Home > 전체기사
한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상
  |  입력 : 2019-07-04 11:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터
분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해


[보안뉴스 문가용 기자] 랜섬웨어가 점점 판을 치고 있는 때에 소딘(Sodin)이라는 새로운 랜섬웨어가 두각을 나타내기 시작했다. 소딘은 최근 보안 업체 카스퍼스키(Kaspersky)가 발견한 것으로, 윈도우에서 발견된 CVE-2018-8453 취약점을 익스플로잇 해 권한을 상승시키는 기능을 탑재하고 있는 것으로 알려져 있다. 이런 식의 공격은 랜섬웨어 사이에서 흔치 않은 것이다.

[이미지 = iclickart]


카스퍼스키에 따르면 소딘은 소디노키비(Sodinokibi)나 레빌(REvil)이라는 이름으로도 알려져 있으며, 지난 4월에 처음 모습을 드러냈다고 한다. 카스퍼스키의 수석 멀웨어 분석가인 페도르 시니친(Fedor Sinitsyn)은 “권한을 상승시키는 독특한 랜섬웨어”라고 소딘을 정의한다. “소딘이 익스플로잇 하는 CVE-2018-8453은, 윈도우에서 발견된 취약점으로 지난 10월 MS가 패치를 발표한 바 있습니다. 프루티아머(FrutyArmor)라는 APT 그룹이 이 취약점을 통해 중동 지역의 몇몇 주요 인물과 단체들을 표적 공격한 바 있습니다.”

CVE-2018-8453은 권한을 상승시켜주는 취약점으로, “랜섬웨어가 이러한 공격을 감행하는 건 흔치 않은 일”이다. 현재 이 독특한 랜섬웨어인 소딘은 아시아, 유럽, 북미, 아프리카 지역에서 출몰하고 있는데, 아태지역에서 가장 많이 나타나고 있다. “특히 대만과 홍콩, 대한민국에서 피해가 심각합니다.”

“소딘은 피해자의 시스템에 침투해 들어간 뒤 제일 먼저 환경설정 내용을 확인해 CVE-2018-8453을 익스플로잇 하는 게 가능한 상태인지를 살핍니다. 가능한 상태라면, 소딘은 다음으로 CPU의 아키텍처를 검사하고, 자신 안에 저장된 셸코드 두 개 중 하나를 실행시킵니다. 이 셸코드는 WinAPI 함수들을 특수한 순서로 호출합니다. 이 때 악의적으로 편집된 아규먼트를 사용해 취약점을 익스플로잇 합니다. 성공할 경우 소딘의 프로세스가 높은 권한을 얻게 되고, 그러므로 보안 솔루션들이 암호화 공격을 방해하지 못하게 됩니다.”

피해자의 시스템 내 파일들을 암호화 하는 부분에서도 여러 가지 방법들이 조합된다. “암호화 과정이 꽤나 복잡하고, 고차원적인 수준입니다. 비대칭 타원 곡선 암호 기술과 최신 대칭형 암호 방식을 혼합해서 사용하죠. 즉, 소딘의 배후에 있는 자들은 사이버 공격이 무엇인지, 암호화 기술을 어떻게 사용해야 하는지, 현대 컴퓨터 및 네트워크 구조는 어떤 취약점을 가지고 있는지 잘 이해하고 있다고 볼 수 있습니다.”

또 하나 눈에 띄는 건 공격자들이 헤븐즈 게이트(Heaven's Gate)라는 기술을 사용한다는 것이다. 이는 32비트 프로세스로 64비트 코드의 일부를 실행할 수 있게 해주는 기술로, 현존하는 디버거 대부분이 이러한 상황에서 코드 분석을 할 수 없다. 즉 분석을 방해하는 데 사용될 수 있는 고차원적 기술이라는 뜻이다.

시니친은 “헤븐즈 게이트로 분석만 방해받는 게 아니라 일부 보안 툴들의 탐지도 막을 수 있다”고 덧붙였다. 헤븐즈 게이트는 다른 멀웨어 공격에서도 간간히 발견되던 것이다. 하지만 카스퍼스키는 “랜섬웨어 공격이 헤븐즈 게이트와 결합한 건 처음 보는 일”이라고 한다.

소딘은 서비스형 랜섬웨어(RaaS)로서 배포되고 있다. 즉 누구나 돈만 내면 사용이 가능하다는 것이며, 따라서 최초 침투 방식도 가지각색이 될 수 있다는 뜻이다. 이 때문에 시니친은 “앞으로 소딘이 더 공격적으로 퍼져나갈 것”으로 예상하고 있다. “이미 각종 취약한 시스템을 장악하고 있습니다. 서버나 엔드포인트나 할 것 없이요. 또한 피싱 이메일만이 아니라 각종 익스플로잇 키트와 멀버타이징 공격을 통해서도 확산 중입니다.”

3줄 요약
1. 소딘, 대만, 홍콩, 한국에서 특히 공격적으로 퍼지고 있는 랜섬웨어.
2. 랜섬웨어로서는 독특하게 권한 상승 공격까지 하고 있음. 게다가 헤븐즈 게이트 기술까지 활용함.
3. RaaS로 제공되고 있기 때문에 각종 침투 방법을 통해 퍼질 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상