백업파일을 파괴하고 LAN을 통해 공격을 확산하는 랜섬웨어 “SAMAS”

게시일: 2016-04-04 l 작성자: Trend Micro

2016년 3월 중순, 미연방수사국(FBI)과 마이크로소프트는 새로운 랜섬웨어의 존재를 확인했습니다. “SAMAS(기상)”이라 불리는 랜섬웨어는 2월 하순 트렌드마이크로에서 “RANSOM_CRYPSAM.B”라는 이름으로 감지한 바 있습니다. 트렌드마이크로 클라우드 보안센터(SPN)의 통계에 따르면, 해당 랜섬웨어는 아직 대규모로 확산되고 있지 않습니다. 하지만, 공격의 타겟이 하드웨어의 집합체인 만큼, 현재까지 확인된 정보를 안내하고자 합니다.

그림 1. SAMAS 공격 후 표시 화면

그림 1 : “SAMAS” 공격 후 표시 화면

“SAMAS”의 특징과 의미

지금까지 알려진 암호화 방식의 랜섬웨어와 비교하였을 때, "SAMAS"는 2가지의 극악한 공격 패턴이 있습니다. 첫 번째로, 공유 네트워크의 특정 데이터 파일을 암호화할 뿐만 아니라, 백업을 찾아내어 삭제하는 것입니다. 두 번째로, 사이버 공격 수법을 사용한 LAN 내 확장 공격입니다.

1. 백업의 삭제
현재까지 암호화 방식 랜섬웨어는 PC뿐만 아닌, 감염된 컴퓨터와 공유된 네트워크 상의 데이터 파일을 암호화 하는 것이었습니다. “SAMAS”의 경우, 이와 더불어 네트워크에 저장된 백업을 삭제하는 공격 패턴이 추가되었습니다. 이러한 공격은 WINDOWS 서버의 쉐도우 복사 기능을 노린 것으로, 특히 법인의 네트워크를 공격 대상으로 하는 것으로 파악됩니다. 일반 기업의 랜섬웨어 대책인 ‘정기적 백업’과 ‘돈을 지불하지 않는다’는 정책을 무력화하려는 의도임을 알 수 있습니다.

2. LAN 내 확장 공격으로 이루어지는 표적형 사이버 공격
Microsoft Technet 의 실제 공격 사례에 의하면, “SAMAS”는 기업 대상의 타겟형 공격과 유사하게 이루어지고 있습니다. "SAMAS"는 침입한 네트워크 내 서버에 공격을 확산하기 위해, 취약점을 찾아내서 네트워크 인증 정보를 탈취하여 원격으로 자신의 복사본을 실행하는 등의 공격을 이행합니다. 이러한 활동을 수행하기 위해 악성 프로그램이 아닌 일반 관리 도구 등을 사용합니다. 이러한 활동은 타겟형 사이버 공격에서 흔히 볼 수 있는 활동입니다. 그러나 중요한 정보를 탈취하여 외부로 전송하는 등의 활동은 하지 않고, 데이터 파일을 암호화 한 뒤 비트코인으로 값을 요구하는 전형적인 랜섬웨어의 활동만 이루어집니다.

초기 국가 규모의 기밀이나 첨단기술 정보를 노린 타겟형 공격은, 2015년 일반 법인과 개인 정보를 노리는 공격으로 확장되었습니다. 이번 신종 랜섬웨어인 “SAMAS”의 등장은, 이러한 사이버 공격 수법이 더 넓은 공격층으로 확대하여 금전적인 탈취를 요구하는 사례입니다.

2016년에 진입하여 마스터 부트 레코드(MBR)를 파괴하는 “PETYA”를 포함하여, 랜섬웨어의 공격이 더욱 흉악해지고 있습니다. 큰 성공을 거둔 공격은 더 넓은 범위의 공격으로 확대되어 더 많은 금전적인 요구로 이러질 것입니다. 랜섬웨어 공격은 앞으로도 지속될 것으로 판단되며, 특히 법인을 대상으로 더욱 정교하게 활동해 나갈 것으로 예상됩니다.

피해 예방법

랜섬웨어로 인한 데이터 암호화 피해를 완화하고, 조기 복구를 위해서는 데이터 백업이 중요합니다. 백업 시에는 3-2-1- 규칙을 기억하세요. 3개 이상의 백업 복사본을 2가지 형식으로, 그 중 최소 1개는 네트워크와 격리된 장소에 보관하여야 합니다.

랜섬워어 등의 악성 프로그램은 일반적으로 이메일 또는 Web을 통해 PC에 침입합니다. 따라서, 침입을 방지하기 위해, 해당 경로의 바이러스 침입을 탐지하는 제품을 도입해야 합니다.

트렌드마이크로의 대책

이번 공격은 SPN의 기능 중 하나인 ‘파일 평판(File Reputation System)’기술로 확인된 악성 프로그램입니다. 트렌드마이크로는 “RANSOM_CRYPSAM.B”등의 검출명으로 순차적인 대응을 하고 있습니다.

트렌드마이크로 오피스스캔(OfficeScan) 11.0, 트렌드마이크로 비즈니스 시큐리티 서비스는 FRS 기술이 적용된 엔드포인드 보안 제품입니다. 동시에, 이러한 엔드포인트 제품에서 동작 모니터링 기술(무단 변경 모니터링)을 강화하여 기존 발견되지 않은 랜섬웨어의 경우에도 동작 기반으로 탐지하고 차단할 수 있습니다.

이번 공격으로 확인된 악성 프로그램이 접근하는 악성 사이트는 ‘웹 평판(Web Reputation System)’ 기술을 활용하여 순차적으로 접근을 차단하고 있습니다. WRS 기술을 이용하여, 악성 사이트 접근 및 랜섬웨어 감염으로 인한 데이터 암호화가 이루어지지 않도록, 감염된 사이트에 접근하지 못하도록 방지하여 데이터 암호화의 실행을 방지하고, 나아가 실제 피해 발생을 줄일 수 있습니다.

개인용 클라이언트 종합 보안 제품 트렌드마이크로 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.


원문: 凶悪化するランサムウェア:遠隔でLAN内拡散、バックアップも破壊する「SAMAS」