총 2,155건
신종 랜섬웨어 하쿠나 마타타 주의하세요!
안랩은 최근 하쿠나 마타타(Hakuna Matata) 랜섬웨어가 국내 기업을 노린 공격에 사용되고 있는 정황을 확인했다. 하쿠나 마타타는 최근에 제작된 랜섬웨어로, 관련 정보는 올해 7월 6일 처음 트위터를 통해 공개됐다. 그 이후인 7월 14일에는 공격자가 다크웹을 통해 게시한 하쿠나 마타타 홍보글이 트위터에서 공유됐다. 이 밖에, 무료 파일 검사 사이트인 바이러스토탈(VirusTotal)에 업로드된 하쿠나 마타타 랜섬웨어 중 올해 7월 2일에 최초로 파일이 업로드 된 것으로 확인됐다. 하쿠나 마타타 랜섬웨어의 특징과 유포 과정에 대해 알아보자.
하쿠나 마타타는 일반적인 랜섬웨어와 다르게 클립뱅커(ClipBanker) 기능이 함께 존재한다는 특징이 있다. 암호화 이후에도 시스템에 상주하며 비트코인 지갑 주소를 공격자의 주소로 변경한다. 따라서 암호화된 시스템에서 비트코인 거래를 할 경우 공격자의 지갑 주소로 거래될 위험이 있다.
[그림 1] 하쿠나 마타타 랜섬웨어의 기본 랜섬노트
공격 정황 분석
공격자는 시스템을 암호화한 이후 공격에 사용된 악성코드와 이벤트 로그를 삭제하기 때문에 정확한 정보를 확인하는 데 어려움이 있다. 하지만 여러 가지 정황으로 보아 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)이 최초의 공격 벡터로 사용됐을 것으로 추정된다.
일반적으로 공격자는 외부에서 접근 가능한, RDP가 활성화된 시스템을 스캐닝한 후 그 과정에서 찾은 시스템에 대해 무차별 대입 공격 또는 사전 공격을 수행한다. 사용자가 부적절한 계정 정보를 사용하고 있을 경우, 공격자는 계정 정보를 손쉽게 획득할 수 있다.
실제 공격 대상이 된 시스템은 외부에 노출돼 있었고, 동시에 RDP도 활성화된 상태였다. 해당 시스템에서는 랜섬웨어에 감염된 이후에도 지속적으로 로그인 실패 로그(윈도우 보안 이벤트 ID: 4625)들이 확인된다. 무차별 대입 공격에 성공할 경우, 공격자는 획득한 계정 정보를 이용해 원격 데스크톱으로 시스템에 로그인할 수 있으며, 이는 곧 공격자가 해당 시스템에 대한 제어 권한을 탈취한 것을 의미한다.
[그림 2] 무차별 대입 공격에 대한 이벤트 로그
물론 해당 로그만으로는 공격 벡터를 추정하는 데 한계가 있다. 하지만 아래와 같이 공격자가 추가로 설치한 툴을 보면, RDP를 공격 벡터로 사용하는 다른 랜섬웨어 공격 사례와 매우 유사하다.
메두사 락커(MedusaLocker) 조직이 RDP를 통해 유포 중인 글로브임포스터(GlobeImposter) 랜섬웨어
RPD를 통해 비너스(Venus) 랜섬에어를 설치하는 크라이시스(Crysis) 랜섬웨어 공격자
[그림 3] 공격자가 추가로 설치한 툴
공격에 사용된 악성코드
공격자는 “C:\Temp\” 등의 경로에 악성코드를 설치했다. 설치된 툴은 대부분 닐소프트(NirSoft)가 제작한 것으로, 주로 계정 정보 탈취 기능을 담당한다. 계정 정보 탈취 툴은 “\M\Pass\” 경로에 생성되며, 공격자는 해당 툴로 계정 정보를 수집해 “\M\!logs\”경로에 텍스트 파일로 생성했을 것으로 추정된다. 이 외에, 공격자는 프로세스 해커 및 “RCH.exe”, “ver7.exe” 파일을 생성한 것으로 알려졌다. “RCH.exe”는 현재 확인할 수 없으며, “ver7.exe”는 하쿠나 마타타 랜섬웨어로 추정된다.
파일명 (경로명) |
종류 |
\M\Pass\BulletsPassView64.exe |
BulletsPassView – NirSoft |
\M\Pass\Dialupass.exe |
dialup / RAS / VPN passwords Viewer – NirSoft |
\M\Pass\mailpv.exe |
Mail PassView – NirSoft |
\M\Pass\mspass.exe |
MessenPass (IM Password Recovery) – NirSoft |
\M\Pass\netpass64.exe |
Network Password Recovery – NirSoft |
\M\Pass\NetRouteView.exe |
Network Route Utility – NirSoft |
\M\Pass\rdpv.exe |
Remote Desktop PassView – NirSoft |
\M\Pass\RouterPassView.exe |
RouterPassView – NirSoft |
\M\Pass\VNCPassView.exe |
VNCPassView – NirSoft |
\M\Pass\WebBrowserPassView.exe |
Web Browser Password Viewer – NirSoft |
\M\Pass\WirelessKeyView64.exe |
Wireless Key View – NirSoft |
\Process Hacker 2\ProcessHacker.exe |
프로세스 해커 |
\RCH.exe |
확인되지 않음 |
\ver7.exe |
하쿠나 마타타 랜섬웨어 (추정) |
개요 |
설명 |
암호화 알고리즘 |
AES-256 (CBC) / RSA-2048 |
확장자 |
.[랜덤한 5글자] |
랜섬노트 이름 |
“[컴퓨터 이름]-ID-Readme.txt” |
암호화 제외 폴더 |
“windows.old”, “windows.old.old”, “amd”, “nvidia”, “programfiles”, “programfiles(x86)”, “windows”, “$recycle.bin”, “documentsandsettings”, “intel”, “perflogs”, “programdata”, “boot”, “games”, “msocache” |
암호화 제외 파일 |
“iconcache.db”, “autorun.inf”, “thumbs.db”, “boot.ini”, “bootfont.bin”, “ntuser.ini”, “bootmgr”, “bootmgr.efi”, “bootmgfw.efi”, “desktop.ini”, “ntuser.dat”, “-ID-Readme.txt” |
암호화 대상 확장자 |
아래 항목에 추가 |
종료 대상 프로세스 |
아래 항목에 추가 |
종료 대상 서비스 |
아래 항목에 추가 |
기타 |
– Run Key 등록 |
[표 2] 하쿠나 마타타 랜섬웨어 개요
하쿠나 마타타 랜섬웨어로 확인된 “ver7.exe”는 처음 실행되면 가장 먼저 “%LOCALAPPDATA%\rundll32.exe” 경로에 스스로를 복사 및 실행해 정상 프로세스로 위장한다.
[그림 4] ver7.exe라는 이름으로 제작된 하쿠나 마타타 랜섬웨어
암호화 대상 확장자는 869개이며, 화이트 리스트 경로에 위치하는 파일과 화이트 리스트 및 랜섬노트 파일명을 갖는 파일을 제외한 나머지를 모두 암호화한다. 파일 암호화에는 AES-256 (Cipher block Chaining, CBC) 알고리즘이 사용되며, 각 파일마다 랜덤하게 키 값과 IV를 생성해 암호화한다. 파일 암호화가 완료되면 해당 AES-256 키 값과 IV는 RSA-2048 알고리즘으로 암호화되고, 암호화된 파일 뒤에 0x100 만큼 덧붙여진다. 0x80000 보다 큰 파일의 경우에는 일정 부분만 암호화된다.
[그림 5] 파일 암호화 루틴
하쿠나 마타타는 현재 실행 중인 프로세스 중 데이터베이스 및 MS 오피스 관련 프로세스를 강제로 종료하고 다시 암호화를 진행한다. 이 뿐만 아니라 Run Key에 등록해 재부팅 이후에도 실행될 수 있도록 하며, 바탕화면을 변경해 사용자가 시스템이 암호화된 것을 눈치채도록 한다.
[그림 6] 변경된 바탕화면의 모습
이후 관리자 권한으로 실행 중인지를 검사하고, 관리자 권한으로 실행되고 있을 경우 데이터베이스와 백업 관련 서비스를 종료한다. 그런 다음, 다음과 같은 명령들을 사용해 볼륨 섀도 복사본을 삭제한다.
> vssadmin delete shadows /all /quiet & wmic shadowcopy delete |
하쿠나 마타타 랜섬웨어의 랜섬노트는 전형적인 랜섬노트와 유사하게 72시간 내에 연락하라는 내용과 그렇지 않을 경우 탈취한 정보를 외부에 공개하겠다는 협박이 포함돼 있다.
[그림 7] 하쿠나 마타타 랜섬웨어의 랜섬노트
공격자의 메일 주소: keylan@techmail[.]info, gerb666@proton[.]me
하쿠나 마타타 랜섬웨어는 감염 대상 시스템의 파일을 암호화한 이후에도 클립보드를 검사하는데, 만일 사용자가 비트코인 지갑 주소를 복사해 클립보드에 저장할 경우 이를 공격자의 지갑 주소로 변경한다. 공격자의 지갑 주소는 “RANDOM_VALUE” 문자열에서 “SALT_ALL”의 순서에 따라 생성된다.
[그림 8] 랜섬웨어에 존재하는 클립뱅커 루틴
일반적으로 암호화폐의 지갑 주소는 길고 랜덤한 문자열이기 때문에 사용자는 지갑 주소가 변경됐는지 알아채기 어렵다. 사용자가 랜섬웨어에 감염된 이후 동일한 시스템에서 비트코인 거래를 진행할 때 자칫 공격자의 주소로 비트코인이 전송될 수 있는 것도 바로 이런 이유 때문이다.
공격자의 비트코인 지갑 주소 – 1: bc1qpkgejqerp74g23m7zhjkuj6e9c3656tsppqlku
공격자의 비트코인 지갑 주소 – 2: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
결론
외부에 노출된 시스템은 지속적인 공격 대상이 된다. 윈도우 시스템에 대한 대표적인 공격 방식으로는 부적절한 계정 정보가 있는 RDP 서비스에 대한 무차별 대입 공격과 사전 공격이 있다. 특히 크라이시스, 비너스, 글로브임포스터, 메두사 락커 등 상당수의 랜섬웨어 공격자가 RDP를 초기 공격 벡터로 사용하고 있다.
공격 피해를 예방하려면 사용자는 RDP를 사용하지 않을 때 비활성화해야 한다. RDP 서비스를 사용 중일 경우, 계정의 비밀번호를 복잡한 형태로 사용하고 주기적으로 변경해야만 무차별 대입 공격을 방지할 수 있을 것이다. 또한, 악성코드 감염을 사전에 차단하기 위한 방편으로 안랩 V3를 최신 버전으로 업데이트하는 것이 좋다.
자세한 내용은 ASEC 블로그에서 확인할 수 있다.
내부자 위협, 해답은 개인정보 보호와 제로 트러스트에 있다
내부자 위협은 기업 내부의 시스템 정보와 액세스 권한을 가진 부주의하거나 악의적 목적을 가진 직원이 초래하는 보안 위협이다. 최근에는 기업에 RPA(Robotic Process Automation) 프로세스가 도입되면서, 인간이 아닌 소프트웨어 봇에 의해 기밀 정보가 유출된다는 문제도 제기됐다.
핵심은 내부자 위협에 대한 인식과 조기에 탐지해 예방하는 보안 태세가 미흡한 경우가 많다는 것이다. 기업의 보안 담당자는 무엇을 감시해야 하는지 정확히 파악하고, 내부자 위협에 대비하는 전략을 수립해야 한다.
올해 4월 한 미군이 기밀 문건을 유출한 혐의로 체포됐다. 이 군인은 미국이 전 세계에서 수집한 350여 건의 기밀을 온라인 비공개 채팅방에 공유한 것으로 알려졌다. 특별한 이념적 동기 없이 자기 과시욕을 채우려는 목적으로 기밀을 유출한 사례로서, 해당 사건을 계기로 ‘새로운 유형의 내부자 위협’에 대한 경고등이 켜졌다.
해당 용의자는 미국 정부가 ‘프리즘’이라는 프로그램을 운용하며 최소 35개국 정상의 전화를 도청했다고 폭로했다. 미국 시민의 전화 통화를 무차별 수집하는 방식의 정보기관 활동을 비판하기 위한 목적이었다. 미국이 자국의 이익을 위해 전쟁을 활용한다고 여겨 이라크 전쟁과 아프가니스탄 전쟁 관련 문서 25만 건을 유출한 것이다.
이런 내부자 위협은 과거에도 발생해왔고, 보안 분야에서 오랫동안 안고 가야 할 숙제이다. 그리고, 앞서 언급한 바와 같이 미국의 주방위군 소속 군인 한 명이 미국의 가장 중요하고 민감한 기밀을 누설한 이후, 내부자 위협으로부터 기밀이나 지적재산을 보호할 수 있는 가장 좋은 방법이 무엇인지가 다시금 화두가 되었다.
내부자 위협은 보안 분야의 오랜 숙제
내부자 위협은 회사 자산을 사용할 권한이 있고 합법적인 액세스가 가능한 직원, 퇴사자, 아웃소싱 직원 등의 사용자가 고의 또는 실수로 자산을 남용한 경우에 발생하는 보안 위협을 말한다.
글로벌 정보보안업체 프루프포인트(Proofpoint)의 ‘2022 내부자 위협의 비용 글로벌 보고서’에 따르면, 내부자 사고 총계는 6,803건으로 연간 평균 총 비용이 1,540만 달러에 달했다. 이 가운데 업무 과실과 관련된 사고는 56%이며, 과실에 의한 연간 비용은 660만 달러로 집계됐다.
이 조사에 따르면, 39%의 기업이 내부자로 인해 사이버 보안 피해를 입은 것으로 나타났다. 특히 코로나 팬데믹이 끝나가면서 내부자 위협이 기승을 부리기 시작했다. 보험사 직원이 고객의 개인정보를 흥신소에 팔아 넘긴 사건도 있었고, 공무원이 개인정보를 유출한 사고가 잇달아 발생하기도 했다.
해당 보고서에서 주목할 만한 점은 전 세계 기업 1,600곳의 CISO 1,600명을 대상으로 한 설문조사에서 대다수 CISO가 '퇴사자가 데이터 손실사고에 영향을 미친다'라고 응답했다는 사실이다.
보고서에서 CISO 1,600명 중 82%는 직원의 퇴사가 데이터 손실 사고에 영향을 미친다고 답했으며, 지난 1년간 민감 데이터 유출 문제를 처리한 적이 있다고 답한 비율은 63%였다. 이 중에서도 국내 CISO가 응답한 비율은 42%였으며, 이는 스웨덴, 독일, 미국이 각각 87%, 85%, 76%인 것에 비해 낮은 수치이다.
위협 환경에 대한 CISO의 관점에서 향후 1년 내 가장 큰 사이버보안 위협은 ▲ 이메일 사기(비즈니스 이메일 사기 공격) 33% ▲ 내부자 위협(부주의, 우발적, 악의적) 30% ▲ 디도스 공격 29% 등으로 해당 설문에서도 내부자 위협이 높은 순위를 기록했다.
내부자 위협을 막는 방법
기업 내 임직원의 잦은 입사, 퇴사, 이직은 사이버 보안 업계에서 매우 큰 이슈 중 하나이다. 사이버 공격은 끊임없이 증가하는 상황 가운데 직원들의 행위 분석 및 권한 관리에 대한 필요성은 증가하고, 잦은 입 퇴사로 인한 인사 데이터 과부하 등에 직면하면서 보안 팀의 업무 부담이 더욱 가중되고 있기 때문이다.
먼저 내부 직원이 합법적인 ID와 접근 권한을 가지고 있을 경우 보안 위협을 식별하는 것이 특히 어려워진다. 특히 클라우드가 보편화 되면서 데이터 접근 방식이 과거 전통적인 데이터 저장 및 접속 방식보다 사용자의 ID 및 계정에 훨씬 더 의존하고 있는 것이 사실이다.
퇴사자 및 협력업체 직원의 계정이 관리되지 않은 채 방치된다면 그만큼 공격자가 공격할 수 있는 지점이 더 늘어나게 된다. 피싱 메일을 통한 ID 탈취, 멀웨어, 크레덴셜 스터핑 공격 등 계정을 탈취할 수 있는 방법이 다양해지기 때문이다.
내부자 위협을 방지하려면 어떻게 해야 할까? 방화벽 또는 안티바이러스 시스템과 같은 전통적인 보안 조치는 외부자 위협에 중점을 두고 있으며, 조직 내부에서 발생하는 위협을 항상 식별할 수 있는 것은 아니다. 내부자 공격은 탐지나 예방이 더 어려울 수 있으며, 몇 달, 더 길게는 몇 년 동안 눈치채지 못할 수 있다.
내부자 위협으로부터 데이터와 네트워크를 방어하기 위한 첫 번째 방법은 제로 트러스트와 행동 분석이다. 제로 트러스트를 도입하면 아무리 내부 자료에 대한 권한을 가진 내부자라고 하더라도 쉽사리 악성 행위를 실시할 수 없게 된다. 행동 분석 기술과 조합이 되면 방어력은 더욱 상승한다.
특히 지적재산을 철저히 보호하기 위해서는 제로 트러스트가 필수이다. 지적재산은 핵심 정보이기 때문에 이를 둘러싼 제로 트러스트는 사무실에서 내근을 하든 재택 근무를 통해 외근을 하든, 지위 고하를 막론하고 언제 어디에서나 적용돼야 하는 기본 개념이라고 할 수 있다.
내부자 위협을 예방하기 위해 명확하게 문서화된 조직의 보안 정책을 수립하는 것도 중요하다. 이런 정책을 시행함으로써 잘못된 이해를 피하는 데 도움이 될 수 있다. 정책에는 사고 대응 정책 뿐만 아니라 악의적인 활동을 예방하고 탐지하는 절차도 포함돼야 한다.
이 밖에, 성공적으로 내부자 위협 탐지 전략을 수행하기 위해 가시성을 높이고 직원 행동을 추적하는 보안 툴 도입을 고려해볼 수 있다. 그 예시로는 UAM(User Activity Monitoring), SIEM(Secure Information and Event Management Systems), UBA(User Behavior Analytics), DLP(Data Loss Prevention) 등이 있다.
안랩의 솔루션, 개인정보 유출 방지와 제로 트러스트
안랩은 플랫폼과 연계/연동 기반의 보안 접근법을 바탕으로 내부자 위협 대응을 위한 솔루션들을 제공하고 있다. 직접적으로는 자사 엔드포인트 보안 플랫폼 AhnLab EPP를 구성하는 개인정보 유출 방지 솔루션 ‘AhnLab EPP Privacy Management(EPrM)’를 통한 개인정보 보호 역량을 제공한다. 나아가 종합적으로는 EPP와 방화벽 연동을 통한 ‘제로 트러스트’ 보안을 구현하여 ‘명시적 신뢰’를 검증하는 체계를 구축한다.
개인정보 유출 방지
내부자 위협이 증가하면서, 개인정보 보호에 관한 인식 제고와 엔드포인트 단에서 보호 체계를 구현하는 것도 굉장히 중요해졌다. 이 때, 개인정보 보호에 특화된 보안 솔루션을 도입하면 보안 체계 구축에 큰 도움이 된다.
안랩의 개인정보 유출 방지 솔루션 ‘AhnLab EPrM’은 이메일, 웹사이트, 프린터, 메신저, 네트워크, P2P 등 엔드포인트의 다양한 경로를 통해 개인정보가 포함된 파일이 유출되는 것을 탐지하고 원천 차단한다.
AhnLab EPrM에는 개인정보를 실시간으로 정교하게 탐지하는 ‘뉴런 서치’ 기술이 적용되어 있다. 이를 바탕으로, 개인정보가 담긴 파일의 생성부터 삭제까지 라이프사이클 전반에 걸쳐 개인정보를 점검하고 관리한다. 운영체제(OS)별 방대한 문서 변환 기술을 통해 MS 오피스, 한글, PDF 등 20여 개 포맷 문서에 대해 개인정보 포함 여부를 확인하고, 압축파일 내부 문서 파일까지도 검색이 가능하다.
궁극적으로, AhnLab EPrM 사용 시 개별 PC 내 개인정보를 지속적으로 통합 모니터링할 수 있고, 이슈가 발생할 경우 중앙 제어를 통해 빠르게 대응하는 동시에 업무 부담은 최소화시킬 수 있다. 또한, 엔드포인트 보안 플랫폼 ‘AhnLab EPP’의 연계 정책을 기반으로 플랫폼을 구성하는 다른 솔루션들과 연동하여 효율적인 정책 적용과 포괄적인 보안 기능 활용도 가능하다.
제로 트러스트
제로 트러스트의 정의는 ‘암묵적 신뢰(implicit trust)를 명시적(explicit) 리스크 및 신뢰도 수준을 지속적으로 평가하는 것으로 대체하는 보안 패러다임이다. 쉽게 말해, 인증한 다음에는 어떤 것에도 접근할 수 있었던 체계에서, 지속적으로 신뢰도를 검증하여 보안을 강화하는 방향으로의 변화라고 이해하면 된다.
안랩은 AhnLab TrusGuard(방화벽)와 AhnLab EPP 연동을 통해 제로 트러스트 보안을 구현하고 있다. 핵심은 단말의 보안 상태를 지속적으로 검증하여 방화벽을 통해 접속을 체계적으로 제어하여 보안을 강화하는 것이다. 그 방법으로는 크게 ▲디바이스 기반 제어 ▲EPP 에이전트 리다이렉트 ▲VPN 접속 제어가 있다.
간단히 살펴보면, 우선 디바이스 기반 제어는 단말의 ▲OS 버전 ▲AhnLab ESA 보안 점검 점수 ▲V3 설치 여부를 바탕으로 방화벽에서 네트워크 및 인터넷 접속을 제어할 수 있다. EPP 서버에서 에이전트가 설치된 사내망 PC를 관리하고, 방화벽이 EPP 서버로부터 PC들에 대한 다양한 정보 수집하여 관리자가 설정한 디바이스 제어 기준에 따라 트래픽 허용/차단 등 다양한 방화벽 기능을 적용하는 것이다.
EPP 에이전트 리다이렉트는 EPP 에이전트가 설치되지 않은 PC가 인터넷 통신을 할 경우, 방화벽에서 해당 트래픽을 EPP 서버로 리다이렉트하고, EPP 서버에서 에이전트 설치 유도 페이지를 안내한다. 마지막으로, VPN 접속 제어는 원격 단말의 보안 점검 점수에 따라 SSL VPN 접속을 허용한다.
이처럼 다양한 방법으로 단말의 보안 상태를 검증하여 네트워크 및 인터넷 접근을 제어하는 제로 트러스트 체계를 구축하면, 조직의 보안 및 검증 체계를 강화하여 잠재적인 내부자 위협으로부터 조직의 자산을 보호할 수 있게 된다.
안랩의 제로 트러스트 보안에 대한 자세한 사항은 다음 문서와 웨비나를 통해 확인할 수 있다.