Home > 전체기사
기업들 괴롭히던 록커고가 랜섬웨어, 무력화 방법 찾아냈다
  |  입력 : 2019-03-27 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특정 폴더에 오류 가득한 .lnk 파일 복사해두면 록커고가 암호화 중지
일부 버전에서는 사용자에게 협박 편지 보이지 않아...파괴형 멀웨어로 둔갑


[보안뉴스 문가용 기자] 최근 주요 산업 내 여러 조직들을 공격하고 있는 록커고가(LockerGoga) 랜섬웨어의 일부 변종을 무력화시키는 방법이 발견됐다. 보안 업체 알러트 로직(Alert Logic)의 전문가들이 찾아낸 것으로, 특정 윈도우 폴도 내에 특정 유형의 ‘바로가기’ 파일을 삽입하면 파일의 암호화가 진행되지 않는다고 한다.

[이미지 = iclickart]


록커고가를 분석하고 있던 알러트 로직 전문가들은 “록커고가가 파일의 암호화를 진행하기 전에 스캔을 통해 암호화할 파일의 목록을 먼저 만든다는 것을 알아냈다”고 말한다. “그러다가 바로가기 기능을 가지고 있는 .lnk 파일을 스캔하면, 암호화 과정을 전부 중단합니다. 스캔만 중지되는 게 아니라, 암호화 과정 전체가 중지되더군요.”

이런 현상을 발견한 알러트 로직은 보다 심도 깊게 분석을 진행했다. 그리고 Recent Items라는 폴더에 인식 불가능한 네트워크 경로를 담고 있거나 RPC 엔드포인트와도 연결되어 있지 않은 .lnk 파일이 있을 때 록커고가가 랜섬웨어의 기능을 발휘하지 못한다는 것을 알아냈다.

“록커고가가 특정 조건에 부합하는 .lnk 파일을 스캔하게 되면, 내부에 탑재되어 있는 shell32와 linkinfo DLL들을 사용해 .lnk의 경로를 파악하려고 합니다. 그런데 이 경로에서 오류가 나타나면 예외 이벤트가 발동하는데, 록커고가에는 이러한 예외 이벤트 처리 기능이 탑재되어 있지 않습니다. 그렇기 때문에 OS가 록커고가를 종료시킵니다.”

시스코(Cisco)의 보안 연구 팀인 탈로스(Talos) 역시 록커고가를 분석하다가 흥미로운 사실들을 찾아냈다고 한다. 최근 버전들 일부가 피해자들을 장비에서 강제로 로그오프 시키는 것이다. 이 때문에 피해자는 시스템 내로 로그인을 할 수 없게 되는데, 그래서 랜섬웨어가 화면에 띄우는 협박 편지를 볼 수 없게 된다고 한다. 범인들에게 돈을 내고 싶어도 어디로 얼마나 보내야 할지 알 수가 없게 되는 것이다. 탈로스 팀은 “따라서 이건 랜섬웨어가 아니라 파괴형 멀웨어에 가까운 정체성을 갖게 된다”고 설명한다.

로커고가는 지난 주 알루미늄 산업 내 1위 기업인 노르스크 하이드로(Norsk Hydro)를 감염시켜 큰 피해를 입히면서 화제가 되었다. 또한 미국의 화학 분야 대기업인 헥시온(Hexion)과 모멘티브(Momentive)도 감염시켜 일부 운영에 차질을 빚게 만들었다.

노르스크 하이드로는 이번 주 월요일(노르웨이 현지 시각), 꽤나 많은 시스템을 복구시키는 데 성공했다고 발표했다. 또한 이전부터 백업을 잘 해왔기 때문에 범인들에게 돈을 낼 필요가 전혀 없다고도 밝혔다. 헥시온과 모멘티브의 경우는 아직 많은 정보를 공개하지 않고 있지만, 외신들이 “수백 대의 컴퓨터 장비를 교체해야 했다”고 보도했다.

한편 로커고가에서는 아직까지 확산 기능이나 자가 복제 기능이 발견되지 않았다. 즉 시스템 하나를 감염시킨다고 해서, 네트워크를 통해 다른 시스템들도 감염되지는 않는다는 것이다. 전문가들은 노르스크 하이드로 등 대기업의 네트워크에서 로커고가가 퍼질 수 있었던 건, 각 조직들에서 사용하고 있던 액티브 디렉토리(Active Directory) 때문이라고 보고 있다.

3줄 요약
1. 떠오르는 랜섬웨어 강자 록커고가에서 어이없는 약점 발견됨.
2. Recent Items 폴더에 경로 오류 가지고 있는 .lnk 파일 있으면 암호화 진행되지 않음.
3. 일부 버전은 논리 오류 가지고 있어, 피해자가 협박 편지를 볼 수 없음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향