• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

실험 정신은 가득하고 뼈는 앙상한 새 랜섬웨어, 엡실론 레드 2021.06.02

새 랜섬웨어가 등장했다. 요즘 같은 때에는 새로울 것도 없는 소식이지만, 이번에 나타난 녀석은 좀 다르다. 파워셸에 대한 의존도가 높기 때문이다. 랜섬웨어 공격자들도 다른 사이버 공격자들처럼 파워셸을 연구하기 시작한 것으로 분석된다.

[보안뉴스 문가용 기자] 보안 업체 소포스(Sophos)가 새로운 랜섬웨어 패밀리를 발견했다. 이름은 엡실론 레드(Epsilon Red)라고 하며, 극도로 간소화 된 것이 특징이라고 한다. 거의 골격만 남아 있고, 거의 모든 기능을 윈도 파워셸(PowerShell)을 통해 구현하는 수준이다. 현재 미국 숙박 산업 내 조직들을 겨냥한 공격에 사용되고 있으며 벌써 21만 달러의 수익을 거둔 상태다.

[이미지 = utoimage]


소포스에 의하면 엡실론 레드는 공격의 초기 단계에서 파워셸 스크립트를 주로 사용한다는 특징을 가지고 있다고 한다. 기본 구성 요소는 고 언어를 기반으로 한 64비트 실행파일 형태를 갖추고 있지만, 진짜 필요한 기본 기능 외에는 아무 것도 없다. 네트워크 연결을 시도하지도 않고, 프로세스를 종료하거나, 특정 요소를 찾아 삭제하지도 않는다. 다만 이런 기능들을 파워셸 스크립트를 통해 실행한다.

소포스의 수석 연구원인 앤드류 브랜트(Andrew Brandt)는 엡실론 레드의 이러한 특징을 두고 “공격자들이 탐지를 어렵게 하기 위해 선택한 방식”이라고 분석한다. “랜섬웨어 공격을 통으로 엮어서 생각하는 게 보통이지만, 그 행위들을 세세하게 나누면 꽤나 많은 부분들을 정상적으로 분류할 수 있습니다. 다만 그 일반 행위들을 하나로 묶여서 악의적인 결과를 낳으니까 문제가 되는 것이죠. 공격자들이 이런 점을 간파하고 엡실론 레드를 만든 것으로 보입니다.”

현재 엡실론 레드는 미국에서 한 조직을 공격하는 데 성공한 것으로 보인다. 소포스가 조사한 결과 “취약한 마이크로소프트 익스체인지 서버에서부터 공격이 시작됐음을 알 수 있었다”고 한다. 다만 그것이 최근 문제가 됐던 프록시로그온(ProxyLogon) 취약점들을 익스플로잇 한 것이었는지는 확실하지 않다.

최초 침투에 성공한 공격자들은 윈도 관리자 도구(WMI)를 사용해 소프트웨어를 하나 설치했다. 제일 처음 침해한 익스체인지 서버와 연결된 모든 시스템에 이 소프트웨어를 통해 랜섬웨어를 심는다. 이 과정에서 공격자는 12개가 넘는 파워셸 스크립트를 활용한다. 볼륨 셰도우 복사본을 삭제하고, 윈도 보안 계정 관리를 복제하고, 컴퓨터에 저장된 비밀번호를 추출하는 등의 행위가 전부 따로따로 파워셸 스크립트를 통해 실행되는 것이다.

랜섬웨어의 기본 바이너리에는 암호화시킬 파일이나 확장자의 목록도 존재하지 않았다. 그렇기 때문에 시스템에 있는 모든 파일들을 닥치는 대로 암호화시킨다. 시스템 운영에 필요한 파일들까지 암호화시키는데, 이는 기존 랜섬웨어들과 크게 다른 부분이다. 시스템 자체가 먹통이 되면 랜섬웨어 공격자들이 피해자들에게 연락처 정보나 원하는 금액을 알려줄 수 없기 때문에 기존 랜섬웨어들은 시스템 파일과 일부 DLL은 철저하게 보호한다.

“랜섬웨어 공격자들도 잘 알고 있는 부분입니다. 실행파일과 DLL을 남겨 두어야 사업상 유리하다는 것을요. 부팅도 되지 않는 컴퓨터만 보고 자신들에게 연락할 사람은 없지요. 심지어 복호화 도구를 공격자들이 피해자들에게 제공해도 사용할 수가 없게 됩니다. 엡실론 레드는 시스템을 벽돌로 만들 가능성이 매우 높아 보인다는 점에서 기존 랜섬웨어와 상당히 다릅니다.” 브랜트의 설명이다.

하지만 엡실론 레드가 파워셸에 대한 의존도를 크게 높였다는 점에서는 최근 공격 트렌드를 반영하기도 한다. 공격자들 사이에서는 윈도 명령 셸이나 파워셸과 같은 도구를 사용해 악성 행위를 실시하는 것이 계속 연구되고 있고, 실제 그러한 공격 행위는 점점 증가하는 추세다. 보안 업체 레드카나리아(Red Canary)가 최근 조사한 바에 의하면 공격의 48.7%에서 파워셸이 사용된 흔적이 발견된다고 하며, 38.4%에서 윈도 명령 셸이 사용됐다고 한다.

“이번 공격은 랜섬웨어 공격자들도 파워셸 등을 활용하려는 시도를 하고 있다는 것을 보여준다는 측면에서 의미가 깊습니다. 물론 엡실론 레드는 완전한 성공 사례라고 보기는 힘듭니다. 하지만 공격자들은 실험을 거듭해 전혀 새로운 성과물을 들고 나타날 겁니다. 파워셸을 활용함으로써 탐지가 한층 더 어려워진 랜섬웨어가 곧 등장할 것으로 보입니다.”

3줄 요약
1. 파워셸 활용하느라 거의 아무 기능도 가지지 못한 랜섬웨어, 엡실론 레드.
2. 랜섬웨어 공격을 세분화 해서 정상 기능들을 따로따로 실행하는 것이 주안점.
3. 다만 아직 초기 단계인 듯, 기본기가 부족한 모습을 보이고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>