세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
업그레이드 된 갠드크랩 랜섬웨어, 이번엔 NSA 툴 탑재
  |  입력 : 2018-07-12 07:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우 SMB 취약점 노리는 이터널블루 장착한 새 갠드크랩
주기적인 업데이트로 4.1버전까지 나와...사용자 업데이트는 느리기만 한데


[보안뉴스 문가용 기자] 최근 여러 번 업데이트를 거친 랜섬웨어 갠드크랩(GandCrab)이 새롭게 나타났다. 이번에는 NSA의 익스플로잇 툴인 이터널블루(EternalBlue)를 활용해 윈도우 XP 기반 장비들을 노린다고 한다.

[이미지 = iclickart]


갠드크랩은 보통 스팸 이메일을 통해 퍼진다. 하지만 이번 달 초에 나타난 갠드크랩 4는 침해된 웹사이트를 통해 퍼진다고 보안 업체 포티넷(Fortinet)은 발표했다. 또한 이번 갠드크랩은 암호화시킨 파일에 .KRAB이라는 확장자를 덧붙인다고 한다.

뿐만 아니라 코드 구조에도 약간의 변화가 있었으며, 데이터 암호화를 위해 살사20(Salsa20) 스트림 암호를 새롭게 사용하기 시작했다. 오래된 기능 중 삭제된 것들도 있었다. 하지만 무엇보다 눈에 띄는 건 C&C 통신을 하지 않게 되었다는 것이다.

“갠드크랩 공격자들에게 감염되어 악성 웹 페이지들이 삽입되어 있는 웹사이트들을 다수 발견했습니다. 이 페이지들의 특징은 사용자들을 또 다른 페이지로 우회시킨다는 건데, 이 도착 페이지에는 실제 갠드크랩 실행파일을 가리키는 다운로드 링크가 있습니다.”

게다가 실행파일과 다운로드 링크는 주기적인 업데이트를 거치고 있기도 했다. “저희가 처음 발견한 게 갠드크랩 4였는데, 얼마 지나지 않아 갠드크랩 4.1까지 나왔습니다. 4.1 버전에서는 네트워크 통신 기능이 추가된 듯 했습니다.”

하지만 진짜로 놀라운 건 보안 전문가 케빈 뷰몬트(Kevin Beaumont)가 발견한 것으로, “미국 NSA가 사용한 것으로 여겨지는 이터널블루 익스플로잇 기능이 탑재되었다는 것”이다. “윈도우 XP와 윈도우 서버 2003 버전을 주로 노리고 있는 것으로 보입니다. 그렇다고 최신 장비들을 공격 못한다는 건 아닙니다.”

이터널블루 익스플로잇은 윈도우 시스템 내 존재하는 서버 메시지 블록(SMB)의 보안 취약점을 공략하는 도구로, 주로 윈도우 XP와 7 버전에서 효과적으로 작동하는 것으로 알려져 있다. 이터널블루를 사용해 감염을 확장시킨 대표적인 사례로 워너크라이(WannyCry)가 있으며, 그 후에도 많은 멀웨어 제작자들이 이터널블루를 활용했다.

MS는 지원이 끝났음에도 이터널블루와 관련된 취약점을, 이터널블루가 공개되기 전에 발견해 패치를 배포한 바 있다. 하지만 아직도 많은 사용자들이 이 패치를 적용하지 않아 워너크라이와 같은 대규모 랜섬웨어 감염 사태가 발생한 것이다.

뷰몬트는 “이번 갠드크랩처럼 이터널블루를 악용하는 멀웨어에 대한 가장 좋은 방어법은 운영 체제를 최신화시키는 것”이라고 말한다. “윈도우 XP나 윈도우 서버 2003은 이미 지원이 끝났으며, 안전하지 않다는 게 이미 널리 알려져 있습니다. 굳이 오래되고 위험한 OS를 쓰면서 패치도 하지 않는다는 건 공격에 당하고 싶다는 뜻입니다.”

심지어 서드파티 백신 소프트웨어들도 XP나 2003에 대한 호환성을 고려하지 않은 채 만들어진다. 즉 그런 오래된 OS에서는 제대로 된 백신도 돌릴 수 없다는 뜻이다. “그런 상태에서 사용자들은 토렌트에서 파일을 다운로드 받고, 검증되지 않은 소프트웨어를 설치하고, 아무 USB나 거리낌 없이 꼽습니다. 이런 상태에서 공격에 당하지 않으리라고 기대하는 건 솔직히 망상에 가깝습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)