[2017 中 보안 현황 ④] 중국 내 랜섬웨어 활개 지속

주요 랜섬웨어 TeslaCrypt·CTB-Locker·Cryptowall·Locky·cuteRansomware 등 뽑혀
보안업체 “지난해 랜섬웨어 26만5,000개 발견...감염 횟수 1,311만회”
감염 피해자 수, 베이징 143만·광동성 100만·저쟝성 73만·안휘성 68만

[보안뉴스 온기홍= 중국 베이징] 중국 정보보안업체인 루이싱정보기술은 자사 ‘클라우드 보안’ 시스템 등을 써서 지난해 1월~12월 중국에서 랜섬웨어 26만 5,000개를 찾아냈다고 최근 밝혔다. 지난 한 해 중국에서 랜섬웨어의 감염 횟수는 총 1,311만회에 달했다고 이 회사는 덧붙였다.

▲ 2016년 중국 랜섬웨어 감염 지역 톱10(출처 : 중국 루이싱정보기술)

이 가운데 베이징의 랜섬웨어 감염 피해자 수가 연인원 143만 명으로 전국에서 가장 많았다. 광동성이 연 100만 명, 저쟝성 연 73만 명, 안휘성 연 68만 명으로 뒤를 이었다. 이밖에 산동성, 장쑤성, 샨시성, 랴오닝성, 상하이시, 허난성 등이 감염 피해자 기준 상위 10위 안에 들었다.

中 대표적 랜섬웨어, TeslaCrypt·CTB-Locker·Cryptowall·Locky·cuteRansomware
중국에서 지난해 컴퓨터 사용자들을 공격한 대표적인 랜섬웨어에는 △TeslaCrypt △CTB-Locker △Cryptowall △Locky △cuteRansomware가 꼽혔다.

이들 랜섬웨어의 주요 악성 행위를 살펴보면, 먼저 ‘TeslaCrypt’는 게임 플랫폼을 겨냥해 플래시 플레이어(Flash Player) 취약점(CVE-2015-0311) 또는 오래된 인터넷 익스플로러(IE) 브라우저 취약점을 이용해 ‘TeslaCrypt’ 랜섬웨어를 공격 목표물 시스템에 투입한다. 그 뒤 피해자의 파일에 대해 암호 설정을 진행하는 것으로 드러났다. 이어 ‘CTB-Locker’는 원격으로 사용자 PC의 파일에 대해 암호를 설정한다.

또한 ‘Cryptowall’의 경우, 일단 피해자 PC가 이 바이러스에 감염되면, 즉각 기기 상의 모든 파일에 대해 암호를 설정하는 것으로 밝혀졌다. 록키(Locky)와 관련, 해커는 피해자에게 악성 워드(word) 문서가 딸린 전자우편을 보낸다. 이 워드 문서에는 해커가 만든 악성 매크로 코드가 들어 있다. 피해자가 워드 문서를 열어 매크로 코드를 실행한 이후, 록키 악성 코드가 PC에 설치·실행되며, 암호 설정 키(key)를 내려 받고, 로컬의 모든 디스크와 파일에 대해 암호를 설정하는 것으로 확인됐다.

또 다른 랜섬웨어 ‘cuteRansomware’는 중국어로 쓰인 텍스트 파일에만 나타나는 특징을 띠고 있다. 모든 로딩 파일의 끝에는 ‘.encrypted’라는 뜻의 중국어 확장명이 있다.

中 2016년 CVE 취약점 톱10
중국에서 지난해 정식 확인·등록된 대표적인 CVE 취약점은 △PHPMailer RCE 취약점 △OpenSSH 원격 코드 실행 취약점 △Joomla 미승인 생성 특권 취약점 △Apache Tomcat 원격 코드 실행 취약점 △Jenkins 역직렬화(Deserialization) 취약점 △BadTunnel 취약점 △Wget 리다이렉션(Redirection) 취약점 △Struts 2 명령실행 취약점 △Image Magick 명령 실행 취약점 △Dirtycow 취약점 등이라고 루이싱정보기술은 밝혔다.

이들 CVE 취약점의 주요 특징을 보면, 먼저 ‘PHPMailer RCE 취약점’의 경우, 원거리 공격자는 이 취약점을 이용해 원격 임의 코드가 웹(web) 서버 계정 환경에서 실행되게 하며, 웹 애플리케이션이 위협을 받는 상화에 놓이게 만든다. 이어 ‘OpenSSH 원격 코드 실행 취약점’은 ‘ssh-agent’에서 출현한다. 이 프로그램은 미개시를 묵인하며 여러 기기 사이에서 패스워드 로그인을 피할 때에만 이용할 수 있다고 루이싱정보기술 측은 설명했다.

또한 ‘Joomla 미승인 생성 특권 취약점’과 관련, ‘Joomla’에는 계정생성과 권한상승 취약점이 존재하는 것으로 드러났다. 원거리 공격자는 이들 두 취약점을 종합적으로 이용해 등록 미허가 상황에서 계정을 등록하고, 나아가 권한을 관리자 특권으로까지 상승시킬 수 있는 것으로 나타났다.

Apache Tomcat 원격 코드 실행 취약점은 심각한 정도로 ‘important’로 정의되며, ‘Critical’은 아니라고 루이싱정보기술 측은 설명했다. 그 원인은 주로 이 ‘listener’를 골라 쓴 수량이 많지 않을뿐더러, ‘listener’가 이용될지라도 ‘JMX’ 포트 방문이 공격자에게도 상당히 특이하지 않기 때문이라고 이 회사는 덧붙였다.

Jenkins 역직렬화(Deserialization) 취약점의 경우, 낮은 권한을 통해 악성 XML 문서를 만들어 서비스 포트 인터페이스로 발송하며, 서버 쪽 해석시 API를 전용해 외부 명령을 실행하게 만드는 것으로 드러났다.

▲ 2016년 중국 CVE 취약점 톱 10(출처 : 중국 루이싱정보기술)

BadTunnel 취약점과 관련, WPAD 프로토콜이 목표물 시스템 상으로 전환해 공격을 받기 쉬운 실행 프로그램을 대리 발견했을 때, 이 취약점은 특권 상승을 승인할 수 있다. 이 취약점의 핵심은 NetBIOS의 프로토콜 결함을 이용해 네트워크 간의 브로드캐스트(broadcast) 프로토콜을 하이재킹 하는 것이라고 이 회사는 설명했다.

Wget 리다이렉션(redirection) 취약점의 경우, wget을 사용해 파일을 내려 받을 때, 만일 서버가 리소스를 ftp 서버로 방향변경 시키면, wget는 http 서버가 방향 변경한 ftp 링크 주소와 파일명을 묵인해 신뢰할 수 있으며, 2차 검증을 하지 않게 된다.

Struts 2 명령실행 취약점의 경우, 동태적 방법 발동(Dynamic Method Invocation)을 개시하든 안하든 공격자는 REST 플러그인(plug-in) 콤포넌트를 사용해 악의적 표현을 실시함으로써 코드를 원격 실행한다고 이 회사는 밝혔다.

Image Magick 명령 실행 취약점과 관련, 이 취약점이 생기는 원인은 ImageMagick이 system() 명령을 사용해 HTTPS 요구를 처리하기 때문이다. 또한 사용자가 가져온 shell 파라미터를 제대로 필터링하지 않음으로써 임의 명령 주입 실행을 초래한다.

Dirtycow 취약점의 경우, 낮은 권한의 로컬 사용자가 이 취약점을 이용해 기타 메모리 매핑(memory mapping) 쓰기 권한을 획득할 수 있게 한다고 이 회사는 설명했다. 이로써 권한 취약점을 야기한다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)