[IT/보안 뉴스] 비트코인 지갑 가로챈다…신종 랜섬웨어 '비상'

 

 

뉴스 요약

 

국내 정보기술(IT) 중견기업의 시스템 서버 관리직원 A씨는 최근 여름휴가를 다녀와 오랜만에 PC를 켰다. 밀린 업무를 위해 마이크로소프트(MS) 엑셀 파일과 워드 파일을 열었다. 그러나 작업 속도가 크게 느려지며 버벅거리는 현상이 벌어졌다. PC를 껐다 켜자 이번엔 바탕화면이 블라디미르 푸틴 러시아 대통령을 묘사한 그림으로 바뀌었다. 엑셀(xlsx), 워드(doc), 파워포인트(ppt) 등의 확장자를 가진 모든 파일이 암호화돼 열 수가 없었다. 국내 기업을 대상으로 한 랜섬웨어 ‘하쿠나 마타타’ 공격이다. 14일 보안업계에 따르면 최근 이런 신종 랜섬웨어 하쿠나 마타타 공격이 국내 기업을 대상으로 광범위하게 이뤄지고 있다.

 

https://n.news.naver.com/mnews/article/015/0004879735?sid=105

 

 

 

 

---

 

 

리뷰

 

 랜섬웨어는 악성코드를 심어 파일들을 암호화해 열 수 없게 만든 뒤 시스템 복구의 대가로 금전을 요구하는 공격 방식을 말한다. 하쿠나 마타타는 국내 기업을 노린 신종 램섬웨어 공격으로 안랩에서 하쿠나 마타타 랜섬웨어 유포 과정을 확인할 수 있었다.

 

 

<하쿠나 마타타 랜섬웨어 유포과정>

 

* 특징

- 일반 랜섬웨어와 달리 클립뱅커(ClipBanker) 기능이 존재한다. 클립뱅커란 감염 시스템에서 상주하면서 사용자가 비트코인 또는 이더리움 암호화폐의 지갑 주소를 복사할 경우 공격자의 지갑 주소로 변경하는 기능을 말한다. 그렇기 때문에 암호화된 시스템에서 비트코인 거래를 할 경우 공격자의 지갑 주소로 거래될 위험이 있다.

 

* 공격 정황 분석

보통 공격자들은 암호화한 이후 공격에 사용된 악성코드나 로그를 삭제하기 때문에 공격 정보를 확인하기 어렵다. 하지만 여러 정황을 살펴보면 원격 데스크톱 프로토콜(RDP, Remote Desktop Protocol)이 최초의 공격 벡터로 사용됐을 것으로 추정한다.

 

공격 대상 시스템이 외부에 노출되어 있고, RDP도 활성화된 상태이다. 이 시스템에서 랜섬웨어에 감염된 이후에도 지속적으로 로그인 실패 로그들이 확인된다. 만약 무차별 대입 공격에 성공할 경우, 공격자는 획득한 계정 정보를 가지고 원격 데스크톱으로 시스템에 로그인할 수 있어 시스템에 대한 제어 권한을 탈취할 수 있다.

 

이외에도 공격자가 추가로 설치한 툴이 있다.

Ÿ  메두사 락커(MedusaLocker) 조직이 RDP를 통해 유포 중인 글로브임포스터(GlobeImposter) 랜섬웨어

Ÿ   RPD를 통해 비너스(Venus) 랜섬에어를 설치하는 크라이시스(Crysis) 랜섬웨어 공격자​

 

공격자는 C드라이브 하위에 Temp 경로에 악성코드를 설치했다. 설치된 툴들은 계정 정보 탈취 기능을 담당하며 이 툴들은 \M\Pass\ 경로에 생성되었다. 공격자는 이 툴로 계정 정보를 수집하여 \M\!logs\ 경로에 텍스트 파일을 생성했을 것으로 추정된다. 또, 공격자는 프로세스 해커 및 RCH.exe와 ver7.exe 파일도 생성했는데 RCH.exe는 현재 확인이 불가능하고 cer7.exe는 하쿠나 마타타 랜섬웨어로 추정된다.

 

보통 공격자들은 공격 대상 시스템이 기업 내부 네트워크에 속해 있는 경우 다양한 툴을 활용해 내부 네트워크를 스캐닝하고 계정 정보를 수집한다. 그리고 획득한 정보를 통해 네트워크 포함된 많은 시스템을 대상으로 암호화를 시도한다. 여기서 네트워크 스캐닝이란 네트워크를 통해 제공하고 있는 서비스, 포트, HOST 정보들을 알아내는 것을 말한다. 이를 통해 열려있는 포트, 제공하는 서비스, 동작 중인 데몬, 운영체제 종류 및 버전, 취약점 등을 확인할 수 있다.

 

(조만간 네트워크 스캐닝 공부와 실습을 해볼 예정이다 !)

 

* 하쿠나 마타타 랜섬웨어 분석

암호화 알고리즘 : AES-256(CBC) / RSA-2048

확장자 : 랜덤 5글자

랜섬노트 이름 : [컴퓨터 이름]-ID-Readme.txt

암호화 제외 폴더 : “windows.old”, “windows.old.old”, “amd”, “nvidia”, “programfiles”, “programfiles(x86)”, “windows”, “$recycle.bin”, “documentsandsettings”, “intel”, “perflogs”, “programdata”, “boot”, “games”, “msocache”

암호화 제외 파일 : “iconcache.db”, “autorun.inf”, “thumbs.db”, “boot.ini”, “bootfont.bin”, “ntuser.ini”, “bootmgr”, “bootmgr.efi”, “bootmgfw.efi”, “desktop.ini”, “ntuser.dat”, “-ID-Readme.txt”

 

위에서 언급했었던 ver7.exe는 처음 실행되면 “%LOCALAPPDATA%\rundll32.exe” 경로에 스스로를 복사 및 실행해 정상 프로세스로 위장한다.

 

암호화 대상 확장자는 869개이고, 몇 개의 파일을 제외하고는 모두 암호화된다. 파일 암호화에는 AES_256(CBC, Cipher Block Chaining) 알고리즘이 사용되며, 각 파일마다 랜덤 하게 키 값과 IV를 생성해 암호화한다. 파일 암호화가 완료되면 해당 AES-256 키 값과 IV는 RSA-2048 알고리즘으로 암호화되고, 암호화된 파일 뒤에 0x100 만큼 덧붙여진다. 0x80000 보다 큰 파일의 경우에는 일정 부분만 암호화된다.

 

하쿠나 마타타는 현재 실행 중인 프로세스 중 데이터베이스 및 MS 오피스 관련 프로세스를 강제 종료 시키고 다시 암호화를 진행한다. 그리고 Run Key에 등록해 재부팅 이후에도 실행될 수 있도록 하며, 바탕화면을 변경해 사용자가 시스템이 암호화된 것을 눈치채도록 한다.

 

이후 관리자 권한으로 실행 중인지 검사하고 실행중인 경우 데이터베이스와 백업 관련 서비스를 종료한다. 그리고 볼륨 섀도 복사본을 삭제한다.

 

하쿠나 마타타는 다른 랜섬웨어와 유사하게 72시간 내에 연락하라고 적혀 있으며 그렇지 않을 경우 정보를 외부에 공개한다는 협박이 포함되어 있다.

 

하쿠나 마타타는 파일 암호화 이후에도 클립보드를 검사하여 사용자가 비트코인 지갑 주소를 복사해 클립보드에 저장했을 경우 이를 공격자의 지갑 주소로 변경한다. 비트코인 지갑 주소는 랜덤한 문자열이기 때문에 변경되었을 때 알아차리기가 매우 어렵다.

 

이 랜섬웨어는 RDP 프로토콜을 사용하였다. 피해를 예방하기 위해서는 해당 프로토콜을 사용하지 않는 경우에는 비활성화를 해야 하며, 기본적으로 비밀번호를 어렵고 주기적으로 변경해야 한다. 또한 당연하게 보안 프로그램을 수시로 업데이트한다.

 

 

https://asec.ahnlab.com/ko/55907/

국내 기업을 대상으로 공격 중인 하쿠나 마타타(Hakuna matata) 랜섬웨어 - ASEC BLOG

 

 

 

 

---

 

 

뉴스 출처

 

https://n.news.naver.com/mnews/article/015/0004879735?sid=105 

비트코인 지갑 가로챈다…신종 랜섬웨어 '비상'