한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상

입력 : 2019-07-04 11:28

윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터
분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해

[보안뉴스 문가용 기자] 랜섬웨어가 점점 판을 치고 있는 때에 소딘(Sodin)이라는 새로운 랜섬웨어가 두각을 나타내기 시작했다. 소딘은 최근 보안 업체 카스퍼스키(Kaspersky)가 발견한 것으로, 윈도우에서 발견된 CVE-2018-8453 취약점을 익스플로잇 해 권한을 상승시키는 기능을 탑재하고 있는 것으로 알려져 있다. 이런 식의 공격은 랜섬웨어 사이에서 흔치 않은 것이다.


카스퍼스키에 따르면 소딘은 소디노키비(Sodinokibi)나 레빌(REvil)이라는 이름으로도 알려져 있으며, 지난 4월에 처음 모습을 드러냈다고 한다. 카스퍼스키의 수석 멀웨어 분석가인 페도르 시니친(Fedor Sinitsyn)은 “권한을 상승시키는 독특한 랜섬웨어”라고 소딘을 정의한다. “소딘이 익스플로잇 하는 CVE-2018-8453은, 윈도우에서 발견된 취약점으로 지난 10월 MS가 패치를 발표한 바 있습니다. 프루티아머(FrutyArmor)라는 APT 그룹이 이 취약점을 통해 중동 지역의 몇몇 주요 인물과 단체들을 표적 공격한 바 있습니다.”

CVE-2018-8453은 권한을 상승시켜주는 취약점으로, “랜섬웨어가 이러한 공격을 감행하는 건 흔치 않은 일”이다. 현재 이 독특한 랜섬웨어인 소딘은 아시아, 유럽, 북미, 아프리카 지역에서 출몰하고 있는데, 아태지역에서 가장 많이 나타나고 있다. “특히 대만과 홍콩, 대한민국에서 피해가 심각합니다.”

“소딘은 피해자의 시스템에 침투해 들어간 뒤 제일 먼저 환경설정 내용을 확인해 CVE-2018-8453을 익스플로잇 하는 게 가능한 상태인지를 살핍니다. 가능한 상태라면, 소딘은 다음으로 CPU의 아키텍처를 검사하고, 자신 안에 저장된 셸코드 두 개 중 하나를 실행시킵니다. 이 셸코드는 WinAPI 함수들을 특수한 순서로 호출합니다. 이 때 악의적으로 편집된 아규먼트를 사용해 취약점을 익스플로잇 합니다. 성공할 경우 소딘의 프로세스가 높은 권한을 얻게 되고, 그러므로 보안 솔루션들이 암호화 공격을 방해하지 못하게 됩니다.”

피해자의 시스템 내 파일들을 암호화 하는 부분에서도 여러 가지 방법들이 조합된다. “암호화 과정이 꽤나 복잡하고, 고차원적인 수준입니다. 비대칭 타원 곡선 암호 기술과 최신 대칭형 암호 방식을 혼합해서 사용하죠. 즉, 소딘의 배후에 있는 자들은 사이버 공격이 무엇인지, 암호화 기술을 어떻게 사용해야 하는지, 현대 컴퓨터 및 네트워크 구조는 어떤 취약점을 가지고 있는지 잘 이해하고 있다고 볼 수 있습니다.”

또 하나 눈에 띄는 건 공격자들이 헤븐즈 게이트(Heaven's Gate)라는 기술을 사용한다는 것이다. 이는 32비트 프로세스로 64비트 코드의 일부를 실행할 수 있게 해주는 기술로, 현존하는 디버거 대부분이 이러한 상황에서 코드 분석을 할 수 없다. 즉 분석을 방해하는 데 사용될 수 있는 고차원적 기술이라는 뜻이다.

시니친은 “헤븐즈 게이트로 분석만 방해받는 게 아니라 일부 보안 툴들의 탐지도 막을 수 있다”고 덧붙였다. 헤븐즈 게이트는 다른 멀웨어 공격에서도 간간히 발견되던 것이다. 하지만 카스퍼스키는 “랜섬웨어 공격이 헤븐즈 게이트와 결합한 건 처음 보는 일”이라고 한다.

소딘은 서비스형 랜섬웨어(RaaS)로서 배포되고 있다. 즉 누구나 돈만 내면 사용이 가능하다는 것이며, 따라서 최초 침투 방식도 가지각색이 될 수 있다는 뜻이다. 이 때문에 시니친은 “앞으로 소딘이 더 공격적으로 퍼져나갈 것”으로 예상하고 있다. “이미 각종 취약한 시스템을 장악하고 있습니다. 서버나 엔드포인트나 할 것 없이요. 또한 피싱 이메일만이 아니라 각종 익스플로잇 키트와 멀버타이징 공격을 통해서도 확산 중입니다.”

3줄 요약
1. 소딘, 대만, 홍콩, 한국에서 특히 공격적으로 퍼지고 있는 랜섬웨어.
2. 랜섬웨어로서는 독특하게 권한 상승 공격까지 하고 있음. 게다가 헤븐즈 게이트 기술까지 활용함.
3. RaaS로 제공되고 있기 때문에 각종 침투 방법을 통해 퍼질 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...