2024-03-29 00:05 (금)
“워너크라이 랜섬웨어, 북한이 사용하는 멀웨어와 유사성 적어”
상태바
“워너크라이 랜섬웨어, 북한이 사용하는 멀웨어와 유사성 적어”
  • 길민권 기자
  • 승인 2017.05.17 00:59
이 기사를 공유합니다

파이어아이, 워너크라이 랜섬웨어 분석…지속적인 위협으로 남을 것

▲ 원격 시스템에 대한 악용 시도의 예. 파이어아이 제공
▲ 원격 시스템에 대한 악용 시도의 예. 파이어아이 제공
지난 5월 12일 시작된 랜섬웨어 워너크라이(WannaCry) 공격이 급속히 진행되며 전 세계의 조직들에게 영향을 주고 있다.

파이어아이(지사장 전수홍)의 분석에 따르면, 워너크라이 공격과 관련된 악성 바이너리는 서로 다른 두 개의 요소로 구성된다. 하나는 랜섬웨어 기능을 제공하며, 5월 12일 이전에 보고된 바 있는 워너크라이 멀웨어 샘플과 매우 유사하게 행동한다. 다른 하나는 확산에 사용되며 스캐닝과 SMB 취약점 악용 기능들을 활성화하는 역할을 한다.

이 랜섬웨어의 급속한 확산 및 분포 속도를 고려할 때, 파이어아이 아이사이트(iSIGHT) 인텔리전스는 이 공격이 취약한 윈도우 컴퓨터를 사용하는 모든 조직들에 잠재적으로 상당한 위협이 될 것으로 보고 있다.

◇워너크라이 랜섬웨어 감염 경로

워너크라이는 환경에 침투한 후, 윈도우 SMB 취약성을 악용해 확산된다. 이러한 확산 메커니즘은 감염된 네트워크에서 내부적으로는 물론 공공 인터넷을 통해 멀웨어를 유포할 수 있다. 사용된 익스플로잇(exploit)은 이터널블루(EternalBlue)라는 코드명으로 섀도우브로커(ShadowBrokers)가 유출한 것이다. 악용된 취약점에 대해 마이크로소프트는 지난 3월 보안패치 MS17-010을 발표했었다.

파이어아이의 분석에 의하면, 워너크라이는 두 가지 스레드로 증식한다. 첫 번째 스레드는 네트워크 어댑터들을 나열하여 시스템이 어떤 서브넷에 위치해 있는지를 판단한다. 그 후 멀웨어는 그 서브넷의 각 IP에 대해 스레드를 생성한다. 이 스레드는 TCP 포트 445의 IP에 연결을 시도하며, 성공하면 시스템 악용을 시도한다. 그림 1은 원격 시스템에 대한 악용 시도의 예시를 보여준다.

이러한 취약성 악용에 대응해, 마이크로소프트는 워너크라이에 대응한 위험 관리 단계를 제공했다. 워너크라이 랜섬웨어가 주로 SMB 취약점을 악용해 확산되고는 있지만, 주 공격자들이 다른 유포 방식을 사용할 가능성도 배제할 수는 없다. 워너크라이가 스팸 메시지에 포함된 악성 링크를 통해 확산되었다고 초기 보도되었으나, 파이어아이의 자체 조사 결과 그 정보는 아직까지 입증되지 않았다.

원래의 감염 경로가 무엇이 되었든, 워너크라이 공격자들은 악성 문서, 온라인 광고를 통한 악성코드(malvertising) 유포 또는 트래픽이 높은 사이트의 침해 등 랜섬웨어 공격에 보편적으로 사용되는 모든 메커니즘을 사용할 수가 있다. 이제껏 이번 공격이 보여준 큰 영향력과 조기 유포 경로의 불확실성을 고려할 때, 조직들은 모든 보편적인 멀웨어 유포 경로를 잠재적인 워너크라이 감염 소스로 간주해야 한다.

◇워너크라이 멀웨어의 특징

지금까지 식별된 각 워너크라이 변종(웜과 유사한 기능 실행)에는 여러 보안 연구자들이 멀웨어의 파일 암호화 방지에 사용했던 킬스위치(killswitch)가 포함되어 있다. 그러나 새로운 도메인을 가진 다양한 변종이 등장한 것으로 보아 공격자들은 이 기능을 제거 또는 수정할 수 있는 것으로 보인다.

5월 12일 확산이 시작된 워너크라이 패키지는 피해자의 기계를 감염시킨 후, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com에 접속하려는 시도를 한다. 파이어아이의 테스트에 따르면, 성공적으로 이 도메인에 도달한 멀웨어는 암호화나 자체 확산을 수행하지 않는다. (일부 조직들은 멀웨어가 이 경우 지속적으로 자체 확산된다고 보고했지만, 파이어아이는 테스트 환경에서 이러한 행동을 확인할 수 없었다.) 5월 12일 한 보안 전문가가 이 도메인을 등록했으며, 이로 인해 대량 감염을 유발할 수 있는 암호화 행동이 중단된 것은 분명하다. 워너크라이 개발자들은 이 킬스위치 기능을 샌드박스 분석에 대한 대책의 하나로 사용하고자 의도했을 수 있다.

5월 14일, 새로운 킬스위치 도메인 www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com을 가진 변종이 모습을 드러냈다. 이 도메인 또한 싱크홀(sinkhole)로 차단되어 표면상으로는 킬스위치 행동이 도메인에 접근한 모든 워너크라이 감염을 비활성화하도록 했다. 이러한 도메인 접속 변경이 원래의 멀웨어 유포자들에 의해 구현된 것인지 아니면 제3자가 유포된 샘플을 수정한 것인지는 분명하지 않다.

또한 5월 14일, 도메인 접속 킬스위치 기능이 포함되지 않은 새로운 변종이 파악되었다. 그러나 이러한 변경은 멀웨어가 컴파일 된 후 공격자가 아니라 제3자에 의해 구현되었을 수도 있다. 이 변종의 랜섬웨어 요소는 손상된 것으로 보이며 테스트 환경에서 기능을 수행하지 않는다.

파이어아이 측은, 위협 활동이 줄어 들고 있다는 소식도 들리지만 워너크라이는 여전히 상당한 위협으로 남아 있다. 이 멀웨어의 재확산 메커니즘이 얼마나 효과적인지를 고려한다면, 마이크로소프트가 권장한 완화 메커니즘을 적용하지 않은 거의 모든 조직들이 잠재적으로 워너크라이 확산 시도에 노출되어 있다고 볼 수 있다. 그뿐만 아니라, 새로운 변종의 출현은 공격자들이 원하면 워너크라이의 킬스위치 기능을 제거하거나 대폭 수정해 이제까지 취해진 대응책을 회피할 수도 있음을 보여준다고 밝혔다.

전수홍 파이어아이 코리아 지사장은 “이번 랜섬웨어 사태는 시스템을 최신상태로 업데이트하는 것이 얼마나 중요한 지 잘 보여주는 사례다. 랜섬웨어 공격 방어를 위해서는 마이크로소프트 보안 업데이트를 최신 버전으로 설치하는 것을 권장한다. 만약 업데이트가 불가능할 경우, 시스템을 인터넷 연결로부터 차단하는 조치를 취한 후, 다른 보안 콘트롤을 실행하는 것이 중요하다”고 말했다.

한편 이번 '워너크라이' 랜섬웨어 공격의 배후에 북한이 있다는 주장에 대해 파이어아이 분석팀 매니저 존 밀러(John Miler)는 "북한과의 연관성에 대해 조사를 진행했으나, 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않기 때문에, 현시점에서는 북한의 소행으로 단정짓기는 어렵다. 하지만, 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★