Home > 전체기사
한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상
  |  입력 : 2019-07-04 11:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터
분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해


[보안뉴스 문가용 기자] 랜섬웨어가 점점 판을 치고 있는 때에 소딘(Sodin)이라는 새로운 랜섬웨어가 두각을 나타내기 시작했다. 소딘은 최근 보안 업체 카스퍼스키(Kaspersky)가 발견한 것으로, 윈도우에서 발견된 CVE-2018-8453 취약점을 익스플로잇 해 권한을 상승시키는 기능을 탑재하고 있는 것으로 알려져 있다. 이런 식의 공격은 랜섬웨어 사이에서 흔치 않은 것이다.

[이미지 = iclickart]


카스퍼스키에 따르면 소딘은 소디노키비(Sodinokibi)나 레빌(REvil)이라는 이름으로도 알려져 있으며, 지난 4월에 처음 모습을 드러냈다고 한다. 카스퍼스키의 수석 멀웨어 분석가인 페도르 시니친(Fedor Sinitsyn)은 “권한을 상승시키는 독특한 랜섬웨어”라고 소딘을 정의한다. “소딘이 익스플로잇 하는 CVE-2018-8453은, 윈도우에서 발견된 취약점으로 지난 10월 MS가 패치를 발표한 바 있습니다. 프루티아머(FrutyArmor)라는 APT 그룹이 이 취약점을 통해 중동 지역의 몇몇 주요 인물과 단체들을 표적 공격한 바 있습니다.”

CVE-2018-8453은 권한을 상승시켜주는 취약점으로, “랜섬웨어가 이러한 공격을 감행하는 건 흔치 않은 일”이다. 현재 이 독특한 랜섬웨어인 소딘은 아시아, 유럽, 북미, 아프리카 지역에서 출몰하고 있는데, 아태지역에서 가장 많이 나타나고 있다. “특히 대만과 홍콩, 대한민국에서 피해가 심각합니다.”

“소딘은 피해자의 시스템에 침투해 들어간 뒤 제일 먼저 환경설정 내용을 확인해 CVE-2018-8453을 익스플로잇 하는 게 가능한 상태인지를 살핍니다. 가능한 상태라면, 소딘은 다음으로 CPU의 아키텍처를 검사하고, 자신 안에 저장된 셸코드 두 개 중 하나를 실행시킵니다. 이 셸코드는 WinAPI 함수들을 특수한 순서로 호출합니다. 이 때 악의적으로 편집된 아규먼트를 사용해 취약점을 익스플로잇 합니다. 성공할 경우 소딘의 프로세스가 높은 권한을 얻게 되고, 그러므로 보안 솔루션들이 암호화 공격을 방해하지 못하게 됩니다.”

피해자의 시스템 내 파일들을 암호화 하는 부분에서도 여러 가지 방법들이 조합된다. “암호화 과정이 꽤나 복잡하고, 고차원적인 수준입니다. 비대칭 타원 곡선 암호 기술과 최신 대칭형 암호 방식을 혼합해서 사용하죠. 즉, 소딘의 배후에 있는 자들은 사이버 공격이 무엇인지, 암호화 기술을 어떻게 사용해야 하는지, 현대 컴퓨터 및 네트워크 구조는 어떤 취약점을 가지고 있는지 잘 이해하고 있다고 볼 수 있습니다.”

또 하나 눈에 띄는 건 공격자들이 헤븐즈 게이트(Heaven's Gate)라는 기술을 사용한다는 것이다. 이는 32비트 프로세스로 64비트 코드의 일부를 실행할 수 있게 해주는 기술로, 현존하는 디버거 대부분이 이러한 상황에서 코드 분석을 할 수 없다. 즉 분석을 방해하는 데 사용될 수 있는 고차원적 기술이라는 뜻이다.

시니친은 “헤븐즈 게이트로 분석만 방해받는 게 아니라 일부 보안 툴들의 탐지도 막을 수 있다”고 덧붙였다. 헤븐즈 게이트는 다른 멀웨어 공격에서도 간간히 발견되던 것이다. 하지만 카스퍼스키는 “랜섬웨어 공격이 헤븐즈 게이트와 결합한 건 처음 보는 일”이라고 한다.

소딘은 서비스형 랜섬웨어(RaaS)로서 배포되고 있다. 즉 누구나 돈만 내면 사용이 가능하다는 것이며, 따라서 최초 침투 방식도 가지각색이 될 수 있다는 뜻이다. 이 때문에 시니친은 “앞으로 소딘이 더 공격적으로 퍼져나갈 것”으로 예상하고 있다. “이미 각종 취약한 시스템을 장악하고 있습니다. 서버나 엔드포인트나 할 것 없이요. 또한 피싱 이메일만이 아니라 각종 익스플로잇 키트와 멀버타이징 공격을 통해서도 확산 중입니다.”

3줄 요약
1. 소딘, 대만, 홍콩, 한국에서 특히 공격적으로 퍼지고 있는 랜섬웨어.
2. 랜섬웨어로서는 독특하게 권한 상승 공격까지 하고 있음. 게다가 헤븐즈 게이트 기술까지 활용함.
3. RaaS로 제공되고 있기 때문에 각종 침투 방법을 통해 퍼질 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향