CERBER 변종, 클라우드 기반 서비스를 노린다

게시일: 2016-07-21 l 작성자: Trend Micro

기업에서 클라우드 서비스 이용을 확장시킴 따라, 사이버 범죄자들 역시 이를 악용하여 멀웨어를 호스트하고 전달하는 도구로 사용을 확대해나가고 있습니다. 사이버 범죄자는 많은 기업들이 클라우드 기반 생산성 플랫폼을 사용하여 민감한 기업 데이터를 관리하는 것을 주목하고, 이러한 클라우드 상의 정보에 접근할 수 없을 경우 기업 운영에 심각한 영향을 미칠 것을 예상하고 있습니다.

위와 같은 상황의 구체적인 예시가 바로 CERBER 크립토 랜섬웨어입니다. 최근 트렌드마이크로에서 탐지한 CERBER의 변종 RANSOM_CERBER.CAD는 개인 및 기업 Office 365 사용자를 타겟으로 하고 있는 것을 발견했습니다.

20160712cerber1ransom

그림1. CERBER 최신 변종의 4가지 랜섬노트: 랜섬노트 음성 버전의 VBS 파일, 웹 브라우저 기본 설정을 결제사이트로 연결하는 .url 및 위 그림의 .html과 .txt 파일

2016년 3월 확인된 CERBER 랜섬웨어군은 서비스거부공격(denial-of-service, DDos) 등의 기능을 추가하며 지속적으로 발전하고 있습니다. 또한 이중 압축된 윈도우 스크립트 파일(Windows Script File, 확장자 .wsf)을 활용하여 동작 감지에 의한 공격 탐지 및 스팸 메일 필터링 우회 기능이 가능합니다. 컴퓨터 기계 음성으로 랜섬노트를 재생하는 독특성을 가진 크립토 랜섬웨어 중 하나이기도 합니다. CERBER의 소스코드는 러시아 지하시장에서 ‘서비스형 랜섬웨어(Ransomware-as-a service)’로 거래되고 있어, 사이버 범죄활동의 이익이 확대에 일조하고 있습니다. 해당 랜섬웨어는 초기 뉴클리어 익스플로익 킷을 이용한 악성광고에 의해 확산되었습니다.

Sample of Cerber-carrying spam email

그림 2. 청구서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예

Sample of Cerber-carrying spam email

그림 3. 차용증서로 위장한 악성파일(매크로 워드 서식파일)이 첨부된 스팸메일의 예

CERBER의 최신 변종은 Office 365 고객을 타겟하여 매크로가 조작된 악성 파일을 첨부한 스팸메일 형태로 전송합니다. 마이크로소프트는 PC에 설치된 Office 365 및 기타 Office 소프트웨어에 대한 보안 대책을 실시하고 있으며, 이러한 대책의 일환으로 매크로를 이용하는 악성 프로그램 감정을 방지하기 위해 ‘매크로 사용 안 함’이 기본으로 설정되어 있습니다. 그러나 다른 여러 랜섬웨어와 마찬가지로 CERBER 또한 사회공학적 기법 등을 이용하여 사용자가 이러한 보안 대책을 스스로 해제하여 파일에 내장된 매크로를 수동으로 활성화하도록 유도합니다.

문서(W2KM_CERBER.CAD)의 매크로를 활성화 할 경우, VBS 코딩된 트로이목마 다운로더(VBS_CERBER.CAD)가 생성되며, 해당 다운로더는 다음의 URL에서 RANSOM_CERBER.CAD를 다운로드 합니다.

  • hxxp://92[.]222[.]104[.]182/mhtr.jpg
  • hxxp://solidaritedproximite[.]org/mhtr.jpg

해당 CERBER 변종은 AAES-265와RSA를 조합하여 442 파일 형식을 암호화하는 기능을 제공합니다. PC의 ‘IE(Internet Explorer)’의 시간대 설정을 변경하고, 섀도 복사본 제거, 윈도우 시동 복구 기능 비활성화, ‘아웃룩’ 또는 ‘Bat!’, ‘Thunderbird’와 같은 메일 프로그램 프로세스 및 MS워드 프로세스를 종료합니다. 그리고 감염된 PC가 위치한 국가가 독립국가연합 중 하나인 경우에는 악성활동을 종료합니다.

* 독립국가연합: 아제르바이잔, 아르메니아, 우크라이나, 우즈베키스탄, 카자흐스탄, 키르키즈스탄, 타지키스탄, 투르크메니스탄, 벨라루스, 몰도바, 러시아

Sample of Cerber-carrying spam email

그림4. 악성 매크로의 복호화 과정 일부, 트로이목마 VBS_CERBER.CAD생성명령, %Application Data%\{random file name}.vbs. The trojan saves the files it downloads using the name, %Application Data%\{random file name}.tmp.

트렌드마이크로는 2016년 5월부터 CERBER 랜섬웨어를 전송하는 스팸메일을 탐지하고 있습니다. 2016년 6월 눈에 띄는 급증이 발견되었습니다. 5월 스팸메일 탐지수가 800건 정도였던 것에 비해, 6월에는 12,000건 이상이 확인되었습니다. 최다를 기록한 2016년 6월 22일에는 9,000건 이상의 CERBER 확산 스팸메일이 확인되었습니다. 기타 제로데이 취약점을 이용하여 리그(Rig) 익스플로잇 킷과 마그니튜드(Magnitude) 익스플로잇 킷에 의해 확산되는 새로운 CERBER 변종도 확인되고 있습니다.

CERBER와 같은 크립토랜섬웨어의 작성자는 멀웨어 배포를 확장시키기 위한 여러 새로운 방법을 지속적으로 개발할 것입니다. 이번 경우 개인과 기업 사용자를 공격하기 위해 클라우드 기반 플랫폼을 이용했습니다. 해당 프로그램의 보안 대책이 적절하였음에도 불구하고, 사회공학적기법으로 속이기 때문에, 사용자들은 오피스 프로그램의 매크로를 비활성화 하고 수신인이 불명확한 이메일의 첨부파일을 실행할 때는 특히 더 주의해야 합니다. 백업 전략을 가지고 있는 것 또한 랜섬웨어에 대응하는 효과적인 방어입니다.

트렌드마이크로 솔루션

클라우드 기반 비즈니스 애플리케이션의 보안을 향상시키는 트렌드마이크로 클라우드 앱 시큐리티 (Cloud App Security, CAS)는 당사의 핵심 기술인 샌드박스와 평판 기술을 클라우드 기반 비즈니스 애플리케이션에서 활용할 수 있도록 기능을 구현하고, Office 365에 포함된 Exchange Online, SharePoint Online, OneDrive for Business 및 Box, Dropbox등에 높은 수준의 보안을 실현합니다. 네트워크 동작 모니터링 솔루션인 트렌드마이크로 Deep Discovery는 문서 취약점 공격 코드를 탐지하는 엔진 (Advanced Threat Scan Engine, ATSE) 등을 통해 랜섬웨어의 위협을 경고합니다.

기업 사용자는 이러한 위협에 따른 보안 위험을 줄이기 위해 다층적이고 단계적인 조치를 취해야 합니다. 이메일 공격 방지 제품 Deep Discovery Email Inspector는 이메일을 통해 유입되는 랜섬웨어를 감지하고 차단합니다. 오피스스캔과 같은 엔드포인트 제품은 동작 모니터링 기능 (무단 변경 모니터링 기능) 강화 및 애플리케이션 제어 및 취약점 패치 기능을 통해 위협을 최소화 할 수 있습니다. 서버 및 클라우드 보안 제품 Deep Security는 가상화, 클라우드, 물리적 서버 환경에서 랜섬웨어의 침입을 방지합니다. 트렌드마이크로의 개인용 솔루션 맥시멈 시큐리티 10은 악성 웹사이트, 이메일 및 기타 문서를 차단하여 랜섬웨어 및 기타 멀웨어의 공격에 대한 통합적인 보안을 제공합니다.

원문: Cerber: A Case in Point of Ransomware Leveraging Cloud Platforms