세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
갠드크랩 랜섬웨어, 웹사이트 취약점 노린다
  |  입력 : 2018-05-14 11:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
불과 1주일 만에 공격 기법 네 번이나 바꿔
웹사이트의 다양한 취약점, 해커들의 저렴한 공격 통로


[보안뉴스 문가용 기자] 최근 사이버 공격자들 사이에서 가장 뜨거운 공격 도구는 암호화폐 채굴 도구다. 그러나 이것이 다른 종류의 공격, 특히 지난 2년을 뜨겁게 달군 랜섬웨어의 몰락을 의미하는 건 아니다. 특히 요 근래에 갠드크랩(Gandcrab)이라는 랜섬웨어가 극성인데, 시스코 탈로스 팀에 의하면 이 랜섬웨어가 또 다시 업그레이드 돼 퍼지고 있다고 한다.

[이미지 = iclickart]


갠드크랩은 최근 위협이 되는 랜섬웨어들 중 가장 눈에 띄는 것으로, 처음에는 이렇게까지 위협적인 존재가 아니었으나 갠드크랩 제작자들의 잦은 업데이트로 상당한 문젯거리가 되고 있다. 2018년 1~2월 동안에만 5만 여명의 피해자들을 남겼고, 이를 통해 60만 달러가 넘는 수익을 거뒀다고 한다. 스팸 공격과 리그(Rig) 및 그랜드소프트(Grandsoft)라는 익스플로잇 키트를 통해 퍼지고 있다.

탈로스의 전문가들은 갠드크랩이 스팸 공격을 통해 특정 웹사이트로 퍼지는 것을 포착하고 연구에 착수했다. 그 결과 1주일 만에 네 개의 독립적인 캠페인을 발견할 수 있었다. 첫 번째 캠페인은 4월 30일에 시작했으며, 온라인 주문서의 형태로 퍼지고 있었다. ZIP 파일이 첨부되어 있었고, 압축을 풀면 랜섬웨어를 다운로드 하고 실행하는 워드 문서가 나왔다. 간혹 VB스크립트를 포함한 이메일도 있었는데, 결과는 같았다.

이러한 종류의 캠페인에서 가장 주목할 점은 갠드크랩을 다운로드 하는 데 사용됐던 툴이다. 워드 문서 내 매크로 기능을 활용한 것이 아니라, certutil.exe라는 명령행 유틸리티를 설치해 사용한 것이다. 탈로스의 위협 분석가인 닉 비아시니(Nick Biasini)는 “악성 페이로드를 피해자 기기에 설치하기 위해 공격자들이 얼마나 많은 고민과 연구를 하는지 알 수 있다”고 말한다.

그러더니 이틀 정도가 지난 후 두 번째 캠페인이 시작됐다. 이메일 제목, 본문, 첨부파일이 전부 첫 번째 캠페인의 그것과 비슷했다. 하지만 페이로드가 호스팅 된 위치가 달랐다. 탈로스의 전문가들은 DNS를 조사하며 어떤 정상 웹사이트를 통해 페이로드가 전달된다는 걸 파악할 수 있었다. “해당 사이트는 phpMyAdmin를 운영하고 있었는데, 다수의 MySQL 오류를 가지고 있기도 했습니다. 크리덴셜 역시 대다수가 디폴트인 상태였고요. 다행히 저희가 고지를 해서 사이트 문이 지금은 닫힌 상태입니다.”

해당 사이트가 닫히자 세 번째 캠페인이 등장했다. 업데이트가 되지 않은 워드프레스 웹사이트로부터 갠드크랩이 피해자 컴퓨터로 날아왔다. 오래된 사이트이다보니 취약점이 다량 내포되어 있었다. 이 사이트도 닫혔다.

그런데 네 번째 캠페인이 같은 사이트에서 시작됐다. “공격자들은 사용하던 웹사이트가 폐쇄되었더라도, 그곳에 다시 돌아와 새로운 공격을 시작할 수 있습니다. 그런 곳에 보안 전문가들이 큰 신경을 쓰지 않기 때문이기도 하고, 이제 해커들이 자신의 공격에 어떤 고유성을 부여하려는 노력을 크게 하지 않기 때문이기도 합니다.”

비아시니는 갠드크랩이 이렇게 다양한 방법으로 퍼지는 것을 두고 “기업들이 가지고 있는 가장 큰 문제가 드러났다”고 분석한다. 그것은 바로 웹사이트 침해다. “인터넷에 있는 많은 웹 페이지들이 취약합니다. 오래된 소프트웨어로 만들어졌고, 그러한 사실을 인지조차 못하고 있어요. 그러한 페이지들을 운영하는 회사가 중소기업 규모라면 더욱 그렇죠. 새로운 패치가 배포되고 있는지조차 모릅니다. 알아도 적용할 시간이나 기술력이 부족하고요. 웹사이트는 현대 기업 환경에 있어 가장 큰 공격의 통로입니다.”

게다가 웹사이트 제작은 갈수록 쉬워지고 있다고 비아시니는 설명한다. “워드프레스, 줌라, 드루팔 등 웹사이트 제작을 간편하게 해주는 프레임워크가 얼마나 많습니까. 적은 자본과 기술력을 가지고도 웹사이트를 뚝딱 만들 수 있게 해주지만 정작 보안에 대해서는 잘 알려주지 않죠. 알려하지도 않고요. 그러니 취약한 사이트가 매일 수두룩하게 인터넷 공간에 쏟아지는 겁니다.” 또한 워드프레스, 줌라, 드루팔 등은 원격 관리 기능을 가지고 있어서 문제가 더 크다고 한다.

공격자들은 계속해서 이러한 웹사이트들을 악용할 것이라고 그는 설명한다. 저렴하고 쉽게 발굴할 수 있는 공격 통로를 해커들이 마다할 리 없기 때문이다. “도메인을 등록하거나 VPS를 구매하는 것보다 그런 허술한 중소기업 사이트를 공략하는 게 훨씬 간단하죠. 심지어 해당 사이트를 운영하는 기업의 신뢰도도 공짜로 이용할 수 있게 되니, 보너스가 되고요.”

비아시니는 갠드크랩의 등장으로 사이버 공격자들의 빠른 적응력은 이야깃거리가 되고 있지만 웹사이트의 취약점에 대해서는 별 다른 이야기가 나오고 있지 않다는 게 우려스럽다고 말한다. “문제를 직시하는 게 아니라, 핑계만 대고 있는 건 아닌가 하는 생각이 듭니다. 지금 사이버 공격은 그들의 뛰어남보다 우리의 허술함이 더 크게 작용하고 있다는 걸 기억해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#랜섬웨어   #웹사이트   #우리   #구멍   #그들   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)