뉴스 본문

- 페트야 랜섬웨어, 워너크라이보다 더 심각한 타격 입힐 수 있어

IBM X-Force 보안 연구소는 최근 창궐하고 있는 페트야(Petya) 랜섬웨어(ransomware) 변종 샘플 3가지를 발견했다고 발표하고, 공격에 대비하기 위한 권고 사항을 발표했다.  

지난 6월 27일, 우크라이나와 일부 유럽 국가의 기업들이 랜섬웨어 공격을 받았다는 소식이 전해졌다. 이번 공격의 배후는 워너크라이(WannaCry) 공격에 준하거나 더 심각한 영향을 미칠 수 있는 페트야 랜섬웨어로 밝혀졌다. 

워너크라이는 마이크로소프트(MS)에서 배포한 윈도우 결함 보완용 패치를 적용하면 피해 예방이 가능하지만, 페트야는 윈도우 관리 도구 명령어(Windows Management Instrument Command-line, WMIC)나 MS의 원격 제어 툴인 PsExes를 통해 연결 네트워크에서 패치가 적용된 시스템을 감염시킬 수 있다. 워너크라이와 유사하게 모듈 방식이고, 해킹 프로그램 ‘로키 봇 트로이(Loki Bot Trojan)’가 포함되었을 수 있다고 일부 업체들은 지적했다.

작년에 처음 등장한 페트야는 감염된 호스트 상의 마스터 부트 레코드(MBR)와 마스터 파일 테이블(MFT)까지 암호화하는 것이 특징이다. 페트야는 미샤(Mischa)라는 랜섬웨어와 함께 종종 배포되는데, 미샤는 일종의 상비군으로 페트야가 MBR을 암호화하기 위해 관리자 계정에 액세스하지 못할 경우, 미샤가 MS 워드나 파워포인트, 엑셀 등 개별 파일을 암호화하기 시작한다. 페트야는 오프라인 시스템에서도 작동되고 명령 제어(Command-and-Control) 서버와의 실시간 연결을 필요로 하지 않는다. 

페트야 랜섬웨어 대비 IBM 권고사항 - 몸값을 지불하지 말 것! 

시스템을 복구하기 위해 해커들이 요구하는 몸값을 지불하려는 업체들이 많다. 하지만 이번 페트야 공격을 보면 해커들은 피해자를 위해 파일 복원 가능성을 남겨두지 않았다. 사전에 네트워크 분할과 백업을 실시하면 시스템을 중단하더라도 오프라인 작업으로 신속히 복구하는 방식으로 대응이 가능하다.

페트야 랜섬웨어에 대비하기 위해 IBM은 아래와 같이 권고하고 있다.

마이크로소프트 보안 패치 MS17-010을 적용하고 모든 백신 프로그램을 최신 버전으로 업데이트한다.

백업 시스템이 효과적으로 구성되었는지 확인한다

안전이 검증된, 알려진 스냅샷 및 리이미지 시스템을 통해서만 백업 복원작업을 진행한다

페트야의 측면 침입을 방지하기 위해 패치가 적용되지 않은 시스템은 분리한다

중요한 모든 시스템 및 네트워크 모니터링이 효과적으로 이루어지는지 확인한다

네트워크 상의 합법적 툴을 통한 접근을 차단하는 권한 자격 보호에 대한 정기적 리뷰를 시작하고 꾸준히 실시한다

사고 대응과 유사시 계획을 재검토한다.

페트야 랜섬웨어 기술 세부 사항

1. 측면 공격: SMB 내 웜홀

페트야가 퍼져 나가는 방법 중 하나는 전송 제어 프로토콜(TCP: Transmission Control Protocol) 포트 445를 검색하여 패치가 적용되지 않은 서버 메시지 블록(Server Message Block)을 사용하는 기기를 찾아내 공격하는 것이다. 이는 워너크라이 공격 방식과 동일하다.

2. 원격 실행: 이터널 블루, WMIC, PsEXEC

IBM X-Force 보안 연구소의 사고 대응 및 인텔리전스 서비스 팀은 페트야 랜섬웨어 샘플이 이터널 블루(Eternal Blue)를 사용하고 있다고 밝혔다. 해커 그룹인 섀도우 브로커스(Shadow Brokers)가 미 국가안보국으로부터 훔쳐냈다고 주장되는 이터널 블루를 통해 해커들은 공격 대상 시스템의 임의 코드 실행이 가능한 CVE-2017-0144의 취약점을 악용한다. 이와 함께 DOUBLEPULSAR와 같은 감염 코드의 존재 여부나 주변 시스템을 검색하거나 감염 코드를 통해 주변 시스템 감염 시도 여부를 확인할 수 있는 코드를 포함한다.

사실 WMIC나 PsExec은 취약점이 아니다. 이들은 관리자들이 시스템과 네트웍을 관리할 수 있도록 돕는 마이크로소프트 툴이다. WMIC는 사용자가 프로세스와 스크립트를 구동할 수 있게 해주며, PsExec은 시스템의 원격 관리를 가능하게 해주는 툴이다. 이들은 관리자에게는 중요하고 유용한 툴이지만 공격자들이 여기에 접근하게 되면 페트야와 같은 악성코드를 공격 대상 시스템에 심을 때 사용될 수 있다. 일단 시스템에 심어지면, 랜섬웨어는 스스로를 C:\Windows\ 디렉토리에 카피하고 PE 파일을 C:\Windows\dllhost.dat. 에 인스톨한다. 이러한 자취를 숨기기 위해 랜섬웨어는 schtasks 을 사용하여 일정한 시간에 시스템을 재부팅하는 작업 파일을 생성한다. 이에 더해,  wevtutil.exe 를 활용하여 셋업, 시스템, 보안, 애플리케이션 로그를 제거하고, fsutil.exe을 change journal상의 정보를 삭제한다.