. 재프랜섬웨어는 [ 그림 1-6] 과같이배터리절약모드의플래그 (Flag) 값을확인하여사용자가배터 그림 1-5 배터리절약모드 BYTE ACLineStatus; BYTE BatteryFlag; BYTE BatteryLifePercent; BYTE SystemStatusFlag; -> 배터리절약모드 Flag 값 (0 이면사용 x, 1 이면사용 ) DWORD BatteryLifeTime; DWORD BatteryFullLifeTime; 표 1-1 GetSystemPowerStatus API 에서사용하는 SYSTEM_ POWER_STATUS 구조체 리절약모드를사용하는경우에는감염을진행하지않고자기자신을종료한다. 또한사용자 PC의언어환경을확인하여러시아어환경의 PC일경우에도감염을진행하지않고종료한다. 러시아는공격대상이아닌것으로추정되는이유다. 그림 1-6 감염여부결정루틴 6

7 재프랜섬웨어는 [ 그림 1-6] 과같은루틴을통 해감염여부가결정되면파일암호화를진행하 며, 변형에따라암호화한파일의확장자를.jaff,.wlu,.svn 으로변경한다. 그림 1-7 재프랜섬웨어에의해감염된파일 재프랜섬웨어는암호화대상파일의확장자를랜섬웨어프로세스메모리공간에저장한다. CD- ROM 드라이브를제외한나머지루트디렉터리에존재하는파일들의확장자를하나씩비교하여해당파일이암호화대상확장자와일치할경우암호화를진행한다. 재프랜섬웨어가암호화하는확장자는 [ 표 1-2] 와같다..xlsx.acd.pdf.pfx.crt.der.cad.dwg.MPEG.rar.veg.zip.txt.jpg.doc.wbk.mdb.vcf.docx.ics.vsc.mdf.dsr.mdi.msg.xls.ppt.pps.obd.mpd.dot.xlt.pot.obt.htm.html.mix.pub.vsd.png.ico.rtf.odt.3dm.3ds.dxf.max.obj.7z.cbr.deb.gz.rpm.sitx.tar.tar.gz.zipx.aif.iff.m3u.m4a.mid.key.vib.stl.psd.ova.xmod.wda.prn.zpf.swm.xml.xlsm.par.tib.waw contact.dbx.jnt.mapimail.oab.ods.ppsm.pptm.prf.pst.wab.1cd.3g2.7ZIP.accdb.aoi.asf.asp.aspx.asx.avi.bak.cer.cfg.class.config.css.csv.db.dds.fif.flv.idx.js.kwm.laccdb.idf.lit.mbx.md.mlb.mov.mp3.mp4.mpg.pages.php.pwm.rm.safe.sav.save.sql.srt.swf.thm.vob.wav.wma.wmv.xlsb.aac.ai.arw.c.cdr.cls.cpi.cpp.cs.db3.docm.dotm.dotx.drw.dxb.eps.fla.flac.fxg.java.m.m4v.pcd.pct.pl.potm.potx.ppam.ppsx.ps.pspimage.r3d.rw2.sldm.sldx.svg.tga.wps.xla.xlam.xlm.xltm.xltx.xlw.act.adp.al.bkp.blend.cdf.cdx.cgm.cr2.dac.dbf.dcr.ddd.design.dtd.fdb.fff.fpx.h.iif.indd.jpeg.mos.nd.nsd.nsf.nsg.nsh.odc.odp.oil.pas.pat.pef.ptx.qbb.qbm.sas7bdat.say.st4.st6.stc.sxc.sxw.tlg.wad.xlk.aiff.bin.bmp.cmt.dat.dit.edb.flvv.gif.groups.hdd.hpp.log.m2ts.m4p.mkv.ndf.nvram.ogg.ost.pab.pdb.pif.qed.qcow.qcow2.rvt.st7.stm.vbox.vdi.vhd.vhdx.vmdk.vmsd.vmx.vmxf.3fr.3pr.ab4.accde.accdt.ach.acr.adb.srw.st5.st8.std.sti.stw.stx.sxd.sxg.sxi.sxm.tex.wallet.wb2.wpd.x11.x3f.xis.ycbcra.qbw.qbx.qby.raf.rat.raw.rdbrwl.rwz.s3db.sd0.sda.sdf.sqlite.sqlite3.sqlitedb.sr.srf.oth.otp.ots.ott.p12.p7b.p7c.pdd.pem.plus_muhd.plc.pptx.psafe3.py.qba.qbr.myd.ndd.nef.nk.nop.nrw.ns2.ns3.ns4.nwb.nx2.nxl.nyf.odb.odf.odg.odm.ord.otg.ibz.iiq.incpas.jpe.kc2.kdbx.kdc.kpdx.lua.mdc.mef.mfw.mmw.mny.moneywell.mrw.des.dgc.djvu.dng.drf.dxg.eml.erbsql.erd.exf.ffd.fh.fhd.gray.grey.gry.hbk.ibank.ibd.cdr4.cdr5.cdr6.cdrw.ce1.ce2.cib.craw.crw.csh.csl.db_journal.dc2.dcs.ddoc.ddrw.ads.agdl.ait.apj.asm.awg.back.backup.backupdb.bank.bay.bdb.bgt.bik.bpw.cdr3.as4.tif.asp.hdr.iso 표 1-2 암호화대상파일확장자 파일암호화가모두완료되면 [ 그림 1-8] 과같 은랜섬노트를띄워사용자에게감염사실을 알린다. 그림 1-8 랜섬노트 7

8 3. 암호화 / 복호화방식 재프랜섬웨어가파일을암호화및복호화하는일련의과정은다음과같다. 재프랜섬웨어는파일암 / 복호화를위해 AES-256 대칭키알고리즘을사용한다. 또한 CryptGenKey API 를활용하여 AES-256 알고리즘에사용되는무작위의키블랍 (Binary Large Object, BLOB) 데이 터를생성한다. 한번생성한키블랍데이터는모든암호화대상파일의키로사용된다. 1 CryptGenKey API를활용하여 AES-256 키블랍데이터생성 2 리소스섹션의 RCDATA 영역에위치한데이터, 사용자 decrypt ID, AES-256 키블랍데이터정보들을특정암호화데이터로인코딩 3 1에서생성한 AES-256 키블랍데이터를사용하여 CBC 모드로파일암호화를진행 4 암호화된파일의헤더부분에 2 에서생성한 인코딩데이터덧붙임 그림 1-9 재프랜섬웨어암호화과정 재프랜섬웨어는 [ 그림 1-9] 와같은과정을통해파일을암호화한후, [ 그림 1-10] 과같이암호화가완료된파일데이터앞부분에키의길이정보, 키데이터, 복구에사용될파일크기정보를저장한다. 그림 1-10 암호화된파일의구조 8

9 앞서언급한바와같이암호화과정에서최초생성된 AES-256 대칭키데이터는모든파일암호화에 이용된다. 이때암호화된파일에저장할키데이터를생성하기위해사용자 decrypt ID 정보, AES- 256 키블롭데이터정보, RCDATA 영역에저장된고정된 0x104 크기의데이터가사용된다. 그림 1-11 RCDATA 영역에위치한 0x104 크기의데이터 최근유포된재프랜섬웨어는지난 5월에유포된재프랜섬웨어와 RCDATA 영역의고정된 0x104 크기의데이터가같다. 따라서랜섬노트에적힌사용자의 decrypt ID 정보만얻을수있다면파일암호화에사용된 AES-256 키블롭데이터정보를추출할수있고, 추출된키블롭데이터정보를통해암호화된파일들은모두복호화가가능하다. 표 1-3 C&C 서버정보 재프랜섬웨어가접속하는 C&C 서버의주소는 [ 표 1-3] 과같으며, 상세주소값은변형마다다르다. 재프랜섬웨어의특징적인점은다른랜섬웨어와달리 C&C 서버에서받아온데이터로특정명령을수행 하거나감염된 PC 정보를 C&C 서버로전송하는것이확인되지않았다는점이다. 이를통해재프랜섬웨 어 C&C 서버의용도는주로감염자의수치를파악하기위한것으로추정된다. 9

10 이번에발견된재프랜섬웨어의경우키블롭데이터를통해암호화된파일의복호화가가능했지만, 일단대부분의랜섬웨어에감염되면암호화된파일을완벽하게복구하는방법은없다. 따라서랜섬웨어피해를최소화하기위해서윈도우보안패치및 V3 백신프로그램을항상최신업데이트상태로유지하는등의평소예방을수행하는것이무엇보다중요하다. 특히재프랜섬웨어와같이스팸메일에첨부된파일을통해불특정다수에게무작위로유포되는랜섬웨 어가꾸준히발견되고있으므로, 평소신뢰할수없는메일의첨부파일을실행할때에도사용자의각별한 주의가요구된다. V3 제품군에서는재프랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군진단명 > Trojan/Win32.Jaff ( ) Trojan/Win32.JaffCrypto ( ) 10

11 상반기결산 1H THREAT REVIEWS 2017 년상반기랜섬웨어동향분석

12 상반기결산 2017 년상반기 1H Threat Reviews 랜섬웨어동향분석 전세계에막대한피해를입힌랜섬웨어폭풍이 2017 년에도그칠기미가보이지않는다 년상반기랜섬웨어위협은적색경보수준에이르렀다. 한동안잠잠했던록키 (Locky) 랜섬웨어가귀환한데이어새로운기능을탑재한케르베르 (Cerber) 랜섬웨어도더욱강력하게활동중이다. 특히지난 5월초에등장한워너크립터 (WannaCryptor) 는단시간에확산되며세계곳곳의주요기관및기업을마비시켰다. 한편 2016 년부터본격적으로파일을암호화하는랜섬웨어가등장하면서랜섬웨어의수익모델과시장 이형성된데이어올해상반기에는시장확대와함께고수익추구등의경향이두드러지게나타났다. 이와관련해안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는주요랜섬웨어를중심으로 2017 년상반기랜섬웨어의동향을분석했다. 1. 상반기랜섬웨어의주요특징초기랜섬웨어는 PC 바탕화면의아이콘과시작버튼을선택할수없도록한다음돈을요구하는 화면잠금형랜섬웨어 가주류를이뤘다면, 지난 2015년부터는사용자의파일 그림 년대규모유포된크립토락커 (CryptoLocker) 랜섬웨어 을암호화하는 데이터잠금형 (Data Locker) 12

13 랜섬웨어 가본격적으로유포되기시작했다. 크립토락커 (CryptoLocker), 크립토월 (CryptoWall), CTB 락커 (CTBLocker), 나부커 (Nabucur), 테슬라크립트 (TeslaCrypt) 등이대표적인예이다. 랜섬웨어는주로스팸메일을통해유포되거나, 인터넷익스플로러, 자바, 플래시플레이어등의응용프로그램취약점을악용하는익스플로잇킷 (Exploit Kit) 을이용해유포된다. 랜섬웨어의공통적인특징은파일암호화가완료된후파일에고유한확장자명을추가한다는점이다. 또한 PC의바탕화면을변경하고암호화사실을알리는메시지창을띄워결제를유도하는행위를보인다. 최근유포되고있는랜섬웨어의감염증상들을정리하면다음과같다. 그림 2-2 최근랜섬웨어특징 1) 암호화대상범위확대 랜섬웨어가암호화하는대상파일이사용자가주로사용하는문서파일과그림파일뿐아니라데이 터베이스저장파일이나이메일백업파일과같은다양한확장자로확대되었다. 2) 다국어지원 초기에는사용자에게암호화사실을알리고지불을요구하는감염메시지나랜섬노트에영어, 러시아 13

14 어등의제한적인언어만사용되었지만최근에는스페인어, 독일어, 포르투갈어, 이탈리아어, 아랍어, 한국어등다양한언어를지원한다. 3) 복구방해 일부취약하게만들어졌거나복호화마스터키가공개된랜섬웨어를제외하고, 대부분의랜섬웨어는 고도의암호화기법을사용하여자체복구가불가능하다. 4) 익명통신사용자의추적이불가능하도록하기위해암호화익명통신기술인토르 (Tor) 를이용한다. 특히비트코인지불, C&C 서버통신과같은경우대부분토르네트워크를이용한다. 랜섬웨어자체에토르클라이언트프로그램이포함된경우도있다. 5) 비트코인요구 사용자의데이터를암호화하고비트코인을요구한다. 초기에는온라인결제서비스와신용카드결제 를이용하여달러나유로화로도지불이가능했지만, 최근에는대부분비트코인으로결제를요구한다. 6) 복구기능비활성화 감염즉시볼륨쉐도우카피 (Volume Shadow Copy) 영역을삭제하여, 윈도우의자체백업데이터 를이용한복구를불가능하게한다. 7) 확장자명변경사용자가파일이암호화된것을알아차릴수있도록대부분의랜섬웨어는암호화가완료된파일의확장자명을변경하거나추가한다. 일부는파일명도함께변경한다. 매우드물지만확장자명을변경하지않는경우도있다. 14

15 안랩통계분석결과, 랜섬웨어는이미초기등장기와성장기를넘어관련시장이형성된성숙기에접어든것으로볼수있다. 이는월별발견된랜섬웨어종류의수를통해서도확인할수있다. 2016년상반기에는월별랜섬웨어가순차적으로증가했다면, 2017년상반기는 [ 그림 2-3] 과같이 1월부 터 6 월까지고르게다수발견되는양상을보였다. 그림 년월별랜섬웨어발견수 2017년상반기에발견된랜섬웨어종류또한 2016년에비해훨씬다양해졌다. 2017년 1월부터 6월까지약 79종의랜섬웨어가발견되었는데, 이는전년도동일기간동안발견된 65종을훨씬웃도는수치다. 이와같이랜섬웨어종류가빠르게증가할수있었던원인은 2016년상반기부터는서비스형랜섬웨어인 RaaS(Ransomware as a Service) 랜섬웨어의등장과함께오픈소스를이용한랜섬웨어제작이활성화되었기때문이다. 특히 2017년에는이와같은제작방식이더욱일반화되면서랜섬웨어종류가폭발적으로증가했다. 한편 2015년 1월부터 2017년 4월까지 ASEC에접수된랜섬웨어문의관련통계를확인해보면, 2017년초부터이미상당수의문의가접수된것을확인할수있다. 2017년상반기에는록키랜섬웨어의활동이잠시주춤했지만, 케르베르랜섬웨어와오픈소스기반의랜섬웨어관련문의, 그 그림 2-4 랜섬웨어관련문의추이 리고랜섬웨어를유포하는스팸봇넷관련문의 가다수접수된바있다 년에는신종랜섬웨어뿐만아니라기존랜섬웨어의변형도다수발견된것이특징이다. 특히 15

16 1분기에잠시활동이없었던록키랜섬웨어가 2분기인 4월중순에다시복귀했다. 또한 2월에는케르베르랜섬웨어가윈도우방화벽차단목록으로 PC에설치된보안제품을추가하는버전 6으로다시등장했다. 5월에는윈도우의 SMB(Server Message Block) 취약점을악용하여확산된워너크립터 (WannaCryptor) 랜섬웨어가전세계적으로악명을떨쳤다. 그림 년발견된랜섬웨어목록 2017년상반기랜섬웨어동향은 진화 라는단어로정의할수있다. 기존기능과더불어윈도우취약점과윈도우보안기능을악용하는방법을추가하여기능을더욱강력하게개선했다. 이밖에상반기에발견된랜섬웨어의주요특징들을정리하면다음과같다. 그림 년상반기랜섬웨어의주요특징 16

17 1) 부익부빈익빈극대화 2016년 3월발견된케르베르는여전히건재함을과시하며, 2017년 2월에윈도우의방화벽차단기능을악용한버전 6로돌아왔다. 또한워너크립터는윈도우취약점을이용하여전세계적으로막대한감염피해를입혔다. 한편유포경로의한계로인해록키는 1분기에자취를감췄고, 그밖에다양하게발견된신종랜섬웨어도큰영향력을발휘하지는못했다. 2) 재활용의일반화기존에발견된비너스락커 (VenusLocker), 크립토믹스 (CryptoMix), 크라이시스 (Crysis) 랜섬웨어의변형이다수발견되었다. 과거의랜섬웨어를재활용하면제작자는투입되는노력을최소화하면서수익을추구할수있기때문이다. 3) 오픈소스의대중화오픈소스랜섬웨어인 EDA2, 히든티어 (Hidden Tear) 의코드를활용한랜섬웨어가 2017년상반기에도지속적으로발견되었다. 프로그래밍능력이있으면누구나제작할수있기때문에점차대중화되어가고있다. 4) 서비스형랜섬웨어 (Ransomware as a service, RaaS) 의보편화 2016년 RaaS 랜섬웨어는그등장만으로큰이슈였다. 웹이나제너레이터 ( 빌더 ) 를이용한제작수단과웹페이지를통한수익관리가간편화되었기때문이다. 2017년은제작자의수익증대목적으로다크웹에서자리를잡은 RaaS가더욱보편화되고있다. 5) 익스플로잇킷 (Exploit Kit, EK) 의몰락과스팸활성화 2016 년은각종익스플로잇킷을활용한랜섬웨어의유포가활성화되었다. 하지만그중뉴클리어 (Nuclear) EK, 앵글러 (Angler) EK 는현재사라졌다 년상반기에는리그 (RIG) EK 를중심으로여전 17

18 히익스플로잇킷이활동중이지만, 전체적인 EK 의활동이작년의 10% 수준으로눈에띄게감소했다. 6) 기술의고도화쉐도우브로커스 (Shadow Brokers) 가공개한 SMB(Server Message Block) 취약점인이터널블루 (Eternal Blue) 를악용한워너크립터, 윈도우의보안기능인방화벽차단목록을악용한케르베르버전 6과같이랜섬웨어에적용된기술이갈수록고도화되고있다. 2. 유포방식의변화랜섬웨어의주요유포기법은크게 2가지로나눌수있다. 스팸메일의첨부파일을통한랜섬웨어대량감염유도와보안이취약한사이트를악용하여익스플로잇킷을통해랜섬웨어를유포하는드라이브-바이-다운로드 (Drive-by-download) 방식이다. 2017년에는이들주요유포방식에어떤변화가있었는지살펴보자. 1) 스팸메일을통한유포증가가장전통적인악성코드유포기법인스팸메일은여전히가장강력한수단으로악명을떨치고있다. 시스코 (CISCO) 에서발표한자료에따르면올해상반기스팸메일은 2016년초반에비해급증했고, 전체이메일트래픽의 65% 를차지했으며스팸메일의 80% 가악성파일을첨부한것으로나타났다. 그림 2-7 사회공학기법을이용한스팸메일 18

19 특히스팸메일을통한유포는사용자가메일을열람하고첨부파일을실행해야하기때문에사용자의의심을피하기위한사회공학적기법이동반된다. 주로이벤트, 경품, 배송관련메일로위장하며, 최근에는개인정보유출사고관련메일이나공공기관을사칭한메일도다수발견되고있다. 또한최근에는실행파일, 압축파일, 스크립트파일이첨부된메일에대한차단이강화되고있기때문에보안솔루션을우회하기위한기법이적용되고있다. 록키랜섬웨어는스팸메일을통해랜섬웨어가유포된대표적인사례다. 해외에서가장유명한금융악성코드중하나인드라이덱스 (Dridex) 악성코드를유포해온네커스 (Necurs) 봇넷에의해록키랜섬웨어가유포되기시작하면서전세계적으로피해가발생했다. 하지만 2016년 12월 25일전후로네커스봇넷은록키의유포를중단하였는데이는록키랜섬웨어가자취를감추는가장큰원인이되었다. 그림 2-8 록키유포주역인네커스봇넷활동타임라인 올해 2017 년에도네커스봇넷이디도스 (DDoS) 기능을추가한악성코드를 2 월에유포하였고, 3 월에 는주가조작을시도하는스팸메일을대량으로유포했다. 이어서 4 월에는네커스봇넷의주요악성 코드인드라이덱스를다시유포하기도했다. 또한네커스봇넷을통해온라인데이트신청으로가장한스팸메일을보내는데이팅스팸이유포된사례도다수발견되었다. 데이팅스팸의경우또다른봇넷인켈리호스 (Kelihos) 봇넷의주요활동영역이었는데, 4월 10일해당봇넷운영자가체포된이후네커스봇넷이해당영역을이어받아활동한것으로추정된다. 19

20 현재까지확인된네커스봇넷의가장최근활동은 5월중순경재프랜섬웨어를유포한것이다. 재프랜섬웨어는록키랜섬웨어에서사용된지불사이트의레이아웃및 HTML 코드를도용하여사용한것으로유명한랜섬웨어다. 그러나록키와재프랜섬웨어의제작자가동일한지여부와, 앞으로네커스봇넷이지속적으로재프랜섬웨어를유포할지여부는더지켜봐야할것으로보인다. 2) 익스플로잇킷사용의감소 2017년에는익스플로잇킷 (EK) 을사용한유포방식이 2016년대비큰폭으로감소한것으로확인됐다. EK는인터넷익스플로러, 플래시플레이어, 자바, 실버라이트등의프로그램의취약점을발생시키는스크립트코드를자동으로생성하는프로그램이다. EK를통해스크립트코드를보안이취약한웹사이트에미리심어놓으면, 해당프로그램의최신버전을사용하지않는사용자가해당사이트를방문시악성사이트로자동으로연결되어사용자 PC에악성코드가다운로드된다. 2015년에는뉴클리어, 2016년상반기에는앵글러 EK가활발하게활동했으며, 랜섬웨어감염에큰역할을했다. 특히웹사이트에온라인광고를제공하는업체의서버를악용하여악성파일을유포하는멀버타이징 (Malvertising) 방식도랜섬웨어유포에많이사용되었다. 2016년국내커뮤니티사이트를통해악성코드가유포된것도이러한 그림 2-9 EK 를통한악성코드감염과정 방식으로유포된것이다. 여기서주목할만한점은 2017 년에는 EK 의활동이급격하게감소했다는점이다. 마이크로소프트 (Microsoft) 에서발표한자료에따르면, 2016 년의최대치에비해 25% 수준으로감소한것으로나 타났다. 20

21 감소요인중하나로 2016년 7월부터앵글러 EK가활동을중단한점을꼽을수있다. 이후뉴트리노 (Neutrino) EK가그자리를차지하는것같았지만, 뉴트리노 EK 역시공개적인활동대신소수의사용자에게만서비스를제공하는프라이빗 (Private) 형태로활동방식을변경하면서 2016년 10월이후활동이급격히감소했다. 이후리그 (RIG) EK가주도적인위치로부상하며지금까지활동하고있지만, 전체적인 EK의활동이감소함에따라 2016년과같은대규모유포형태는확인되지않고있다. 이외에도해외에서발견된선다운 (Sundown) 과테러 (Terror) EK은존재하지만아직국내에서큰피해를발생시키지는않았다. 결론적으로 2017년에는 EK의활동은큰폭으로감소했지만국내에서는여전히멀버타이징및 EK에의한랜섬웨어감염사례가지속적으로발견되기때문 에항상주의를기울여야한다. 그림 2-10 전체적인 EK 의활동감소 (* 출처 : 마이크로소프트 ) 년상반기랜섬웨어공격 Top 년에이어 2017년상반기에도다수의랜섬웨어피해사례가발견되었다. 데이터베이스자체를암호화시킨사례도발견되었을뿐만아니라공공, 서비스, 비영리, 교육등다양한영역으로랜섬웨어의피해범위가확산되었다. 2017년상반기에나타난랜섬웨어중가장특징적인랜섬웨어사례 10건은다음과같다. 1) 데이터베이스서버공격한랜섬웨어 2017년 1월부터 2월까지, 약두달에걸쳐데이터베이스를암호화하는공격이발견되었다. 1월 3일에는오픈소스프로그램인몽고DB(MongoDB) 서버, 13일에는분산형검색및분석엔진인엘라스틱서치 (ElasticSearch) 서버에대한암호화공격이발견되었으며 18일에는빅데이터를처리할수있는오픈 21

22 소스프레임워크인하둡 (Hadoop) 서버에대한암호화공격이확인됐다. 또한 2월 25일에는오픈소스데이터베이스프로그램으로널리사용되고있는 MySQL 서버에대한암호화공격도발견되었다. 이러한데이터베이스관련서버공격은서버에저장된대량의데이터에대해피해를발생시킬수있기때문에각별한주의가요구된다. 서버관리자는운영프로그램에대한보안업데이트를꾸준히설치하고, 사용자접근제어등의보안대책을강화할필요가있다. 그림 2-11 데이터베이스서버관련공격흐름 2) 공공, 서비스, 비영리, 교육영역으로확산된랜섬웨어 미국에서 2017 년 1~2 월사이에공공, 서비스, 교육등여러영역에걸쳐다수의랜섬웨어피해사례가 확인되었다. 그림 2-12 공공, 서비스, 비영리, 교육영역으로랜섬웨어피해확대 가장먼저 1월 10일에는미국 LA 지역대학에서랜섬웨어에대량감염되는사고가발생했고, 20일에는미국세인트루이스지역공공도서관이랜섬웨어에감염되어도서대여및출납업무가마비된사례도있었다. 이어서 26일에는미국텍사스주콕렐힐시 ( 市 ) 에서록키랜섬웨어에감염피해가발생하여 8년간의수사증거물들이훼손되는사고가발생했다. 1 월 30 일에는미국워싱턴 DC 에서의 HDD 크립터 (HDDCryptor) 감염으로 CCTV 시스템들이작동하 22

23 지않은사고가있었는데, 미국트럼프대통령의취임식이있었던시기와겹쳐큰주목을받았다. 마지막으로 2월 3일에는미국오하이오주행정기관이랜섬웨어에감염되어업무가마비된사고도있었다. 이들은모두랜섬웨어가개인 PC의데이터손상을넘어공공및서비스등의마비를초래한대표적사례로, 공공영역으로랜섬웨어피해가확대되었다는점에주목할필요가있다. 3) MBR 영역을덮어쓰는킬디스크 ( ) 2016년 11월샌프란시스코의경전철운행을중단시킨사고와 2017년 1월 30일워싱턴 DC의 CCTV가마비된사건은모두 MBR 영역을암호화하는 HDD크립터랜섬웨어에의한것이었다. MBR 영역을암호화하는랜섬웨어는페트야 (Petya) 를시작으로다수발견되었지만, 2017년 1월에킬디스크 (KillDisk) 라는새로운 MBR 암호화랜섬웨어가발견되었다. 기존의킬디스크는산업분야를대상으로하는표적공격에사용되던악성코드로, 데이터복구가불가능하도록완전히삭제시키는디스크와이핑 (Disk Wiping) 악성코드였다. 대표적으로우크라이나의블랙에너지 (Black Energy) 사이버공격 그림 2-13 MBR 영역을덮어쓰는킬디스크 (KillDisk) 을비롯한여러공격에사용된것으로유명하다. 이와같은기존악성코드에서디스크와이핑기능이제거되고, MBR 영역과사용자의데이터를암호화하는기능이추가된것이현재의킬디스크랜섬웨어다. 윈도우와리눅스운영체제를모두공격대상으로하고있으며, 222 비트코인을요구했다. 당시시세로 2억 8천만원상당이고, 최근시세로는약 5억 5천만원에달하는아주큰금액이다. 4) 국내대상사회공학기법이용한비너스락커 (VenusLocker) ( ~ ) 비너스락커 (VenusLocker) 랜섬웨어자체는새로운랜섬웨어가아니다. 지난 2017 년 1 분기 ASEC 리 23

24 포트에서도다룬바있는비너스락커는이미지난 2016년 8월초에발견된적이있으며, 오픈소스랜섬웨어인 EDA2의변형으로알려져있다. 주로사회공학기법을이용해기관과기업사용자를대상으로유포된것으로확인된비너스락커는 2017년 1월사내내부지침사항과블로그사진수정을요구하는고소장으로위장한메일을통해유포되었다. 2월에는병역지정업체대상교육일정안내위장메일, 4월에는 2016년에발생한국내쇼핑사이트의개인정보유출관련메일로위장하여유포되었다. 그림 2-14 국내사용자대상으로사회공학기법을이용한비너스락커 (VenusLocker) 첨부파일로는.egg,.zip,.7z 압축파일을이용했고, 압축파일내부에는문서파일 (.doc) 로위장한바 로가기 (.lnk) 파일과사진파일 (.jpg) 로위장한실행파일 (.exe) 이포함되어있다. 바로가기파일을통해 문서파일확장자명으로위장한 EXE 실행파일을실행하는구조다. 5) 지불옵션이다양화된스포라 ( ) 스포라 (Spora) 랜섬웨어는다른랜섬웨어와크게다르지않지만, 랜섬웨어에감염된피해자에게다양 한지불옵션을제공한다는점이특징이다. 스포라가제공하는옵션중에서필요한기능만별도로구입할수도있다. 무료복구는 2 개까지가능 24

25 하고, 전체복구는 79달러, 재감염을방지하는면역기능은 50달러, 랜섬웨어관련파일제거는 20달러, 일부파일복구는 30달러를요구한다. 지불페이지가영어와러시아어를사용하는것으로보아러시아언어권사용자를대상으로 한것으로보인다. 그림 2-15 지불옵션이다양화된스포라 (Spora) 6) 보안제품업데이트를방해하는케르베르버전 6 ( ) 케르베르 (Cerber) 는 2016년 3월에최초발견된후가장오랜기간동안활발하게활동하고있는랜섬웨어로암호화사실을음성으로알려주는최초의랜섬웨어다. 록키와마찬가지로대부분스팸메일로유포되며, 첨부하는파일형식이 DOCX, DOCM, HTA, VBS 등으로지속적으로변경되었다. 암호화된파일에 CERBER 확장자명을추가하며, 버전 3까지는 CERBER3과같이숫자를추가하여버전을구분했다. 버전 4 이후로는무작위 4글자확장자명을추가하며, 크리스마스버전발표이후활동이잠잠해졌다. 이번 2017 년 2 월에새롭게발견된케르베르버전 6 는윈도우보안센터에등록된보안제품실행경로 를윈도우방화벽차단목록에추가하여정상적인보안제품의동작을방해하는것이가장큰특징이다. 그림 2-16 윈도우방화벽차단목록에보안제품을추가하는케르베르버전 6 25

26 7) 게임사용자노린렌센웨어 ( ) 2017년 4월에발견된 렌센웨어 (RensenWare) 는무엇보다한국인사용자에의해만들어졌다는사실때문에세계적으로유명해졌다. 국내유명커뮤니티사이트사용자에의해제작되었으며, 금전을요구하지않고제작자가지정한게임에서 2억점이상획득해야파일을복구할수있는점이특징적이다. 재미있는사실은제작자도해당랜섬웨어에감염되어스스로소스코드를공개하고, 복구툴과사과문까지발표했다는것이다. 또한렌센웨어는모든드라이브를대상으로암호화하도록되어있으나, 예외처리가제대로되어있지않아 CD- ROM 부분에서오류가발생하는버그도존재한다. 암호화되면 RENSENWARE라는확장자명을추가하며게임프로세스를강제로종료하면 그림 2-17 게임에서고득점요구하는렌센웨어 (RensenWare) 파일의복구는불가능하다. 8) 다시돌아온록키 ( ) 2016 년케르베르와함께랜섬웨어양대산맥을구축했지만 2017 년부터갑자기종적을감췄던록키 (Locky) 랜섬웨어가지난 4 월다시등장했다. 그림 2-18 록키 (Locky) 의귀환 이번에발견된록키랜섬웨어의암호화방식과랜섬노트는작년말에활동하던방식과동일하지만, 26

27 유포방식의경우사용자가스팸메일에첨부된 PDF 파일을실행하면악성 DOCM 파일을다운로 드하고실행하도록유도하는방식으로변경되었다. 9) 윈도우취약점을악용한역대급랜섬웨어, 워너크립터 ( ) 지난 2017년 4월, 해킹그룹쉐도우브로커스 (Shadow Brokers) 가 이터널블루 (Eternal Blue) 라는윈도우운영체제취약점을공개했다. 해당취약점을악용한워너크립터 (WannaCryptor) 랜섬웨어는 5월 12일전세계적으로확산됨과동시에약 120여개국에있는 25만대이상의 PC에감염피해를입혔다. 워너크립터는이미지난 4 월 12 일에국내에서도언급된바있어, 새로운랜섬웨어라고하기는어렵 다. 해외에서는 WCry, WannaCry, WannaCrypt0r, WannaCrypt 등의이름으로알려져있고, 안 랩에서는워너크립터 (WannaCryptor) 라는명칭으로통일하여사용한다. 워너크립터는이터널블루라는 SMB(Server Message Block) 프로토콜취약점과악성코드감염기법인 더블펄사 (Double Pulsar) 를통해급속도로확산되었다. 특히해당기법은감염된 PC 가연결된 LAN 네 트워크상의다른 PC 를감염시키는기법으로워너크립터가더욱빠르게퍼져나간요인으로작용했다. 한편이터널블루취약점을이해하기위해서는쉐도우브로커스라는해킹그룹을주목할필요가있다. 이미 2013년에에드워드스노든이미국국토안보국 (NSA) 의프리즘 (PRISM) 이라는사이버감시및첩보활동에대해폭로한적이있다. 특히 2016년 8월에쉐도우브로커스가 NSA에서사용한해킹툴들을유출한사건이발생하면서 NSA의감시활동은거의사실로받아들여졌다. 그림 2-19 쉐도우브로커스 (Shadow Brokers) 의해킹툴공개 27

28 쉐도우브로커스는지난 2017년 1월 10일 10억달러 ( 약 1조 2천억원 ) 에해당해킹툴판매를시도하다가실패한이후, 4월 8일에해당툴을인터넷에공개해버린바있다. 이어서 4월 22일에는이터널블루와더블펄사기법을공개했다. 해당기법은윈도우운영체제에서사용하는 SMB 프로토콜취약점에대한것이므로이미 3월에마이스로소프트에서해당취약점에대한보안업데이트를발표했다. 그러나당시에는윈도우 XP, 2003 등지원이종료된운영체제에대한보안업데이트는제공하지않아, 5월 12일에구버전운영체제를포함하는긴급패치를추가로발표했다. 워너크립터는유포되는압축파일내부에있는파일을해당국가에맞는버전으로압축해제한다. 한국어를포함한다양한언어를지원하며감염되면토르 (Tor) 클라이언트파일을다운로드하고설치한다. 데이터베이스서버또는메일서버관련프로세스가존재하면종료한다음 암호화를진행한다. 암호화된파일에 WNCRY, 그림 2-20 전세계를강타한워너크립터 (WannaCryptor) WCRY, WCRCRT 등의확장자명을추가하며, 암호화된파일의시작부분에 WANACRY! 문자열을 추가하는것이특징이다. 그림 2-21 워너크립터 (WannaCryptor) 의등장 5 월 13 일과 15 일에워너크립터의동작을종료시킬수있는킬스위치 (Kill-Switch) 가연이어발견되 면서랜섬웨어의활동은어느정도마무리되었다. 국내에서도피해사례가발견되어외국어시험진 행이취소되거나유명영화상영관의광고서버가감염되어광고상영이중단되는사례도발생했다. 28

29 10) 국내기업을파산위기로몰고간에레버스랜섬웨어지난 2017년 6월 10일에국내웹호스팅업체인 인터넷나야나 의웹서버와백업서버가에레버스 (Erebus) 랜섬웨어에감염되는사태가발생했다. 153대의서버가감염되어암호화되었고, 이로인해해당웹호스팅업체의서비스를받고있던약 3천여업체의홈페이지가마비되는피해를입었다. 해당업체는결국공격자에게거액의복구비용을지불하기로협상하였으나, 이로서파산직전의위기에몰렸다. 이번에발견된랜섬웨어는지난 2월발견된에레버스랜섬웨어의리눅스버전변종이다. 때문에리눅스서버를주로사용하는웹호스팅업체가피해를입은것이다. 문제는해당웹호스팅업체가중소규모의업체로, 백업서버를망분리환경이아닌일반서버와동일한네트워크상에서운영하고있었다는점이다. 이로인해복구에 그림 2-22 랜섬웨어에의해피해를입은웹호스팅업체 (* 출처 : 인터넷나야나홈페이지 ) 필요한백업데이터마저암호화되었고, 관련기관의도 움에도불구하고피해를복구할수없었다. 4. 결론 2016년이랜섬웨어의성장기였다면 2017년은성숙기라고해도과언이아닐정도로올해상반기에는새로운랜섬웨어가등장하는동시에기존랜섬웨어도변종을통해활동을재개했다. 워너크립터나국내사용자를대상으로하는비너스락커등과같이언론에서다뤄진랜섬웨어도있지만이들은빙산의일각에불과하다. 최근국내에큰피해를남긴에레버스랜섬웨어의경우에도이미 2월에발견된적이있는랜섬웨어의변종이다. 한편 2017 년상반기동향을통해알수있듯이랜섬웨어유포방식에있어서는더이상새로울것이 29

30 없었다. 주로스팸메일과익스플로잇킷 (Exploit Kit) 을통해랜섬웨어가유포되었으며, 작년에비 해스팸메일을통한유포는더욱증가했다. 이는이미 20 년이넘도록악성코드제작자에게꾸준히 활용되던방식이다. 새로운방법이아니라는것은바꿔말하면충분히예방가능하다는것이다. 기본적인보안수칙을준수하는 한끗차이 만으로도내파일의운명을바꿀수있다. 따라서의심스러운이메일은열지않고, 이메일에첨부된파일은실행하기전에백신을통해검사하는등꼼꼼히확인해야한다. 윈도우및주요응용프로그램의보안업데이트를꾸준히설치하고백신프로그램의엔진을항상최신으로유지하는것도랜섬웨어피해예방에상당한효과를볼수있다. 갈수록고도화되는랜섬웨어위협은여전히적색경보수준이다. 계속되는랜섬웨어위협에대비하 기위해무엇보다도개개인의주의와노력이필요한시점이다. 또한기업및기관에서도보안솔루 션운영은물론프로세스와내부임직원의관리에대한실효성있는보안대책마련이시급하다. 30

31 31

32