SAMSAM 랜섬웨어의 등장으로 살펴보는 패칭의 중요성

게시일: 2016-04-26 l 작성자: Trend Micro

사이버 범죄자들이 시스템과 네트워크의 취약점을 공격의 진입로로 이용하고 보안 취약점을 활용하여 공격을 확산하는 도구로 사용하면서, 패치 관리의 중요성이 부각되고 있습니다. 악명높은 SAMSAM 크립토 랜섬웨어의 공격이 이와 같습니다. 해당 랜섬웨어는 악성 URL 또는 스팸메일을 통해 침투하는 것이 아닌, 패치가 되지 않은 서버의 보안 취약점을 악용하는 악성 코드입니다.

지난 3월 켄터키 병원은 SAMSAM의 공격을 받아 모든 파일이 암호화 되었습니다. 네트워크로 연결된 파일도 암호화 대상에 포함되어 있었습니다. 의료 분야 공격을 시작으로, SAMSAM은 교육 분야로 확대해갔습니다. 최근에는 JBOSS 서버의 취약점을 이용한 SAMSAM 및 기타 악성 코드 공격으로 수많은 서버와 시스템이 감염되었습니다. JBOSS는 JAVA를 기반으로 하는 오픈소스 애플리케이션입니다. ‘Destiny’ 소프트웨어를 사용하는 시스템과 서버 또한 공격을 받았습니다. CISCO의 보고에 따르면, 해당 소프트웨어는 전세계 초ㆍ중ㆍ고등학교에서 광범위하게 사용되고 있습니다. Follet은 Destiny 소프트웨어 사용자를 위한 패치를 이미 발표하여 배포하고 있습니다.

보고에 따르면, JexBoss 익스플로잇 툴은 시스템 원격관리를 위한 스크립트인 ‘웹쉘’을 설치하기 위해 사용됩니다. 감염된 서버는 백도어, 웹쉘, 그리고 SAMSAM에 감염됩니다. 이후 랜섬웨어는 패치 되지 않은 서버에 확산되어 encryptedRSA 파일 확장자를 추가하여 파일을 암호화합니다.

패칭의 도전과제

SAMSAM이 취약점을 악용하여 네트워크를 침투하는 위협 방식의 첫 번째가 아니지만, 이러한 위협의 급증은 기업과 기관들에 새로운 보안 위험을 더해주고 있습니다. 기밀 데이터와 중요도가 높은 데이터가 암호화되거나 잃어진다면 기업들은 큰 금액을 지불하여 복구할 수 밖에 없습니다. 물론, 범죄자들에게 돈을 지불하는 것이 데이터의 완벽한 복구를 의미하지 않기 때문에 이를 추천하지 않습니다.

바이러스의 감염 벡터와 네트워크 매핑 능력이 정교할지라도, 시스템과 서버를 최신으로 업데이트하고 패칭을 적용하는 것은 공격을 막는데 큰 역할을 합니다. 하지만, IT 관리자들은 일별 시스템 운용, 중요 서비스 업데이트 유지, 네트워크 보안 등과 같은 다양한 문제에 직면하고 있습니다. 기업 환경을 보호하며 사업 운용을 유지하는 균형을 맞추는 역할을 하고 있습니다. 소프트웨어 제조사가 제로데이 익스플로잇 또는 취약점을 보완하기 위해 패치를 배포하게 되면 IT 관리자들은 이를 기업의 시스템에 직접 적용하기 전에 먼저 테스트를 진행합니다. 백버너에 패칭을 할 경우, 미션 크리티컬 시스템과 서버의 재시작이 필요하기 때문에 기업의 업무와 생산성에 방해가 될 수 있기 때문입니다.

연구에 따라면, 일반 기업에서 패치를 완벽하게 적용하기까지는 평균 30일이 걸립니다. 이 기간동안 기업은 공격의 가능성에 노출됩니다. 취약점을 이용한 공격이나 위협이 발생한다면, 기업의 보안이나 데이터가 위험 상황에 놓이게 됩니다.

가상패칭의 필요성

앞서 말한 패치 관리 문제는 가상패칭으로 해결될 수 있습니다. 해당 솔루션은, 추가 운용비용이나 다운타임 없이 취약한 서버와 엔드포인트를 보호합니다. 제조사 패치가 배포되기 전까지 가상패치를 이용하여 취약점을 보호하는 것입니다. 또한 제로데이 취약점 및 무작위 공격으로부터 긴급 패치 일정을 효율적으로 관리할 수 있습니다. 추가로, 레거시 시스템과 애플리케이션을 익스플로잇이 가진 위험으로부터 보호합니다.

가상패칭을 이용하면, SAMSAM과 같이 취약점을 악용하여 돈을 탈취하려는 시도로부터 기관의 중요 데이터를 보호할 수 있습니다. 관련된 패치를 당장 적용하지 않더라도, 해당과 같은 크립토 랜섬웨어로부터 서버를 보호합니다. 크립토 랜섬웨어가 현재 널리 확산되고 있는 악명높은 사이버 위협이라는 점에서 이는 매우 중요한 시사점입니다.

트렌드마이크로의 Deep Security는 가상패칭 기능과 더불어 침입탐지 및 방지 기능을 탑재하고 있습니다. 익스플로잇과 멀웨어 페이로드로부터 기업과 기관을 보호하는 통합 보안 솔루션입니다. 취약점을 이용한 위협과 공격이 오늘날 IT 환경에 널리 퍼져있는 만큼, 가상 패칭은 백신 프로그램과 방화벽과 같은 기본 보안 솔루션이라고 할 수 있습니다.

트렌드마이크로 Deep Security와 취약점 보호는 다음 DPI룰의 JBOSS 취약점을 이용한 공격으로부터 보호합니다.

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

또한, 트렌드마이크로의 엔드포인트 솔루션인 맥시멈 시큐리티와 같은 제품은 악성 파일을 감지하여 SAMSAM과 같은 크립토 랜섬웨어로부터 보호합니다.

티핑포인트 또한 고객에게 다음과 같은 필터를 제공하고 있습니다.

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

JBOSS 서버를 최신 버전으로 업그레이드 할 것을 권장립니다. 공격에 사용되는 취약점 중 이미 오래 전 패치가 배포된 취약점 (예를 들어, CVE-2010-0738CVE-2007-1036)도 있습니다. 또한 내부 서버의 방화벽을 이용하여 접근을 제한하는 방안도 추천드립니다.


원문: A Lesson on Patching: The Rise of SAMSAM Crypto-Ransomware