Home > 전체기사
랜섬웨어 공격자들, 사람의 ‘손맛’을 가미해 탐지 피하기 시작
  |  입력 : 2020-03-10 11:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워너크라이와 낫페트야 등 기존 유명 랜섬웨어들이 자동화 기법 사용했다면
갠드크랩, 류크, 레빌, 비트페이머 등은 사람이 적극 공격 과정에 참여


[보안뉴스 문가용 기자] 인간의 적극적인 개입을 필요로 하는 랜섬웨어 캠페인이 극성을 부리기 시작했다고 마이크로소프트가 경고했다. 워너크라이(WannaCry)나 낫페트야(NotPetya)와 같은 랜섬웨어가 자동으로 퍼지면서 수많은 시스템을 농락했던 것과 달리, 레빌(REvil), 비트페이머(Bitpaymer), 류크(Ryuk)는 “최근 방어 시스템으로 탐지하기 힘든 방법”을 차용했다고 한다.

[이미지 = iclickart]


최근 방어 시스템으로 탐지하기 힘든, 인간의 적극적인 개입으로 이뤄지는 랜섬웨어 공격은 어떤 것일까? MS가 발표한 보고서에 따르면 “높은 권한을 가진 계정을 탈취하거나 환경 설정 오류를 악용한다”고 한다. 즉 크리덴셜을 통해 계정을 장악하고 감시망을 피하는 공격 기법이 랜섬웨어에 적용된 것이라고 할 수 있다.

이런 공격이 실제 벌어지고 있는 지금은 크리덴셜 및 설정 오류를 이용하는 ‘은밀한’ 공격과 랜섬웨어처럼 분명히 눈에 띄고 시끄러운 공격의 조합이 자연스러워 보이지만, 사실 이 두 가지는 상반된 특성을 가졌기 때문에 이전까지는 생각하기 힘들었다. MS의 연구원들은 “크리덴셜을 훔치고, 가짜로 로그인 하는 공격자들이 여러 다른 멀웨어를 심는 공격을 진행하다가 랜섬웨어에까지 손을 뻗친 것”이라고 설명한다.

보고서에 의하면 최근 공격자들은 빠르게 치고 들어와 돈 될 만한 것을 얼른 들고 나가는 전법을 많이 구사한다고 한다. “브루트포스 공격을 통해 시스템에 침투하고, 랜섬웨어를 심으면서 동시에 크리덴셜을 훔치는 등의 공격을 병행합니다. 이 모든 공격이 한 시간 이내에 이뤄지기 때문에 공격자가 중간에 끼어들어 공격을 방해할 가능성이 낮습니다.”

MS는 “파리나코타(Parinacota)라는 그룹이 다마(Dharma)라는 랜섬웨어를 가지고 이런 식의 치고 빠지기 전략을 구사하길 즐겨한다”고 설명했다. “파리나코타가 이런 전략을 구사해온 건 최소 18개월 정도 됐습니다. 현재는 1주일에 3~4개 조직이 여기에 당하고 있습니다. 파리나코타는 시스템에 침투해 랜섬웨어를 심어놓고 빠지기도 하지만, 최근에는 피해자 시스템으로 암호화폐 채굴을 하기도 하고, 스팸 이메일을 보내기도 합니다. 피해자는 복합적인 공격에 당하는 것입니다.”

파리나코타는 랜섬웨어를 심어 피해자들을 협박할 때 금액의 규모를 달리 한다. 즉 피해자에 대해 어느 정도 사전 지식이 있다는 뜻이다. “표적 공격의 기법을 활용한 건데, 갠드크랩(GandCrab), 메가코텍스(MegaCortex), 록커고가(LockerGoga), 로빈후드(RobbinHood) 등도 표적 공격을 통해 랜섬웨어를 심은 것으로 알려져 있습니다.”

이렇게 ‘인간이 운영에 개입하는 랜섬웨어’는 다양한 공격을 단기간 내에 퍼붓는다는 특징을 가지고 있다. MS가 짚는 또 다른 특징에는 ‘흔히 범죄자들 사이에서 거래되는 멀웨어’가 자주 사용된다는 것이 있다. “일종의 미끼로서 ‘흔한 멀웨어’들을 사용하고 있는 것으로 분석됩니다. 그런 멀웨어들이 연루된 사이버 공격은 ‘고급’으로 분류되지 않습니다. 따라서 방어 장치가 발동되더라도 진지하게 분석 및 추적되지 않습니다. 경계심을 흐트러트릴 수 있는 것이지요.”

이런 기법으로 꽤나 큰 성공을 거둔 것이 류크 랜섬웨어다. 불과 얼마 전 에픽(Epiq)이라는 글로벌 법률 컨설팅 회사를 마비시킨 것도 바로 류크 랜섬웨어의 이러한 ‘인간적’ 공격 기법이었다. 현재까지 조사된 내용에 의하면 공격자들은 제일 먼저(작년 12월) 트릭봇(TrickBot)이라는 ‘흔한 멀웨어’를 심었다고 한다. 이 트릭봇을 통해 공격자들은 리버스 셸에 접근할 수 있게 되었고, 여기서부터 네트워크에 연결된 각종 장비들에 랜섬웨어를 심을 수 있었다.

도펠페이머(DoppelPayer)라는 랜섬웨어 역시 이런 식의 공격 수법을 선보이고 있다. 최근 테슬라 등 유명 업체에 부품을 공급하는 기업이 도펠페이머에 당했는데, 공격자들은 제일 먼저 드리덱스(Dridex)라는 멀웨어부터 심었다고 한다. 그런 다음 네트워크로 뻗쳐 나가 조직 전체를 마비시키는 데 성공한 것이다.

자동화 기술을 사용하지 않고 탈취한 정상 크리덴셜이나 환경 설정 오류를 통해 은밀히 들어와 각종 사이버 공격은 물론 랜섬웨어까지 한꺼번에 혹은 조합해서 실행하는 공격은, 사건이 터진 후에야 탐지가 되는 것이 보통이라고 MS는 강조한다. “현대 사이버 방어 체계가 대부분 그렇습니다. 약간의 수작업을 가미한 것이, 공격자들에게는 틈새를 노린 좋은 전략이 되어 버렸습니다.”

이런 공격을 방어하려면 ‘사이버 보안’을 ‘IT 환경 전반에 대한 관리’까지 겸하는 개념으로 확장시켜야 한다고 MS의 보고서는 주장하고 있다. “네트워크 환경에 어떤 오류가 있는지, 직원 중 누군가의 크리덴셜이 비정상적으로 로그인 되어 있는 건 아닌지 항상 모니터링해야 합니다. 그러면서 취약한 부분을 능동적으로 찾아 먼저 해결하는 작업도 진행해야 하고, 흔하다고 여겨지는 멀웨어의 침투에 대해서도 경계해야 합니다.” 그러면서 MS는 이모텟(Emotet), 드리덱스(Dridex), 트릭봇(TrickBot)이 현재로서는 가장 조심해야 할 초기 멀웨어라고 짚었다.

3줄 요약
1. 랜섬웨어 공격, 표적형으로 진화하면서 보다 은밀해짐.
2. 공격자들이 자동으로 모든 것을 처리하는 게 아니라 직접 키보드를 두드리면서 공격하기 시작.
3. 이모텟, 드리덱스, 트릭봇을 통해 류크, 도펠페이머, 다마, 갠드크랩, 메가코텍스와 같은 랜섬웨어가 퍼지는 것 특히 조심.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)