세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
한국서 확산 ‘마이랜섬’ 랜섬웨어...해외선 ‘매그니베르’ 명명
  |  입력 : 2017-10-23 14:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
케르베르 변형으로 매그니튜드 익스플로잇 킷 통해 유포
파이어아이, 한국어 사용 시스템만 공격하는 ‘매그니베르’ 랜섬웨어 분석
순천향대 SCH사이버보안연구센터에서 지난 주 발견, 본지 통해 경고


[보안뉴스 원병철 기자] 한국을 집중 공격하는 ‘매그니베르(Magniber)’ 랜섬웨어의 확산속도가 거세다. 매그니베르는 매그니튜드(Magnitude) 랜섬웨어와 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로잇 킷을 통해 유포되는 새로운 랜섬웨어다. 특히, 순천향대학교 SCH사이버보안연구센터(염흥열 센터장)가 제일 먼저 발견한 후, 해당 랜섬웨어를 ‘마이랜섬’이라고 명명해 본지에서 단독으로 보도한 바 있다.

▲ 한국어를 사용하는 시스템만 공격하는 매그니베르 랜섬웨어[자료=파이어아이]


파이어아이는 한국어 시스템만 공격하는 매그니베르 랜섬웨어에 대해 경고했다. 익스플로잇 킷 공격은 지난 2016년 말부터 감소했으나, 특정 공격 활동은 지속적으로 감행되고 있다. 매그니튜드 익스플로잇 킷은 아태지역을 집중 공격하는 대표적인 예라고 할 수 있다.

이는 지난 2017년 3월 발표한 파이어아이 다이나믹 위협 인텔리전스(Dynamic threat Intelligence, DTI) 리포트를 기반으로 하고 있으며, 2016년 10월부터 2017년 3월까지의 매그니튜드 익스플로잇 킷 공격이 가장 많이 감행된 지역을 보여준다.

▲ 매그니튜드 익스플로잇 킷 공격[자료=파이어아이]


아태지역, 특히 한국을 주로 공격하는 이러한 양상은 2017년 9월 말까지 보이다 사라졌으며, 지난 10월 15일 다시 한국만을 공격하기 시작했다. 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 배포했다.

다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 멀버타이징 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 발견한 후 보고한 ‘CVE-2016-0189’로 구성되어 있다.

매그니튜드 익스플로잇 킷에서 확인할 수 있었던 것은 페이로드는 일반적인 EXE의 형태로 다운로드 됐으며, 도메인 인프라는 ‘Apache/2.2.15 (CentOS) DAV/2 mod_fastcgi/2.4.6’ 서버로 호스팅됐다는 점이다.

파이어아이의 DTI 시스템을 통해 확인한 바에 따르면, 이번에 배포된 매그니베르 랜섬웨어는 국내 시스템만을 대상으로 했으며, 해당 랜섬웨어는 시스템의 언어가 한국어가 아닌 경우 실행되지 않았다.

샌드박스 시스템을 피하기 위해 해당 멀웨어는 가상머신에서 구동되는지 확인을 하고, 그 결과를 URL 콜백으로 첨부했다. 가상머신 확인은 평균적으로 실행에 소요되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요 시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류했다. 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입했다. URL 형식은 ‘http://[19 character pseudorandom string].[callback domain]/new[0 or 1]’이다.

▲ 랜섬웨어 감염 메시지[자료=파이어아이]


이러한 랜섬웨어는 기업에 중대한 위협을 가하고 있다. 다수의 공격이 이메일을 통해 감행되며, 익스플로잇 킷은 지속적으로 사용자를 위험에 빠트리고 있다. 특히, 오래된 소프트웨어 버전을 사용하거나 광고 차단기(ad blocker)를 사용하지 않는 유저들이 주로 공격을 받고 있는 것으로 드러났다. 이에 기업은 자사의 네트워크 노드가 완벽하게 패치됐는지 반드시 확인해야 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)