세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
NAS 기기 노리는 스토리지크립트 랜섬웨어 등장
  |  입력 : 2017-12-07 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
5월에 패치된 삼바크라이 취약점 익스플로잇 해
아직 분석 다 끝나지 않아...백도어 기능 추가로 있을 수 있어


[보안뉴스 문가용 기자] 새로운 랜섬웨어 패밀리가 등장했다. 이 랜섬웨어 패밀리는 네트워크와 연결된 저장소인 NAS 기기들을 주로 노리는 것으로 나타났다. 그래서 이 랜섬웨어에는 스토리지크립트(StorageCrypt)라는 이름이 붙었다.

[이미지 = iclickart]


스토리지크립트는 리눅스 시스템에서 발견되었고, 지난 5월 패치된 삼바크라이(SambaCry) 취약점인 CVE-2017-7494를 익스플로잇한다. 원격의 공격자들이 기기 내 공유된 라이브러리를 ‘쓰기 가능한’ 상태로 공유함으로써 임의의 코드를 실행시키게 해주는 취약점이다. 올해 여름 셸바인드(SHELLBIND)라는 이름의 멀웨어가 이 취약점을 통해 NAS 기기들을 공격한 바 있다.

스토리지크립트와 셸바인드의 공격 원리는 거의 비슷하다. 외신인 블리핑컴퓨터(BleepingComputer)에 의하면 공격자들은 삼바크라이(sambacry)라는 파일을 다운로드 받도록 피해자를 유도한 후, 해당 파일을 /tmp 폴더에 저장하고 실행시킨다고 한다. 이 파일이 실행되면 스토리지크립트의 랜섬웨어 기능이 작동하기 시작한다.

다만 아직까지 이 실행파일의 기능이 파일 암호화에서 끝나는 건지, 백도어 기능도 뒷단에 설치해 추후 공격까지도 가능하도록 꾀하는 건지는 미처 분석되지 않았다.

스토리지크립트가 NAS에서 발동되기 시작하면 일단 모든 파일들이 암호화되고 새로운 이름이 붙는다. 파일 확장자는 .locked이다. 또한 화면에 피해자가 볼 수 있도록 협박 편지를 띄우기도 한다. 이 편지에는 비트코인 금액과 지갑주소, 이메일 주소가 나와 있다. 이메일 주소는 JeanRenoAParis@protonmail.com이다.

최초로 다운로드 되는 삼바크라이 멀웨어는 스토리지크립트 외에도 Autorun.inf와 美女与野兽.exe라는 파일 두 개를 추가로 다운로드 받기도 한다. 한문으로 이름이 붙은 파일은 ‘미녀와 야수’로 해석된다. Autorun.inf 파일은 윈도우 실행파일을 NAS 기기와 PC 시스템의 연결점이 되는 폴더에 저장된다.

NAS 사용자들이라면 스토리지크립트를 예방하고 싶을 것인데, 가장 좋은 방법은 최신 패치를 적용하는 것이다. 앞서도 밝혔지만 삼바크라이 취약점은 이미 5월에 패치가 된 바 있다. 당장 패치가 어렵다면 NAS를 인터넷으로부터 분리해 사용하는 것이 좋다. 방화벽을 설치하거나 NAS와 접속할 때 VPN을 사용하는 것도 생각해봄직한 방법이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)