랜섬웨어 (ransomeware) 란?
사용자의 동의 없이 컴퓨터에 설치되어 파일을 암호화 시킨 후 이를 인질로 삼아 사용자에게 금전(돈)을 요구하는 악성코드 입니다. 포스팅 내용에 대한 모든 취약점은 현재 모두 조치 완료된 상태 입니다.
1. 랜섬웨어 감염 사례 1
xx 서비스 업체
가상머신 (VM) 총 4대 랜섬웨어(ransomware) 감염
– 감염경로
방화벽 및 각종 보안 장비 로그 분석 결과 러시아 IP -> RDP (원격데스크톱) 접속 -> 11.12.34.55 -> 접속 후 11.12.34..0/24 동일 네트워크 대역 Port Scan -> 11.12.34.58 접속
-> RDP 접속 -> 10.xx.xx.20 , 10.xx.xx.21 VM (클라우드 인프라 관리 네트워크 대역 접속 성공)
– 상세 설명
1) 11.12.34.55 RDP (원격데스크톱) 접속 Port 가 외부에 any 로 open
2) 11.12.34.55 원격데스크톱 포트로 -> brute force 해킹 공격 (ID / Password 무차별 대입 공격) 진행
3) administrator / qwer1234 (단순한 패스워드 사용중)
4) 11.12.34.58 VM 동일 패스워드 사용
5) 11.12.34.58 VM 에서 RDP 자격증명 저장을 사용하여 다른 10.xx.xx.20 서버로 접속 성공
(계정 정보 입력 없이 서버 바로 접속)
6) RDP 터미널 접속으로 랜섬웨어 악성코드 업로드 후 서버 감염
administrator 계정 외 해커가 생성한 계정 확인됨
– 피해 범위
최초 감염된 VM 2대는 테스트 용도로 다행히도 서비스에 영향도가 없었으나, 클라우드 인프라 관리 네트워크 대역의 VM 2대는 시스템 재구성 진행 (다행히도 VM 백업 이미지가 있었음)
– 권고 사항
RDP 원격 터미널 접속 포트 외부에 ANY OPEN 가급적이면 차단 권고 불가피하게 외부에 RDP 오픈시 계정 및 패스워드는 복잡하게 유추하기 어렵게 설정하여 사용 해야하며가급적이면 보안 채널(VPN이나 2차 인증등)을 통하여 서버에 접속 권고
2. 랜섬웨어 감염 사례 2
xx 업체 웹서버 랜섬웨어(ransomware) 감염
– 감염경로
웹서비스 취약점(파일업로드 or 기타 다른 취약점) 을 통한 감염으로 추정됨 IIS 웹 서비스 운영중이었으나, 모든 LOG 파일(웹로그)이 랜섬웨어에 감염되어 로그 분석 불가 감염된 서버 관리자 PC 점검 결과 특이 사항 발견 못함.
– 상세 설명 감염후 윈도우 폴더를 제외한 파일 확장자 전체 변경됨
형식 : 파일명.id-16진수 문자열[email].arena (CryptoMix 랜섬웨어 변종)
예) StandardInput.exe.id-FAD77E48.[koklok@cock.li].arena
OS 레지스트리 , 악성 프로세스 확인 윈도우 부팅시 자동 실행되는 레지스트리 등록됨 / 경로 : C:\Windows\System32
랜섬웨어 감염 실행 시점 행위윈도우 이벤트 로그 분석 -> 랜섬웨어 감염 과정에서 특정 기능을 해제하고 기존에 백업된 복원지점 삭제”VSS (표시 이름 : Volume Shadow Copy)” 서비스 컨트롤)
감염 파일 분석 (info.hta) / .hta는 랜섬웨어 다운로더 확장자 info.hta 파일 -> 난독화 되어져 있어 해독 불가 (스크립트 다운로더)아래 화면은 파일 내용중 난독화 부분
랜섬웨어 감염 화면 / 코인 지불 방법, 비트코인 요구 메세지
감염 파일 백신 점검 (info.hta , kok.exe) 백신 실행 -> 진단명 : 랜섬웨어 코드로 탐지
– 피해 범위
감염된 서버는 특정 기능을 하는 웹서비스 였으며, 감염 이후 기능 동작 불가로 5시간 정도 서비스 장애 발생
권고 사항
웹서비스 취약점 점검 권고 (다수의 취약점 발견됨) 서버내 안티바이러스 제품군 필수 설치 권고 (알려진 랜섬웨어는 백신에서 어느정도 선 탐지가 가능) 랜섬웨어 감염 리스크에 대한 전수 조사
3. 랜섬웨어 감염 사례 3
xxx 서비스 업체
개발자 VDI 6대 랜섬웨어(ransomware) 감염
해당 케이스는 다행이도 랜섬웨어 코드 실행시 감염 과정에서 백신에 탐지되어 감염 실패
– 감염경로
개발자 PC -> 악성코드 감염파일 VDI 업로드-> VDI 사용 개발자 일부가 팀단위 공유폴더(NAS)를 사용중 -> 공유폴더 사용자 모두 감염
– 상세 설명 VDI 접속 불가 및 OS 부팅 불가 (안전모드 진입불가)
알약 백신 중앙 관리 서버 조사 (VDI 내 백신은 설치되어 있는 상태) 감염 대상 VDI 6대 -> 진단 명칭 Gen:Variant.Mikey, Gen:Variant.Midie
비트디펜더 엔진의 제네릭(Gen, Generic) 진단 정규 진단이 아닌 특정 종류의 악성코드로 의심될 때에 표시되는 진단
랜섬웨어 코드가 실행되다 백신 프로그램에 탐지되어 실패한것으로 추정됨
– 피해 범위
VDI 내 개발 코드 및 중요 파일 복구 불가 상황이었으나 다행히 VM 이미지 백업을 주기적으로 잘 진행중인 상태여서 피해 범위가 크지 않음
– 권고 사항
VDI 내 공유폴더 삭제 권고 PC -> VDI 시스템으로 파일 업로시 보안 검증 시스템 사용 권고
감염 사례 4 / 국내 모 xxx 서비스 업체 / 랜섬웨어 감염 가능 여부 취약점 점검
아래 사례는 현재 모든 취약점이 조치된 상태이며 최대한 간략하게 기술
1) 웹 서비스 취약점으로 원격 OS 명령 실행 가능 구조
2) 원격 서버의 powershell 실행 가능
3) bitsadmin, wget 등 명령으로 원격 서버에 악성코드 다운로드 가능
4) 특정 OS 버전 취약점을 이용한 권한 상승 exploit 코드 실행으로 관리자 권한 탈취 가능
5) 악성코드 or 랜섬웨어 코드 실행 가능 여기서 더 큰 문제점(취약점) 발견 ….
6) 워너크라이 랜섬웨어(Wannacry ransomware) 형태의 코드 실행시 backend 단 전체 서버를 감염 시킬수 있는 구조(약 12,000 대 서버)
7) Backend 단 서버군 OS가 windows 특정 버전 기반으로 모두 동일하며 보안 패치가 되지 않은 상황
8) 워너크라이는 “이터널블루(Eternalblue)” 라는 윈도우 OS의 파일공유에 사용되는 SMB 원격코드 취약점을 악용함
9) Backend 서버 네트워크 구성은 SMB 관련 137(TCP), 138(UDP), 139(TCP), 445(TCP) 포트가 서로 통신이 되는 아키텍처로 네트워크를 통해 다른(모든) 서버가 랜섬웨어 감염 가능한 구조
10) 공격에 대한 POC를 진행 하였으며, 현재는 모든 취약점이 조치된 상황
이와 같이 서비스 보안 취약점을 악용하여 랜섬웨어 형태의 침해사고가 발생되면, 기업의 비지니스에 막대한 손실이 발생 될수도 있으며, 하루 아침에 사업을 접을수도 있습니다.
랜섬웨어(Ransomware) 는 이메일 첨부파일 실행파일 형태, 웹서비스 취약점, 토렌트등 파일 공유사이트, 유해 사이트 접속등 다양한 경로를 통하여 감염 될수 있습니다. (기타 다른 멀웨어 감염도 동일) 예방 방안은 관심만 있다면 누구나 인터넷만 찾아보아도 셀수 없을 정도로 많이 나오며 예방 방법도 크게 어렵지 않습니다.
그러나 현실은 보안 담당 부서에서 직원들의 보안 의식 제고를 위해 많은 노력을 기울임에도 불구하고 효과는 좋지 못한 편입니다. 받아 들이는 입장에서 아무 생각이 없다면 바위에 계란 치기나 다름 없는 것이죠.
기업의 보안 리스크를 최소화 하자면 개개인이 “설마 나는 아니겠지” “내가 당하진 않겠지” 와 같은 안일한 생각을 버리고 모든 임직원이 보안 인식에 대한 태도를 바꿔야 하는것이 보안 사고 예방의 가장 중요한 부분이라고 생각한다.