신종 랜섬웨어 CryptXXX 발견, CVE-2016-1019 취약점 악용한 랜섬웨어 기승

[보안뉴스 김경애] 최근 신종 랜섬웨어 크립트엑스엑스엑스(CryptXXX)가 국내에 유입됐으며, CVE-2016-1019 취약점을 통해 유포된 랜섬웨어 Cerber가 기승을 부렸다. 개인과 기업에서 공포의 대상인 랜섬웨어가 일주일 단위로 발견과 확산이 반복되고 있는 상황이다. 또한, 배드록(Badlock) 취약점이 패치됐으며, 트위터는 보안기능을 강화했다. 다음은 한 주간 발생한 주요 보안이슈다.


1. 신종 랜섬웨어 CryptXXX 국내 유입
신종 랜섬웨어 CryptXXX가 지난 21일 오후 4시경 국내에 유입됐다. 랜섬웨어 이름이 CryptXXX이며, 드라이브-바이 다운로드(Drive-By-Download) 방식으로 국내에 유포됐다. 특히, CryptXXX 랜섬웨어는 기존 랜섬웨어 기능에 웹브라우저, 메신저, FTP 등 프로그램들의 계정정보 등도 훔쳐가는 기능이 추가된 것으로 분석됐다.

이처럼 랜섬웨어 공격이 갈수록 거세지고 있다. 국내 블랙마켓 사이트에서도 랜섬웨어가 돈벌이 수단으로 각광받으면서 전문 공격자들이 등장했으며, 전세계적으로는 대형 사이버범죄 조직들이 매주마다 새로운 유형의 랜섬웨어를 유포하며, 피해를 확산시키고 있다.

2. CVE-2016-1019 취약점 악용한 랜섬웨어 Cerber 기승
CVE-2016-1019 취약점을 통해 전파된 랜섬웨어도 확산되고 있다. 해당 취약점을 이용해 유포된 랜섬웨어 파일명은 swfRansom02.swf, swfRansom06.kaf외 8건이다.


.swf 확장자는 어도비에서 만든 플래시 파일 형식이다. 웹 페이지의 애니메이션이나 액션 스크립트에 사용되며, 국내에서 많이 사용하는 파일 포맷이다. 웹사이트에 있는 .swf 파일을 실행하기 위해선 사용자 PC에 어도비 플래시 플레이어 프로그램이 설치되어 있어야 한다.

CVE-2016-1019는 이렇게 인터넷 사용자에게 필수 프로그램인 어도비 플래시 플레이어에서 발생한 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전 사용자는 악의적으로 수정된 .swf 파일이 있는 웹사이트에 방문하는 것만으로도 위험에 노출될 수 있다.

다운로드 된 랜섬웨어는
.contact .dbx .doc .docx .jnt .jpg .mapimail .msg .oab .ods .pdf .pps .ppsm .ppt .pptm .prf .pst 등 확장자를 가진 파일을 암호화하고, 확장자를 .cerber로 변경한다.


이와 관련 잉카인터넷 측은 “outlook.exe, thunderbird.exe, thebat.exe, thebat64.exe, steam.exe 프로세스를 종료시키는데 이는 암호화 과정의 오류를 방지하기 위한 것으로 보인다”며 “해당 랜섬웨어는 최근 이슈가 되고 있는 음성안내를 제공한다. 뿐만 아니라 PC 언어코드를 기준으로 감염 제외 PC를 식별하는데, 감염 제외 15개국에는 러시아, 우크라이나, 아제르바이잔 등 주로 동유럽 국가가 주를 이뤘다”고 밝혔다.

3. 트위터 보안 개선사항 10가지
트위터가 사이버상에서의 사용자 보호와 계정보안을 강화하기 위해 온라인 보안 개선사항 10가지를 발표했다.


알약블로그에 따르면 트위터는 ①지난 2011년 하이재킹에서 사용자 계정을 보호하기 위해 ‘항상 HTTPS를 사용하는’ 설정기능을 활성화해 암호화를 적용할 수 있게 했다. ②계정 암호 세팅시 별도의 보안 인증을 추가할 수 있는 2factor(이중) 인증을 적용했고, ③2014년에는 암호 재설정 매커니즘을 개선시켜 좀더 로그인을 쉽게 만들었다. 이 프로세스는 사용자가 리셋 정보를 수신하기 위한 자신의 계정을 이메일 주소 또는 전화번호와 연동할 수 있다.

④이와 함께 ‘의심’ 로그인 시도가 식별되는 경우, 사용자 계정 주인만이 알고 있는 질문을 하고, 해당 사용자 계정에서 비정상적인 활동이 감지될 경우 이를 알리는 메일을 발송하도록 개선했다.

⑤이어 대량 차단 기능을 구현해 추가적인 사용자 조작으로 손쉽게 여러 계정을 차단할 수 있도록 보안을 강화했다. 사용자가 개별적으로 계정을 차단하는 대신, 문제에 직면한 다른 사람들이 작성한 차단 목록을 내보내거나 자신의 계정에 다른 사용자의 차단목록을 가져와 공유할 수 있다.

⑥2015년 7월에는 새로운 데이터 대시 보드를 오픈해 기존보다 사용자 계정을 좀 더 효율적으로 모니터링하면서 관리할 수 있는 도구를 제공했다. 대시보드는 계정 활성화 세부정보, 사용자 계정에 액세스한 장치 및 최근 로그인 기록을 보여준다.

⑦다음으로 비정상 행태 탐지 도구를 제공했는데, 이는 순식간에 증가하는 사용자 참여를 모니터링하는 데 도움이 될 수 있다. 또한, 봇 또는 스팸 검색, 새로운 소프트웨어를 출시한 이후에 발견될 수 있는 비정상 행태를 측정 시스템을 통해 검출할 수 있다.

⑧트위터의 규칙을 위반하는 욕설 및 괴롭힘 등의 내용을 포함하는 트윗에 대해 컨텐츠들을 쉽게 신고할 수 있도록 개선했고, ⑨최근에는 가짜 프로필을 금지 및 차단했다. ⑩마지막으로는 정부의 후원을 받는 해킹 시도 공격자들에게 트위터 측은 그들의 이름, IP 주소, 이메일 주소 및 전화번호를 통지하는 등의 방식으로 경고했다.

4. MS가 BSOD에 QR코드 추가
MS는 윈도우10부터 블루스크린(BSOD)에 QR코드를 추가해 사용자들이 좀 더 쉽게 오류를 확인할 수 있도록 한다고 밝혔다.

새로운 QR코드가 포함된 BSOD는 올 여름 Windows10의 1주년 업그레이드 안에 포함되어 있는 것으로 알려졌다.

사용자가 휴대폰 QR코드 인식 기능을 이용하여 QR코드를 찍으면, 특정 페이지로 연결되며, 사용자가 현재 처한 위험 혹은 오류에 대한 자세한 내용이 포함된다. 사용자는 MS 서포트를 통해 문제를 해결할 수 있으며, QR코드가 제시하는 방법에 따라 문제를 해결할 수 있게 된다.

또한, 가상머신의 도움을 받지 않고 배시(Bash)를 이용해 리눅스(Linux) 프로그램을 실행시킬 수 있는 우분투(Ubuntu) 문서 시스템 기능도 포함됐다.

5. 배드록(Badlock) 취약점 패치
삼바(Samba)와 윈도우(Windows)에 영향을 미칠 수 있는 배드록(Badlock) 취약점을 해결한 패치가 지난 12일 발표됐다.


삼바는 SMB/CIFS를 지원하는 인터넷 전송 프로토콜로서, 사용자가 삼바 서버에 유닉스(Unix)류의 OS를 설치하면 윈도우처럼 자신의 폴더, 프린트 등의 자원들을 공유할 수 있으며, 윈도우 시스템 상의 자원에도 접근할 수 있다.

배드록 취약점은 윈도우 리룩스(Windows와 Linux) OS의 Distributed Computing Environment/Remote Procdure Call(DCE/RPC) 보안 모듈에 존재한다.


해당 취약점을 이용하면 Samba에서 SAMR과 LSA의 중간자 공격이 가능(CVE-2016-2118) 하며, 윈도우에서는 SAM과 LSAD를 다운그레이드 할 수 있다(CVE-2016-0128/MS16-047).

공격자는 해당 취약점을 이용해 중간자 공격이나 DoS 공격을 할 수 있다. 영향받는 버전은 △Samba3.6.0~4..4.0 모든 버전의 Windows Vista, △Windows Server 2008, △Windows 7, △Windows Server 2008 R2, △Windows 8.1, △Windows Server 2012, △Windows Server 2012 R2, △Windows RT 8.1 및 Windows 10이다.

따라서 이용자는 아래 사이트를 참고해 최신 버전으로 업데이트하는 것이 바람직하다.
https://www.samba.org/samba/history/security.html
https://www.samba.org/samba/history/security.html
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>