랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.

지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다. CRYPWALL, Locky, CERBER, CRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.

부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.

감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는 Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.

백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보

또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.

다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption