트렌드마이크로, 파일리스 코드 주입식 랜섬웨어 ‘SOREBRECT’ 감지
중동지역에서 시스템과 네트워크 감염...이후 유럽과 아시아, 미국까지 확산

[보안뉴스 원병철 기자] 파일리스 위협과 랜섬웨어는 전혀 새로운 위협은 아니지만 두 가지 특성이 결합되면 위험한 멀웨어로 재탄생 될 수 있다. 트렌드마이크로가 RANSOM_SOREBRECT.A와 RANSOM_SOREBRECT.B라고 명명한 파일리스 코드 주입식 랜섬웨어인 ‘SOREBRECT’가 바로 그 예다.


처음 SOREBRECT를 발견했을 때는 쿠웨이트와 레바논과 같은 중동 국가에서만 한정적으로 관찰됐다. SOREBRECT 샘플을 추출해 분석한 결과, 피해자의 데이터를 암호화하기 위해 색다른 기법을 사용하는 것으로 나타났다. PsExec 유틸리티를 악용하는 것도 주목할 만한 점인데, 랜섬웨어의 코드 주입 활동을 위해 SOREBRECT의 운영자는 이러한 방식으로 주로 이용하고 있다.

SOREBRECT의 스틸스 특성
SOREBRECT의 최종 목표는 파일 암호화이지만 근간이 되는 활동은 스틸스다. 랜섬웨어의 자폭 루틴을 통해 SOREBRECT는 파일리스 위협의 특성을 띄며, 메인 바이너리가 종료되기 전에 랜섬웨어가 (암호화 루틴을 실행하는) 정상적인 시스템 프로세스에 코드를 주입하는 방식으로 이루어진다. SOREBRECT는 감염된 시스템의 이벤트 로그와 그 밖의 아티팩트(Artifacts)를 삭제하기 위한 노력에 박차를 가하고 있는데, 타임스탬프를 포함해 시스템에서 실행되는 파일 등과 같은 포렌식 정보를 제공해주기 때문이다. 이를 삭제함으로써 분석을 막고 SOREBRECT의 활동을 추적하지 못하도록 방해한다.

처음 SOREBRECT를 발견했을 때 쿠웨이트와 레바논과 같은 중동 국가에서만 한정적으로 관찰됐다. 하지만 5월 초에는 캐나다, 중국, 크로아티아, 이탈리아, 일본, 멕시코, 러시아, 대만 및 미국에서도 SOREBRECT가 탐지됐고, 감염된 산업도 제조업, 기술 및 이동 통신사들이 포함됐다. 랜섬웨어의 잠재적 영향력과 수익성을 고려해볼 때, 다른 국가에서도 SOREBRECT가 활동할 가능성이 높으며, 사이버범죄 지하조직을 통해 하나의 서비스로 전파될 수도 있다.


SOREBRECT, 코드 주입 방식을 이용한 파일리스 위협
SOREBRECT의 공격 체인에는 PsExec를 악용하는 활동이 포함되는데, 이는 시스템 관리자가 원격 시스템에서 명령을 실행하거나 실행 파일을 실행할 수 있도록 하는 Windows 명령줄 유틸리티다. PsExec을 악용해 SOREBRECT를 설치한다는 것은 곧 관리자의 자격 증명이 해킹을 당했거나 원격 기기가 노출됐을 경우, 혹은 무작위 공격을 받았다는 것을 의미한다. SOREBRECT가 PsExec를 악용한 최초의 공격은 아니며 SAMSAM(RANSOM_SAMSAM), Petya(RANSOM_PETYA), 그리고 Petya에서 파생된 PetrWrap도 PsExec를 이용하여 감염된 서버나 엔드포인트에 랜섬웨어를 설치한다.

SOREBRECT는 PsExec을 악의적으로 배포하고 코드 주입을 실행함으로써 공격의 강도를 한 차원 높이고 있다. 이는 자신의 코드를 Windows의 svchost.exe 프로세스에 주입하고 메인 바이너리는 자폭시킨다. 이 둘의 결합은 강력한 힘을 발휘한다. 파괴된 랜섬웨어 바이너리의 실행이 중단되면 주입된 svchost.exe(정상적인 Windows 서비스를 호스팅하는 시스템 프로세스)가 페이로드(파일 암호화)의 실행을 재개한다. SOREBRECT는 코드 주입 후 파일리스 상태가 되기 때문에 엔드포인트에서 바이너리 샘플을 찾아내기가 어렵게 된다.

그렇다면 SOREBRECT는 왜 PsExec를 이용할까? 공격자들은 PsExec 뿐만 아니라 원격 데스크톱 프로토콜(RDP)을 이용해도 감염된 기기에 SOREBRECT를 설치할 수 있지만, 코드 주입 기능이 공격의 효과성을 높여주기 때문이다. RDP를 사용하는 것에 비해 PsExec은 사용이 더 간편하고 SOREBRECT의 파일리스 및 코드 주입 기능을 활용할 수 있다는 장점이 있다.

PsExec은 양방향 로그인 세션을 이용하거나 수작업으로 원격 기기에 멀웨어를 전송하는 대신 공격자가 원격으로 명령을 실행할 수 있도록 한다. SOREBRECT의 경우 메인 바이너리가 실행되면 악성코드가 주입된 svchost.exe 프로세스가 페이로드를 계속 진행할 수 있기 때문에 공격자들에겐 PsExec을 이용하는 것이 더 효과적이다.

SOREBRECT는 추적을 피하기 위해 wevtutil.exe를 이용해 시스템의 이벤트 로그를 삭제하고, vssadmin을 이용해 섀도 복사본을 삭제한다. 악성코드가 주입된 svchost.exe 프로세스는 로컬 기기와 네트워크 공유의 파일들을 암호화하는 페이로드를 실행한다. SOREBRECT는 Tor 네트워크 프로토콜을 이용해 C&C 서버로의 연결을 익명화한다.




네트워크 공유도 암호화할 수 있는 SOREBRECT
SOREBRECT는 로컬 네트워크를 통해 감염된 기기에 연결하는 다른 컴퓨터의 파일도 감염시킬 수 있다. 네트워크를 스캔해 자산을 검색하고, 다른 사람들이 네트워크를 통해 지속적으로 액세스하는 공개된 공유(폴더, 콘텐츠 또는 주변기기)를 열거(Enumerating)한다. 활성 호스트를 발견하면 공유를 검색한 후에 연결을 개시한다. 공개 공유인 경우 인증을 성공적으로 할 수 있다. 이 공유가 연결하는 모든 사람이 읽고 쓸 수 있도록 설정되어 있다면, 이 공유는 암호화될 수 있다.




시스템 및 네트워크 보안을 위한 모범 사례 도입
SOREBRECT가 기업의 서버와 엔드포인트에 미칠 수 있는 잠재적 피해를 방지하기 위해 IT/시스템 관리자와 정보보안 전문가들은 랜섬웨어를 차단할 수 있는 다음과 같은 모범 사례를 고려해봐야 할 것이다.

△ 사용자 쓰기 권한 제한
네트워크 공유가 랜섬웨어에 노출되는 가장 큰 원인은 사용자들에게 모든 권한을 부여하기 때문이다. 권한을 제한함으로써 랜섬웨어가 네트워크에서 파일 암호화 루틴을 실행하지 못하도록 방지할 수 있다. 도메인 내의 각 사용자에 대한 권한을 검토하는 작업부터 시작하는 것이 좋다. 액티브 디렉터리 내 각 사용자 계정/그룹을 검토해 필요한 권한만을 부여한다. 네트워크상의 공유 파일과 폴더들에 대해서도 보안을 구성하는 것이 좋다(폴더에 누구나 손쉽게 접근할 수 있도록 구성하지 않는다).

△ PsExec에 대한 권한 제한
PsExec은 기업 네트워크에서 주로 사용되며 시스템 관리자가 보다 유연하게 원격 기기와 상호 작용할 수 있도록 한다. 하지만 사이버 범죄자의 손에 넘어가게 되면 해킹된 자격 증명을 이용해 원격 시스템에서 자유롭게 작동시킬 수 있는 기회를 제공하게 되며, 이로써 사이버 범죄자들은 랜섬웨어와 같은 위협들을 설치하고 전파할 수 있게 된다. PsExec와 같은 도구와 서비스의 사용을 제한 및 보안하고, 꼭 필요한 관리자 계정에만 실행 권한을 제공함으로써 PsExec을 악용하는 위협들을 사전에 방지해야 한다.

△ 파일 백업
사이버 범죄자들은 중요한 정보 및 개인 정보의 손실 가능성에 대한 불안감을 조성하는 전술을 이용해 피해자들이 몸값을 지불하도록 유도한다. 조직 및 사용자들은 파일을 백업해둠으로써 이러한 위험을 예방할 수 있다. 최소 3개의 사본을 만들어 두 개는 서로 다른 기기에 보관하고, 나머지 1개는 오프라인 또는 안전한 장소에 보관한다.

△ 시스템 및 네트워크를 최신 상태로 유지
운영체제, 소프트웨어 및 애플리케이션들에 최신 패치를 설치함으로써 위협들이 보안 공백을 악용해 시스템이나 네트워크에 침투하지 못하도록 한다. WannaCry, UIWIX 및 Adylkuzzz와 같은 멀웨어들이 바로 이러한 취약점을 악용하는 전형적인 예다. 패치가 발표되지 않은 경우엔 가상 패칭을 이용할 수도 있다.

△ 직장 내 사이버 보안 인식 강화
사용자 교육 및 인식 강화를 통해 보안 태세를 강화할 수 있다. 다른 멀웨어와 마찬가지로 랜섬웨어의 진입점은 주로 이메일과 악성 파일 다운로드 또는 도메인이다. 조직들은 정기 교육을 통해 직원들이 기업의 보안 정책, 절차 및 모범 사례를 정확히 인지할 수 있도록 해야 한다.

△ 다계층 보안 방식 도입
랜섬웨어가 발전을 거듭하고 있는 위협 환경 속에서 공격 방식과 대상은 계속 다양해질 것으로 트렌드마이크로는 전망했다. 랜섬웨어를 차단할 완벽한 해결책은 없기 때문에 기업들은 사전 예방적 보안 방식의 심층 방어가 필요하다. 데이터 범주화(Data Categorization)와 네트워크 분할(Network Segmentation)은 공격에 노출됐을 때 피해를 완화시키는 데 도움이 된다. 고급 샌드박싱 기능은 알 수 없는 파일이나 의심스러운 파일들을 격리시켜 분석하고, 애플리케이션 컨트롤과 행동 모니터링 기능은 의심스러운 파일의 실행을 방지하고 시스템이 무단 변경되지 않도록 보호한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>