리눅스 랜섬웨어로 다시 등장한 Erebus

게시일: 2017-06-20 l 작성자: Trend Micro

6월 10일 한국 웹 호스팅 회사인 ‘나야나’는 트렌드마이크로에서 RANSOM_ELFEREBUS.A로 탐지한 Erebus 랜섬웨어에 감염되어 153개의 리눅스 서버와 3,400개 이상의 비즈니스 웹 사이트를 감염 시켰습니다.

지난 6월 12일 나야나 웹사이트를 통해 발표된 공지에 따르면 랜섬웨어 공격자는 암호화된 파일을 풀기 위한 해독키의 가격으로 전례 없는 몸값인 550 비트코인 혹은 미화 162만 달러를 요구했습니다. 6월 14일 업데이트된 내용에 따르면 나야나는 공격자와 협상을 통해 몸값을 397.6 비트코인 (2017년 6월 19일 기준 미화 101만 달러) 낮추고 분할 지급이 되도록 진행하였습니다. 6월 17일 나야나는 웹사이트 공지를 통해 3번의 분할 지급 중 총 두 번이 지급 완료되었다고 발표하였습니다. 6월 18일, 나야나는 일괄적으로 서버를 복구하는 과정을 시작하였으나, 두 번째로 시작된 일괄적 복구 과정 중 몇 개의 서버에서 데이터베이스 오류가 발생하게 됩니다. 세 번째 분할 지급은 첫 번째와 두 번째 일괄적 복구가 성공적으로 마무리된 후 이루어질 예정입니다.

몸값의 차이가 있지만, 몸값을 지불한 후에도 암호화된 파일에 전체 액세스를 얻지 못하고 두 번째 지급을 강요당한 면에서 봤을 때, 이 사건은 캔자스 병원에서 일어난 일을 연상시킵니다.

Erebus는 악성 광고를 통해 2016년 9월 처음 등장했으며, 2017년 2월에 재등장 했을 때에는 Windows의 사용자 계정 컨트롤을 우회하는 방법을 사용했습니다. Erebus의 리눅스 버전에 대해 지금까지 밝혀낸 몇 가지 주목할만한 기술적 세부 사항은 다음과 같습니다.

그림 1. Erebus는 랜섬 노트를 다양한 언어를 통해 지원합니다. (위 그림은 영어 버전)

그림 2. 암호화된 파일을 해독하는 방법을 보여주는 공격자의 데모 비디오 스크린샷

침입 가능한 백터

Erebus 랜섬웨어가 어떻게 침입하였는지 보았을 때, Erebus는 취약점 혹은 로컬 리눅스 익스플로잇을 이용했다고 추론할 수 있습니다. 예를 들어, 오픈소스 인텔리전스에 기반을 둔 나야나의 웹사이트는 2008년 재 편집된 리눅스 커널 2.6.24.2에서 실행됩니다. 또한 DIRTY COW와 같이 공격자에게 취약한 리눅스 시스템에 루트 액세스를 제공하는 보안 결함은 이미 노출된 위협 중 일부일 뿐입니다.

더욱이 나야나의 웹사이트는 2006년 유포되었던 Apache 1.3.36 버전과 PHP 5.1.4 버전을 사용합니다. Apache 취약성PHP 익스플로잇은 너무나 잘 알려져 심지어 중국의 지하 시장에서 Apache Struts를 악용하기 위한 도구가 명백하게 팔리기도 했습니다. 나야나가 사용한 Apache의 버전은 Nobody(uid=99)모드로써 실행되고, 즉 로컬 익스플로잇 또한 공격에 사용되었다는 것을 의미합니다.

그림 3. Erebus 리눅스 랜섬웨어의 Virus Total 제출 화면

이 랜섬웨어는 적용 범위면에서 제한적이며 사실 대부분 한국에 집중되어 있습니다. 이는 랜섬웨어 공격이 특정 타겟을 대상으로 이루어진다고 볼 수도 있지만, Virus Total을 보면 그 외 우크라이나와 루마니아에서도 샘플이 제출되었음을 알 수 있습니다. 또한 이 제출물을 통해 보았을 때 공격자들이 다른 보안 연구원 출신 일 수도 있음을 암시합니다.

암호화 루틴

일부 랜섬웨어군은 UIWIX, 최근 버전의 CERBER, DMA Locker와 같은 암호화 알고리즘의 계층에서 파일을 변조하는 것으로 알려져 있습니다. Erebus는 한 단계 더 나아갔습니다. Erebus가 암호화 시킨 파일은 아래와 같은 포맷을 갖게 됩니다.

Header (0x438 bytes)
RSA-2048-encrypted original filename
RSA-2048-encrypted AES key
RSA-2048-encrypted RC4 key
RC4-encrypted data

이 파일은 먼저 무작위로 생성된 키가 있는 500kB 블록에서 RC4 암호화로 변조됩니다. RC4 키는 파일에 저장된 AES 암호화 알고리즘으로 인코딩 됩니다. AES 키는 파일에 저장되어 있는 RSA-2018 알고리즘을 사용하여 다시 암호화됩니다.

암호화된 각 파일에는 RC4 및 AES 키가 있지만 RSA-2048 공용 키는 공유됩니다. 이러한 RSA-2048 키는 로컬에서 생성되지만 개인 키는 AES 암호화와 임의로 생성된 다른 키를 사용하여 암호화됩니다. 현재까지 진행 중인 분석 결과에 따르면 RSA 키를 보유하지 않고는 암호화된 파일을 해독할 수 없습니다.

대상 파일 형식

Office 문서, 데이터베이스, 아카이브 및 멀티미디어 파일은 랜섬웨어가 대상으로 삼는 일반적인 파일 형식입니다. 이번 버전의 Erebus에서는 433개의 파일 형식을 암호화했습니다. 그러나 랜섬웨어는 주로 웹 서버와 그 안에 저장된 데이터를 타겟으로 삼고 암호화하기 위해 코딩 된 것으로 보입니다.

아래는 Erebus가 검색하는 디렉토리 및 시스템 테이블 스페이스를 정리해놓은 표입니다. var/www 는 웹사이트의 파일과 데이터가 저장되어 있는 곳이며, ibdata 파일은 MySQL에서 사용되었습니다.

Included directories: Excluded directories:
var/www/ $/bin/
Included files: $/boot/
ibdata0 $/dev/
ibdata1 $/etc/
ibdata2 $/lib/
ibdata3 $/lib64/
ibdata4 $/proc/
ibdata5 $/run/
ibdata6 $/sbin/
ibdata7 $/srv/
ibdata8 $/sys/
ibdata9 $/tmp/
ib_logfile0 $/usr/
ib_logfile1 $/var/
ib_logfile2 /.gem/
ib_logfile3 /.bundle/
ib_logfile4 /.nvm/
ib_logfile5 /.npm/

그림 4. Erebus가 검색하는 시스템 테이블 스페이스

대응 방법

낮은 시장 점유율에도 불구하고, 리눅스와 같은 Unix 및 Unix 계열의 운영 체제들은 랜섬웨어들이 계속해서 다양화되고 발전함에 따라 공격자들의 타겟이 되기 쉽습니다. 왜일까요? 그 이유는 이러한 운영체제들이 많은 기업들이 워크스테이션과 서버, 웹과 응용 프로그램 개발 프레임워크, 데이터 베이스 및 모바일 장치 등에서 사용하는 인프라 유비쿼터스의 한 부분이기 때문입니다.

WannaCry, SAMSAM, Petya 또는 HDDCryptor와 같은 다른 랜섬웨어군에서 보았듯이 서버 및 네트워크 공유에 영향을 미치는 기능은 그 영향력을 증폭시킵니다. 네트워크 상의 취약한 단 하나의 시스템만으로도 연결된 시스템과 서버를 감염시킬 수 있습니다.

기업의 운영, 평판 및 수익에 대한 위험을 감안할 때, 기업은 랜섬웨어와 같은 위협을 방지하기 위해 능동적으로 대응해야 합니다. Erebus와 같은 랜섬웨어에 대한 묘책은 없기 때문에 IT 및 시스템 관리자는 보안에 대한 보다 심층적인 방어 접근법을 고려해야 합니다. 랜섬웨어를 완화하기 위한 대응 방법은 다음과 같습니다.

  • 중요한 파일 백업
  • 3rd Party 또는 확인되지 않은 리포지터리 비활성화 또는 최소화
  • 최소한의 권한을 부여하는 원칙 적용
  • 서버 및 엔드포인트의 최신 업데이트 (혹은 가상 패치 배포)
  • 정기적인 네트워크 모니터링
  • 침입이나 감염의 징후를 검사하기 위한 이벤트 로그 검사

다음은 보안 메커니즘입니다.

  • IP 필터링, 침입 방지 및 탐지 시스템
  • 파일 또는 시스템/네트워크 자원에 대한 액세스를 관리하고 제한하는 리눅스의 보안 확장
  • 감염 및 데이터 손상을 줄이거나 완화하기 위한 네트워크 세분화데이터 분류
  • 리눅스에서 권한 구분 활성화

트렌드마이크로 솔루션

Trend Micro™ Deep Security™ 는 물리, 가상, 클라우드 서버 또는 컨테이너에 상관없이 랜섬웨어가 기업의 서버 및 워크로드를 손상시키지 않도록 합니다. Deep Security™ 는 IPS 및 호스트 방화벽으로 네트워크 위협을 방어하고 소프트웨어 패치가 적용될 때까지 취약한 서버를 가상 패치를 통해 보호합니다. 또한 Deep Security™ 는 정교한 안티 멀웨어와 행동 분석을 이용해 랜섬웨어를 비롯한 멀웨어를 차단하여 시스템 내의 악의적 행동을 바로 중단합니다. Deep Security™ 에는 서버를 잠그는 응용 프로그램 제어를 비롯한 시스템 보안 기능이 있으며 무결성 모니터링을 통해 랜섬웨어를 포함한 잠재적 IOC를 탐지합니다.

Trend Micro Deep Discovery Inspector™ 는 DDI 규칙을 통해 위협으로부터 고객을 보호합니다.

  • DDO Rule ID 3998 – “Erebus – HTTP (Request)”

TippingPoit (티핑포인트)는 ThreatDV 필터를 통해 고객을 보호합니다.

  • ThreatDV: 28725: HTTP: Erebus Ransomware Check-in

Trend Micro Deep Security™ 은 DPI 규칙을 통해 위협으로부터 고객을 보호합니다.

  • 1008457 – Ransomware Erebus

IOC (Indicators of Compromise)

SHA256 (탐지명 RAMSOM_ELFEREBUS.A)

  • 0b7996bca486575be15e68dba7cbd802b1e5f90436ba23f802da66292c8a055f
  • d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48akwcna

원문: Erebus Resurfaces as Linux Ransomware