Erebus 리눅스 랜섬웨어: 서버에 미치는 영향과 대응책

게시일: 2017-06-19 l 작성자: Trend Micro

6월 10일 한국의 웹 호스팅 회사인 ‘나야나’는 153개의 리눅스 서버가 Erebus 랜섬웨어 (Trend Micro 탐지명 ‘RANSOM_ELFEREBUS.A) 변종에 감염되어 랜섬웨어의 최대 피해자 중 하나가 되었습니다. 랜섬웨어 공격은 나야나의 서비스를 사용하는 3,400 여 기업의 웹 사이트, 데이터베이스 및 멀티미디어 파일에 영향을 미쳤습니다.

회사 웹 사이트에 게시된 최신 공지를 통해 나야나가 세 번에 나눠서 내야 할 몸값 중 첫 번째를 지불했다고 공지했지만, 아직 암호 해독키를 받지 못한 것으로 알려졌습니다.

[관련: 서버를 감염시키는 첫 번째 랜섬웨어 중 하나인 SAMSAM에 대해 자세히 알아보십시오.]

Erebus는 익스플로잇 키트를 이용하여 계정 컨트롤을 우회하는 방식으로 진화했습니다.

Erebus 랜섬웨어 (RANSOM_EREBUS.A)는 지난 2016년 9월 악성 광고에 배포되어 처음 등장했습니다. 당시의 악성 광고는 피해자들을 시스템을 랜섬웨어로 감염시키는 리그 익스플로잇 키트로 유도했습니다. 이 Erebus 변종은 423개의 파일 유형을 대상으로 하며 RSA-2048 암호화 알고리즘을 사용하여 파일을 변조함과 동시에 확장명 ‘.ecrypt’를 추가합니다. 또한 이러한 Erebus 변종이 한국의 취약한 웹사이트를 C&C 서버 (명령 및 제어 서버)로 사용하는 것으로 밝혀졌습니다.

2017년 2월까지 Erebus는 Windows에 있는 기능으로써 시스템에서 승인되지 않은 변경 활동을 막아주는 User Account Control (UAC)를 우회하는 테크닉을 사용하며 그 수법을 더 발전시킨 것으로 나타났습니다. 랜섬웨어 노트에 따르면 0.085 비트코인 (2017년 6월 15일 기준 미화 216 달러)을 96시간 내에 지불하지 않을 시 피해자의 파일을 지워버리겠다고 협박합니다. 현재의 버전 (RANSOM_EREBUS.TOR) 또한 피해자가 파일을 복구할 수 없도록 하기 위해 쉐도우 복사본의 파일들을 모두 지워버리는 수법을 씁니다.

[읽기: 네트워크 공유를 암호화할 수 있는 파일 리스, 코드 주입식 SOREBRECT 랜섬웨어에 대한 기술적 개요]

서버를 감염시키는 Erebus 랜섬웨어

나야나 서버에 감염된 변종은 리눅스 서버로 이식된 Erebus 랜섬웨어입니다. 트렌드마이크로의 지속적인 분석 결과에 따르면 이 버전은 RSA 알고리즘을 사용하여 AES 키를 암호화 시킴으로써 감염된 파일을 고유한 AES 키로 암호화 시킵니다. 지속적인 메커니즘에는 가짜 블루투스 서비스를 추가하여 시스템 또는 서버가 재부팅 된 후에도 랜섬웨어가 실행되도록 합니다. 또한 UNIX cron (명령어나 쉘스크립트를 통해 작업을 스케줄링하는 리눅스와 같은 Unix 계열의 운영체제 유틸리티)을 사용하여 랜섬웨어가 제대로 작동하고 있는지 매시간 확인합니다. 나야나의 경우도 마찬가지로 원래는 몸값으로 10 비트코인 (24,689 달러) 을 요구했지만 후에는 5 비트코인 (12,344 달러)로 내려갔습니다.

Erebus의 이러한 반복적 행동은 433개의 파일 유형을 대상으로 하며 그 주 일부는 다음을 포함합니다.

  • Office 문서 (.pptx, .docx, .xlsx)
  • 데이터베이스 (.sql, .mdb, .dbf, .odb)
  • 아카이브 (.zip, .rar)
  • 이메일 파일 (.eml, .msg)
  • 웹사이트 관련 및 개발자 프로젝트 파일 (.html, .css, .php, .java)
  • 멀티미디어 파일 (.avi, .mp4)

[읽기: 리눅스 같은 Unix 계열 시스템이 어떻게 랜섬웨어 공격 행태에 영향을 미쳤는가]

Erebus가 리눅스 시스템 또는 서버를 대상으로 하는 최초의 파일 암호화 멀웨어는 아닙니다. Linux.Encoder, Encryptor RaaS, KillDisk, Rex, FairwareKimcilWare 등 모두 리눅스를 실행하는 컴퓨터를 타겟으로 삼습니다. 사실 리눅스 랜섬웨어는 2014년 초에 등장했으며, 교육 목적으로 설계된 것으로 추정되는 오픈 소스 프로젝트의 파생물이었습니다. SAMSAM, PetyaCrysis 랜섬웨어 등을 서버를 타겟으로 삼고 침입하는 것으로 알려진 랜섬웨어 중 일부 일 뿐입니다.

리눅스 랜섬웨어는 Windows 랜섬웨어만큼 발전된 것은 아니지만 여전히 사용자와 특히 기업이 심각한 악영향을 미칠 수 있습니다. 나야나에 의해 예시된 바와 같이 리눅스는 서버 및 데이터베이스에서 웹 개발 및 모바일 장치에 이르기까지 다양한 산업 분야의 조직에서 비즈니스 프로세스의 보편적인 운영체제이자 유비쿼터스 요소입니다. 데이터 센터 및 호스팅/스토리지 서비스를 제공하는 업체들 또한 일반적으로 리눅스를 실행하는 컴퓨터를 사용합니다.

[읽기: 서버 사이드 랜섬웨어를 위한 다층화 솔루션]

리눅스 서버 및 시스템 보안 방법

Erebus와 같은 랜섬웨어가 조직의 운영, 평판 및 수익에 미치는 영향을 보면 기업의 비즈니스 프로세스를 강화하는 서버와 시스템을 보호하는 것이 굉장히 중요하다는 것을 알 수 있습니다. 또한 랜섬웨어가 엔드포인트 뿐만이 아닌 서버 및 네트워크를 감염시키는 경우 그 여파는 배로 늘어납니다. 아래는 IT/시스템 관리자 및 정보 보안 전문가가 서버 및 시스템의 보안을 강화하기 위해 할 수 있는 몇 가지 방법입니다.

  • 시스템과 서버를 최신 상태로 유지하십시오. 시스템 및 서버에 최신 패치, 픽스 및 커널이 설치 되도록 강력한 패치 관리 정책을 시행해야 합니다.
  • 서드파티와 알려지지 않은 저장소 또는 패키지를 추가하는 것을 되도록 삼가십시오. 이는 공격자가 서버나 시스템에 진입점으로 사용할 수 있는 취약점을 제한합니다. 서버의 불필요한 구성 요소나 서비스를 제거하거나 비활성화하여 위험을 더욱 줄일 수 있습니다.
  • 권한을 최소화하십시오. 리눅스의 권한 분리는 프로그램이 시스템에 대해 수행할 수 있는 수정 사항을 제한 시켜 줍니다. 사용 권한을 제한하면 위협으로의 노출과 손상을 완화하고 무단 사용을 방지할 수 있습니다. IT/시스템 관리자는 프로그램이 시스템 파일이나 네트워크 리소스에 대해 가질 수 있는 액세스 범위를 관리할 수 있도록 더 강화된 정책을 사용하시길 권장합니다.
  • 네트워크 트래픽을 사전에 모니터링하고 유효성을 검사합니다. 위협으로부터 네트워크를 보호하는 것은 모든 기업이 준비해야 할 필수 사항입니다. 침입 탐지 및 방지 시스템과 방화벽을 배치하면 트래픽을 식별, 필터링 및 차단하여 멀웨어 감염을 탐지할 수 있습니다. 이벤트 로그는 IT/시스템 관리자가 침입 시도 및 실제 공격을 탐지할 수 있도록 도와주는 포렌식 정보를 제공합니다.
  • 파일을 백업하십시오. 랜섬웨어의 맞선 대응책은 시스템 및 서버 내에 최소한 3개의 백업파일을 만들어 2개의 다른 형식과 1개의 오프라인 복사본으로 나누어서 저장하는 것입니다.
  • 네트워크 세분화 및 데이터 분류 네트워크 세분화는 감염 확산을 억제하고 데이터 분류는 공격으로 인핸 발생할 수 있는 손상을 완화시킵니다.

트렌드마이크로 솔루션

Trend Micro™ Deep Security™ 는 물리, 가상, 클라우드 서버 또는 컨테이너에 상관없이 랜섬웨어가 기업의 서버 및 작업량을 손상시키지 않도록 합니다. Deep Security™ 는 침입 방지 (IPS) 및 호스트 방화벽을 제공하여 네트워크를 위협으로부터 보호하며, 소프트웨어 패치가 적용될 때까지 가상 패치를 제공함으로써 시스템의 취약점을 보호합니다. Deep Security™ 는 정교한 멀웨어 방지 및 동작 분석 기능을 갖추어 랜섬웨어를 비롯한 멀웨어의 서버 활동을 차단하고 중단합니다. 또한 Deep Security™ 에는 서버를 잠그는 응용 프로그램 제어를 비롯하여 시스템 보안이 포함되어 있으며, 랜섬웨어를 비롯한 잠재적 IOC (Indicators of compromise)를 탐지할 수 있는 무결성 모니터링 기능이 있습니다.


[원문: Erebus Linux Ransomware: Impact to Servers and Countermeasure]