Home > 전체기사
최근 다시 나타난 로빈후드 랜섬웨어, 보안 솔루션부터 차단해
  |  입력 : 2020-02-10 10:16
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대만 회사 기가바이트의 정상 인증서 활용해...정상이긴 하지만 취약한 버전
패치가 완료되고 보안 솔루션 가동시킨 시스템도 당할 수밖에 없는 공격 원리


[보안뉴스 문가용 기자] 로빈후드(RobbinHood)라는 랜섬웨어를 활용하는 사이버 공격자들이 최근 정상적으로 서명된 하드웨어 드라이버들을 사용해 보안 도구들을 삭제한 후에 파일 암호화를 시작하는, 새로운 수법을 들고 나타났다.

[이미지 = iclickart]


이러한 공격에서 익스플로잇 되는 건 CVE-2019-19320이라는 취약점이라고 보안 업체 소포스(Sophos)는 밝혔다. 이 취약점은 대만의 머더보드 생산업체인 기가바이트(Gigabyte)가 예전에 출시했던 소프트웨어 패키지에 포함되어 있는, 서명된 드라이버 내에 존재하는 것으로 밝혀졌다. 취약점 패치가 이뤄진 건 2018년이지만, 기가바이트가 패치되지 않은 소프트웨어를 계속해서 사용해왔기 때문에 커다란 위협이 되고 있다.

해당 드라이버를 디지털 서명하기 위해 사용된 코드 서명 원리는 베리사인(Verisign)의 것으로, 아직까지 문제의 인증서를 폐지시키지 않고 있다는 것도 문제라고 소포스의 앤드류 브랜트(Andrew Brandt)와 마크 로만(Mark Loman)은 지적한다. “그래서 현재도 드라이버의 오센티코드(Authenticode) 서명이 유효한 것이죠.”

공격자들은 이렇게 여러 가지 요인으로 취약하게 된 기가바이트의 드라이버를 악용해 두 번째 드라이버를 윈도우 장비에 심는다. 이 드라이버는 악성이며 서명되지 않은 채다. 이 두 번째 드라이버는 보안 툴로부터 발생한 프로세스와 파일들을 마음대로 제거할 수 있게 되는데, 이 때문에 다음에 오는 랜섬웨어가 자유롭게 활동할 수 있게 된다. 이러한 방식으로 윈도우 7, 8, 10의 커널 메모리 설정 내용을 변경하는 것도 가능하다.

“악성 드라이버에는 ‘킬스위치’ 코드만 들어 있습니다. 그 외에는 아무 것도 없습니다.” 로만의 설명이다. “모든 것이 완벽히 패치된 윈도우 기반 컴퓨터를 사용한다고 하더라도, 공격자들은 가짜 인증서를 통해 방어 시스템을 무력화 한 뒤 랜섬웨어를 심어 공격을 할 수 있게 됩니다. 그것이 이번 로빈후드 캠페인의 무서운 점입니다.”

소포스는 “취약하긴 하지만 정상적으로 서명된 서드파티 인증서를 통해 랜섬웨어를 퍼트리는 공격은 처음 봤다”고 말한다. “특히 이를 방어 장치 무력화에 사용하고, 그런 뒤에 다시 랜섬웨어를 가동시키는 수법은 듣도 보도 못했습니다.”

조사를 진행하며 소포스의 보안 전문가들은 “이 공격을 진행하고 있는 자가 로빈후드를 개발한 자와 동일할 가능성이 높음을 나타내는 증거를 여럿 찾아냈다”고 한다. 로빈후드는 지난 해 5월 볼티모어 시를 마비시킨 것으로 유명한 랜섬웨어다.

로만은 세 가지 요소가 조화된 방어법이 필요하다고 권장했다. “현대의 공격자들은 셀 수 없을 만큼 다양한 기술들을 사용합니다. 그렇기 때문에 방어하는 입장에서도 다양한 기술들을 도입해야 합니다. 1) 다단계로 진행되는 공격을 훼방하는 기술, 2) 공공 클라우드를 포함하는 보안 전략, 3) 엔드포인트 보호 소프트웨어가 효과적입니다. 이 것이 첫 번째 요소입니다.”

두 번째는 “다중 인증, 복잡한 비밀번호, 제한된 권한 활용, 주기적 패치, 주기적 백업과 같은 강력한 보안 실천 사항을 준수하는 것”이라고 한다. “마지막은 조직 구성원들을 대상으로 하는 보안 교육입니다. 이는 자주, 끊임없이 해야 효과를 볼 수 있습니다.”

3줄 요약
1. 로빈후드 랜섬웨어 캠페인, 최근 기가바이트의 디지털 인증서 활용.
2. 이 인증서는 취약하다는 게 알려졌지만 폐지도 되지 않고, 계속 사용되어 오는 중.
3. 공격자들은 이를 통해 완벽히 방어가 된 시스템에라도 침투해 방어 도구 무력화 시키고 나서 공격 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)