*참고: 이블로그게시물에서는새로운위협에대한 Talos의활발한연구현황을설명합니다.
이는확정된내용이아니므로연구가진행되면서계속업데이트될예정입니다.
2017 년 10월 24일에 Cisco Talos에서는동부유럽및러시아전역의조직에영향을주는광범위한랜섬웨어공격에경고태세를갖추고있었습니다. 이전상황에서와마찬가지로 Cisco는위협환경전반에그러한공격이나타남과동시에, 신속하게상황을평가하여고객들이이를비롯한기타위협에서보호받을수있도록하였습니다.
지난몇개월동안대규모랜섬웨어공격이수차례있었습니다. 이는또한 Petya 랜섬웨어를기반으로한다는점에서 Nyetya와몇가지유사성을나타내는듯보입니다. 코드의주요부분들이재작성된것처럼보입니다. 배포과정을보면최근에관찰된정교한공급망공격들(Supply chain attack)과는다른듯합니다.
배포
Talos는 Fake Flash Player 업데이트가드라이브바이다운로드를통해배포되면서시스템들을감염시킨다고확신합니다. Bad Rabbit으로리디렉션되는것으로관찰된사이트들은러시아, 불가리아및터키에기반한다양한사이트들이었습니다.
사용자가이처럼침해당한웹사이트중하나를방문하면악성파일을호스팅하는 1dnscontrol[.]com이라는사이트로리디렉션되었습니다. 실제악성파일을다운로드하기전에고정 IP 주소(185.149.120[.]3)로의 'POST request' 요청이확인되었습니다. 이요청이고정경로"/scholasgoogle"에게시되는것이관찰되었으며세션의도메인이름, User Agent, 경유지및쿠키 정보들을제공하였습니다. POST 요청후드로퍼(dropper)가1dnscontrol[.]com의 /index.php 및 /flash_install.php의두경로에서다운로드되었습니다. 두경로를사용하였으나하나의파일만다운로드되었습니다. 현재정보들을기반으로확인해보면, 이악성코드는 1dnscontrol[.]com 서버가다운되기약 6시간전쯤까지활동했던것으로보입니다. 최초다운로드는 2017-10-24 08:22 UTC경에관찰되었습니다.
드로퍼(630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da)는사용자를이용해감염이쉽게이루어지도록하며직접적으로시스템을손상시키기위해어떠한익스플로잇도사용하지않습니다. 이드로퍼에는 Bad Rabbit 랜섬웨어가포함되어있습니다. 일단설치가되면내부이동및추가감염에사용되는 SMB 구성요소(component)가존재하게됩니다. 이는취약한자격증명정보(Credential)가포함된목록및 Nyetya에서사용된것과유사한 mimikatz 버전을조합해사용하는것으로보입니다. Cisco Talos에서확인한사용자이름/비밀번호조합목록은아래와같습니다. 참고로 1995년영화 'Hacker'와중복되는부분이있습니다.
확인된비밀번호목록
초기보고서이긴하지만, 현재 EternalBlue 익스플로잇이감염을확산하기위해활용되었는지여부에대한증거는발견하지못했습니다. 그러나, 지속적인연구를통해새로운사실을알게되면이를업데이트할예정입니다.
기술세부사항
악성코드에는웜페이로드(Worm payload)를추출하고실행하는드로퍼가포함되어있습니다. 이페이로드는아래와같은추가바이너리파일들을리소스영역(zlib로압축)에포함하고있습니다.
- DiskCryptor (x86/x64 드라이버 2개, 클라이언트 1개)와관련된정상적인바이너리파일들
- Nyetya에서발견된샘플과유사한 mimikatz 형태의바이너리파일들(x86/x64) 2개.이는여러가지다른 기법을사용해, 컴퓨터 메모리에서 사용자 자격 증명을 복구하는데 자주 사용되는 오픈 소스 툴입니다.
이페이로드는 C:\Windows\ 디렉토리로파일을드롭하게됩니다. 이 Mimikatz 형태의바이너리파일들은 Nyetya 공격에활용된기법과동일한방식으로실행됩니다. 페이로드와스틸러(stealer) 사이의통신은 named pipe에의해수행됩니다. 예를들면다음과같습니다.
C:\WINDOWS\561D.tmp \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}
그러면악성코드는 RunDLL32.exe를사용하여악성코드를실행하고추가적인악성행위들을수행하게됩니다. 악성코드는아래의스크린샷을통해확인할수있듯이특정파라미터로예약작업을생성합니다.
악성코드는위에서언급한예약작업뿐만아니라시스템을재부팅하는두번째예약작업을생성합니다.
이두번째작업은즉시발생하지않고나중에발생하도록예약됩니다.
이러한예약작업들의이름이익숙해보이는데"왕좌의게임"을참조한것으로보이며, 특히용들의이름과일치합니다. 악성코드는또한사용자의바탕화면에 'DECRYPT' 라는파일을만듭니다. 이파일을실행하면아래와같은랜섬노트가피해자에게표시됩니다.
이러한종류의위협이얼마나빨리전 세계로확산될수있었는지확인해보기위해그래프를통해살펴보겠습니다. 아래의그래프는피해자의시스템에악성코드를설치하는데사용된 Fake Adobe Flash update 파일배포에사용된도메인들중하나의 DNS 관련활동내역을의미합니다.
악성코드는감염된시스템의하드드라이브에있는 MBR(Master Boot Record)를수정하여, 랜섬노트를표시하기위해 boot process를악성코드제작자의코드로리디렉션합니다. 랜섬노트는시스템재부팅후에아래와같이표시되며, Cisco가올해다른주요공격에서관찰한다른랜섬웨어변종, 즉 Petya로인해표시된랜섬노트와매우유사합니다.
아래화면은 TOR 사이트의결제페이지입니다.
결론
이것은 SMB와같은 2차전파방법을활용해얼마나효과적으로랜섬웨어를전달하고확산시킬수있는지를보여준하나의예에불과합니다. 이예시에서초기벡터는정교한공급망공격(Supply chain attack)이아니었습니다. 그보다는감염된웹사이트를활용한기본적인드라이브바이다운로드에가까웠습니다. 이는빠르게위협환경의새로운표준이되고있습니다. 짧은기간동안위협이빠르게확산되어최대한의피해를입히는것입니다. 랜섬웨어는금전적이득을얻는데활용될수있을뿐아니라파괴적인속성때문에효과적인위협수단으로선택됩니다. 금전적이득을취할기회와그파괴력이보장되는한이러한위협은지속될것입니다.
이러한위협으로인해사용자교육또한주요해결과제로떠오르고있습니다. 이공격은초기감염과정에서사용자의도움을필요로합니다. 만약, 사용자가 Flash 업데이트를설치하여시스템감염에도움을주지않으면그다지유해하지않으며지역전체에피해를줄정도의위협이되지못합니다. 하지만, 사용자가초기감염에서도움을주게되면악성코드는 SMB와같은기존방법을활용하여사용자의조작없이네트워크전체에확산됩니다.
COVERAGE
AMP(Advanced Malware Protection)는이러한공격자가이용하는악성코드의실행을막는데매우효과적입니다.
CWS또는WSA웹검사는악성웹사이트에접근할수없도록액세스를차단하고이러한공격에사용된악성코드를탐지합니다.
네트워크보안어플라이언스(예: NGFW, NGIPS및 Meraki MX)는이위협과연관된악의적인활동을탐지할수있습니다.
AMP Threat Grid는모든 Cisco Security 제품에서악성바이너리파일들을식별하고보호기능을구축할수있도록지원합니다.
Umbrella는 Cisco의 SIG(secure internet gateway)로, 사용자가기업네트워크내/외부어디에있든악성도메인, IP 및 URL로연결되지않도록합니다.
이번공격의경우이메일은공격벡터로확인되지않았습니다. 악성코드가사용자네트워크에서시스템전반으로전송되는경우차단됩니다.
