세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
NAS 기기 노리는 스토리지크립트 랜섬웨어 등장
  |  입력 : 2017-12-07 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
5월에 패치된 삼바크라이 취약점 익스플로잇 해
아직 분석 다 끝나지 않아...백도어 기능 추가로 있을 수 있어


[보안뉴스 문가용 기자] 새로운 랜섬웨어 패밀리가 등장했다. 이 랜섬웨어 패밀리는 네트워크와 연결된 저장소인 NAS 기기들을 주로 노리는 것으로 나타났다. 그래서 이 랜섬웨어에는 스토리지크립트(StorageCrypt)라는 이름이 붙었다.

[이미지 = iclickart]


스토리지크립트는 리눅스 시스템에서 발견되었고, 지난 5월 패치된 삼바크라이(SambaCry) 취약점인 CVE-2017-7494를 익스플로잇한다. 원격의 공격자들이 기기 내 공유된 라이브러리를 ‘쓰기 가능한’ 상태로 공유함으로써 임의의 코드를 실행시키게 해주는 취약점이다. 올해 여름 셸바인드(SHELLBIND)라는 이름의 멀웨어가 이 취약점을 통해 NAS 기기들을 공격한 바 있다.

스토리지크립트와 셸바인드의 공격 원리는 거의 비슷하다. 외신인 블리핑컴퓨터(BleepingComputer)에 의하면 공격자들은 삼바크라이(sambacry)라는 파일을 다운로드 받도록 피해자를 유도한 후, 해당 파일을 /tmp 폴더에 저장하고 실행시킨다고 한다. 이 파일이 실행되면 스토리지크립트의 랜섬웨어 기능이 작동하기 시작한다.

다만 아직까지 이 실행파일의 기능이 파일 암호화에서 끝나는 건지, 백도어 기능도 뒷단에 설치해 추후 공격까지도 가능하도록 꾀하는 건지는 미처 분석되지 않았다.

스토리지크립트가 NAS에서 발동되기 시작하면 일단 모든 파일들이 암호화되고 새로운 이름이 붙는다. 파일 확장자는 .locked이다. 또한 화면에 피해자가 볼 수 있도록 협박 편지를 띄우기도 한다. 이 편지에는 비트코인 금액과 지갑주소, 이메일 주소가 나와 있다. 이메일 주소는 JeanRenoAParis@protonmail.com이다.

최초로 다운로드 되는 삼바크라이 멀웨어는 스토리지크립트 외에도 Autorun.inf와 美女与野兽.exe라는 파일 두 개를 추가로 다운로드 받기도 한다. 한문으로 이름이 붙은 파일은 ‘미녀와 야수’로 해석된다. Autorun.inf 파일은 윈도우 실행파일을 NAS 기기와 PC 시스템의 연결점이 되는 폴더에 저장된다.

NAS 사용자들이라면 스토리지크립트를 예방하고 싶을 것인데, 가장 좋은 방법은 최신 패치를 적용하는 것이다. 앞서도 밝혔지만 삼바크라이 취약점은 이미 5월에 패치가 된 바 있다. 당장 패치가 어렵다면 NAS를 인터넷으로부터 분리해 사용하는 것이 좋다. 방화벽을 설치하거나 NAS와 접속할 때 VPN을 사용하는 것도 생각해봄직한 방법이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)