세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
배드래빗, NSA 해킹 툴 ‘이터널로맨스’ 이용해 전파
  |  입력 : 2017-10-27 10:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아 중심으로 전 세계 15개국 감염시킨 배드래빗 랜섬웨어
NSA 해킹 툴 이용해 전파... 낫페트야와 동일 공격자로 추정


[보안뉴스 오다인 기자] 배드래빗(Bad Rabbit) 랜섬웨어가 24일을 기점으로 맹렬하게 전파됨에 따라 보안 연구자들은 데이터 원격 수집 등을 통해 이번 공격을 낱낱이 파헤치고 있다. 맨 처음 드러난 사실은 배드래빗이 페트야(Petya)와 낫페트야(NotPetya)의 코드를 수정해서 사용하긴 했지만 워너크라이(WannaCry) 같은 익스플로잇을 통해 전파되진 않았다는 점이었다.

[이미지=iclickart]


그러나 26일 시스코 시스템즈(Cisco Systems)의 탈로스 연구팀은 배드래빗 랜섬웨어 공격이 일명 ‘이터널로맨스(EternalRomance)’라는 익스플로잇을 사용해 전파됐다고 발표했다. 이터널로맨스는 미국 국가안보국(NSA)에서 유출된 툴 중의 하나로, 올 여름 ‘니에트야(Nyetya: ‘페트랩(Petrwrap)’ 또는 ‘골든아이(Goldeneye)’라고도 불린다)’ 랜섬웨어 공격에서 피해 조직 내에서 전파되는 데 사용된 툴이기도 하다.

배드래빗 랜섬웨어는 15개 국가의 정부기관, 언론사, 교통기관 등 수백 개 조직에 피해를 입혔다. 러시아의 대형 언론사 인터팩스 에이전시(Interfax Agency)와 온라인 뉴스 사이트 폰탄카(Fontanka), 우크라이나의 교통기관 키예프 메트로(Kiev Metro)과 오데사 국제공항(Odessa International Airport)을 포함해 여러 사회기반시설 및 금융 관계 부처도 이번 랜섬웨어 공격으로 피해를 입었다. 가장 큰 피해를 입은 지역은 러시아로, 보안 업체 어베스트(Avast)에 따르면 71%의 피해자가 러시아에 집중됐다.

전 세계 보안 연구자들은 현재 배드래빗 공격의 사후조사를 수행하고 있으며, 공격의 배후와 멀웨어의 출처에 대해서는 아직까지 논란이 일고 있는 상태다.

25일 연구자들은 배드래빗 공격자가 하드코드된 크리덴셜 목록과 미미카츠(Mimikatz)의 비밀번호 추출 수법을 이용해서 SMB 로컬 네트워크로 웜이 전파되는 것처럼 배드래빗을 전파시켰다는 사실을 정확히 짚어낼 수 있었다.

시스코 발표에 따르면, 배드래빗을 SMB를 통해 직접 퍼뜨리는 수단으로 이터널로맨스도 사용됐다.

시스코 탈로스의 위협 연구자 닉 비아시니(Nick Biasini)는 “(배드래빗은) 아직까지 활발하게 조사되고 있는 대상”이라면서 “리버스 엔지니어링(reverse engineering) 분석 결과, 어떤 익스플로잇 하나가 배드래빗에 들어있었다는 사실을 밝혀낼 수 있었다”고 설명했다. “처음엔 이 익스플로잇이 사용된 흔적도 찾을 수 없었습니다. 이런 익스플로잇이 실제 사용된 사례에 대해서도 전혀 드러난 바 없었고요. 리버스 엔지니어링 과정에서 이 익스플로잇의 정체가 드러난 것이죠.”

한편, 배드래빗을 연구하고 있는 러시아의 보안 업체 그룹 IB(Group IB)는 26일 배드래빗의 최초 감염 경로를 밝혔다. 그룹 IB에 따르면, 배드래빗은 러시아와 우크라이나의 여러 언론사 웹사이트에서 드라이브 바이(drive-by) 다운로드 방식으로 최초로 멀웨어를 전파시켰다. 또한, 그룹 IB 연구자들은 배드래빗 공격자가 올해 6월 우크라이나의 에너지, 금융, 통신사 등의 조직을 겨냥해 낫페트야 공격을 펼친 자와 동일 인물일 가능성이 “매우 높다”고 말했다.

그룹 IB는 26일 공지를 통해 “배드래빗은 해시 계산, 네트워크 분산 로직, 로그 제거 프로세스 등에서 낫페트야와 동일한 기능을 갖고 있다”고 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)