랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략

게시일: 2016-07-05 l 작성자: Trend Micro

2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.

랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입니다.

트렌드마이크로에서는 대다수의 랜섬웨어가 네트워크 진입로에서 웹사이트 및 이메일 필터링을 통해 차단될 수 있다는 것을 분석하였습니다. 실제 2016년 1월부터 5월까지 당사에서는 6,600만 이상의 랜섬웨어 관련 스팸메일 및 악성 웹사이트를 차단했습니다. 따라서, 본 게시글에서는 랜섬웨어의 침입 전략과 그 대응법에 대해 확인해보고자 합니다.

침입 전략 1 : 스팸메일

스팸메일을 통한 랜섬웨어 유포 전략과 스팸 필터링 우회 기술에 대해 살펴보고자 합니다. 일반적으로 랜섬웨어 유포에 이용되는 스팸메일은 매크로(macro), 자바스크립트(Javascript) 등의 실행형 첨부파일이 포함되어 있으며, 이러한 첨부파일은 랜섬웨어 본체를 다운로드 하는 역할을 합니다.

예를 들어, 랜섬웨어 CRYLOCK / CRILOCK / CRITOLOCK (CryptoLocker) 는 이메일에 악성 파일을 첨부하며(대부분의 경우 ‘UPATRE’의 변종), 실행 시 ZBOT(ZeuS)를 다운로드하는 역할을 합니다. 이 멀웨어는 사용자의 PC에 CryptoLocker를 다운로드하여 실행합니다.

하지만, 공격은 여기서 멈추지 않습니다. 일부 랜섬웨어는 매크로 공격 방식을 추가하여, 샌드박스 기술을 우회합니다. 사용자가 악성 문서파일에 내포된 매크로 실행을 선택하도록 유도하기 위해, 사용자를 속이기 위한 사회 공학기법이 중요한 역할을 합니다.

Locky 랜섬웨어는 악성 매크로 첨부파일을 이용하는 대표적인 예입니다. 매크로에 존재하는 폼 개체(Form Object)를 이용하여 악성코드를 은폐합니다. 해당 랜섬웨어는 2015년 2월에 미국 캘리포니아 할리우드 장로 병원(Hollywood Presbyterian Medical Center) 를 공격한 바 있습니다. 2016년 5월 말부터 6월 초 모습을 감춘 Locky 랜섬웨어는 최근 활동을 재개하고 있는 것으로 확인되었습니다.

그림1. Locky 랜섬웨어를 유포하는 스팸메일

또한 당사에서는 XORBAT, ZIPPY, CRYPTESLA (TeslaCrypt) 4.0버전, CRYPTWALL (CryptoWall) 3.0버전, LOCKY 변종 등을 자동으로 다운로드 하는 자바스크립트 첨부파일 사례도 확인하였습니다. 사이버 범죄자는 Locky, CERBER와 같은 랜섬웨어를 확산하기 위해 VBScript와 같은 스크립팅 언어도 이용하고 있습니다. 스크립트 언어를 첨부 파일로 사용할 경우, 탐지가 불가능하게 되는 경우가 있기 때문입니다.

그림 2. CryptoWall 3.0 자바스크립트 파일

이메일 제목

랜섬웨어를 유포하는 이메일의 제목은 굉장히 평범합니다. 당사에서 확인한 이메일 제목은 ‘이력서’, ‘청구서’, ‘배송 정보’, ‘계정 동결’ 등이었으며, 해당 메일은 공식 기관의 이메일을 표방하여 제작되었습니다.

그림 3. TorrentLocker 유포 메일

그림 4. TorrentLocker 스팸메일의 예

호주와 유럽에서 유행한 CRYPTLOCK (TorrentLocker)의 스팸메일 활동은 주목할 만 합니다. 전형적인 영어 제목이 아닌, 특정 국가의 언어와 기관 이름을 사용합니다. 예를 들어, 호주를 대상으로 하는 경우 호주연방경찰과 호주우편공사 등 현지 기관의 메일로 위장합니다.

이러한 랜섬웨어의 스팸메일 캠페인에서 주목할 것은, 무작위로 전송하는 것이 아닌 특정 언어의 이메일을 해당 지역 사용자에게만 발송한다는 것입니다. 예를 들어, 이탈리아어로 된 스팸메일은 이탈리아의 사용자에게만 전송되었습니다.

메일 발송 타이밍

사이버 범죄자는 조직이나 기업에 스팸메일을 보낼 때 효과적인 타이밍을 노립니다. 예를 들어, CryptoWall은 사용자의 사서함에 오전 5시~9시(동부표준시) 사이에 도착하며, TorrentLocker는 대상 국가의 업무시간에 맞추어 주중 오후 1시~오후 7시경 발송됩니다. 또한, 한번에 다량의 스팸메일을 보내는 것이 아닌, 시간 별 발송량을 조절하여 최대의 효과를 노립니다. 따라서, 기존 스팸메일 탐지 방법으로 검출되지 않는 것입니다.

침입 전략 #2: 악성 웹사이트

랜섬웨어는 악성 URL 또는 변조된 웹사이트에 숨어 활동하기도 합니다. 웹 서버를 공격하여 사용자를 악성 웹사이트로 유도하는 경우도 있습니다. 웹사이트 변조는 웹 차단 기술을 우회하는 효과적인 방법입니다.

일례로, 2015년 12월 사이버 범죄자는 영국의 주요 신문사인 The Independent 의 블로그를 변조하여 TeslaCrypt 2.0을 확산시켰습니다. 문제의 블로그에 접속한 모든 사용자들은 여러 웹페이지를 거쳐 앵글러 익스플로잇 킷(Angler Exploit Kit)를 호스팅하는 사이트로 연결되었습니다. 만일 사용자의 PC가 특정 어도비 플래시 플레이어 취약점(CVE-2015-7645)을 가지고 있는 경우, 곧바로 랜섬웨어가 감염되었습니다.

웹사이트를 해킹하는 것 이외에도 사이버 범죄자들은 악성 파일을 호스트하기 위해 다양한 정식 서비스를 이용합니다. PETYA 랜섬웨어는 클라우드 스토리지 서비스인 Dropbox를 이용하여 랜섬웨어를 유포하였습니다. 구직 메일로 위장한 스팸메일을 전송하여, 첨부된 문서를 클릭하면 Dropbox에 저장된 악성 프로그램이 다운로드되어 랜섬웨어가 감염되는 것입니다.

웹 차단 우회 방법

TorrentLocker는 랜딩 페이지와 드라이브 바이 다운로드에 의한 악성 파일 다운로드와 같은 탐지 및 차단을 우회하기 위해 CAPTCHA 코드의 인증 시스템을 사용하였습니다. 이 외에도 DNS 레코드에 대한 TTL(Time to Live)를 단기간으로 설정하여, 도메인이 약 1시간 정도의 짧은 시간 동안에 활성화되기 때문에, 관련 URL 차단과 추적이 어렵습니다.

익스플로잇 킷에 의한 확산

악성 광고를 통한 익스플로잇 킷에 의한 랜섬웨어 확산도 발견되고 있습니다. 취약점 업데이트가 미비한 PC가 악성 광고를 통해 악성 웹사이트를 접속한 경우 랜섬웨어 또는 기타 악성 프로그램에 감염될 수 있습니다.

하단의 표는 다양한 익스플로잇 킷에 의해 확산되는 랜섬웨어 그룹의 목록입니다.

익스플로잇 키트 확산되는 랜섬웨어 (2015) 확산되는 랜섬웨어 (2016)
Angler Exploit Kit CryptoWall, TeslaCrypt, CryptoLocker CryptoWall, TeslaCrypt, CryptoLocker, CryptXXX
Neutrino Exploit Kit CryptoWall, TeslaCrypt CryptoWall, TeslaCrypt, Cerber, CryptXXX
Magnitude Exploit Kit CryptoWall CryptoWall, Cerber
Rig Exploit Kit CryptoWall, TeslaCrypt Ransom_GOOPIC
Nuclear Exploit Kit CryptoWall, TeslaCrypt, CTB-Locker, Troldesh TeslaCrypt, Locky
Sundown Exploit Kit CryptoShocker
Hunter Exploit Kit Locky
Fiesta Exploit Kit TeslaCrypt

 

앵글러 익스플로잇 킷은 TeslaCrypt를 유포하기 위해 사용되었지만, TeslaCrypt 개발자가 2015년 4월 활동을 중지한 뒤에는 CryptXXX의 확산에 이용되었습니다.

사이버 범죄자들은 또 다른 익스플로잇 킷인 뉴트리노(Neutrino EK), 리그(Rig EK)등을 이용하고 있습니다. CryptXXX를 유포하는 뉴트리노와 Locky를 유포하는 뉴클리어(Nuclear EK)가 각각 확산 중에 있습니다.

운영 체제를 최신 상태로 유지하는 것은 익스플로잇 킷 및 부정 광고를 통한 악성 프로그램 다운로드 방지를 위한 보호 조치입니다. 웹 검증 및 취약점 대책을 이용하여 악성 URL을 차단하는 것은 효과적인 보안 조치입니다.

트렌드마이크로의 대책

랜섬웨어에 의한 피해를 방지하지 위해 네트워크 진입로를 보호하는 것은 매우 중요합니다. 랜섬웨어가 엔드포인트까지 침투할 경우, 파일 또는 시스템 복구가 어렵습니다. 네트워크로 연결된 PC 또는 서버까지 감염이 확산될 경우, 복구는 더욱 어려워집니다. 이러한 랜섬웨어의 특성을 고려하였을 때, 기존 보안 대책으로는 충분하지 않습니다. 기업을 위한 다층 보안 설계를 권장합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다. 개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

원문: Why Ransomware Works: Arrival Tactics