랜섬웨어를 백업으로 막는다고? 코웃음 치는 랜섬웨어 등장 2019.07.11

큐냅에서 만든 NAS 장비 공략하는 랜섬웨어, 이코랙스 발견돼
백업 드라이브 공략할 수 있다면, 차후 다른 유형의 공격 할 수 있을 듯


[보안뉴스 문가용 기자] 보안 업체 아노말리(Anomali)가 새로운 랜섬웨어를 발견했다. 이 랜섬웨어는 큐냅(QNAP)에서 만든 NAS 장비를 주로 노린다는 특징을 가지고 있다고 한다. 공격자들은 쉬운 크리덴셜을 여러 번 대입하는 수법과 이전에 공겨된 취약점을 익스플로잇 하는 기술을 통해 장비에 침투하는 것으로 보인다. 하지만 이는 추정된 내용으로, 아직까지 최초 침투 방식이 정확하게 드러나지는 않고 있다.

[이미지 = iclickart]


이 랜섬웨어의 이름은 이코랙스(eCh0raix)로, 표적형 랜섬웨어 공격을 실시하게 만들어진 것으로 보인다. 아노말리가 확보해 분석한 샘플들의 경우 암호화 키가 하드코드 된 채 포함되어 있었는데, 각각이 고유한 복호화 키를 가지고 있는 것으로 보인다고 한다. 즉 샘플 하나의 복호화에 성공한다고 해서 다른 샘플까지 무장 해제시킬 수 없다는 뜻.

아노말리의 위협 첩보 책임자인 호아킴 케네디(Joakim Kennedy)는 “완전한 오프라인 환경에서도 작동하는 버전이 있고, C&C 서버와 연결을 해서 비트코인 지갑 주소와 공공 키를 가져오는 버전도 있었다”며, “공격자들이 여러 방식을 실험해보고 있는 것으로 보인다”고 설명한다.

“C&C 서버와 연결돼서 작동하는 랜섬웨어의 경우, C&C 서버로부터의 명령이 있어야 암호화를 시작합니다. 그렇다고 C&C로 민감한 정보나 개인 식별 정보를 전송하는 것은 아닙니다. 현재까지 조사된 바로는 피해자의 신원을 확인할 수 있게 해주는 데이터가 오간 흔적은 없습니다. 반대로 ‘오프라인’ 버전은 멀웨어 내에 암호화 기능이 미리 탑재되어 있고 공공 키도 하드코딩 되어 있습니다.”

이코랙스는 랜섬웨어가 표적형으로 변하고 있다는 것을 드러내는 최신 증거다. 무작위 살포 방식으로 진행되는 랜섬웨어 공격이 점점 표적 공격으로 변하고 있다는 주장은 여러 보안 업체로부터 나온 바 있다. 특히 기업이나 기관을 표적으로 한 랜섬웨어 공격이 최근 몇 달 동안 급증하고 있던 추세였다.

“이코랙스의 또 다른 특징은 큐냅의 장비들을 노린다는 겁니다. 큐냅은 NAS 분야에서 꽤나 중요한 기업이며, 고객들도 전 세계적으로 다수 보유하고 있습니다. 데이터 백업에 주로 활용되기 때문에 랜섬웨어 공격자들로서는 눈엣가시 같은 존재죠. 하지만 사용자들 대부분 백업 드라이브에는 보안 장치를 심지 않는다는 약점이 존재하기도 합니다. 이코랙스 공격자들은 이 지점을 노린 것 같습니다.” 아노말리의 설명이다.

그러나 아직까지 이코랙스 공격자들이 오래된 큐냅 장비만을 노리고 있는 것인지, 최근 큐냅도 같이 노리는지 분명하게 밝혀지지는 않고 있다. 아노말리는 “제조 시기를 특별히 구분해서 공격하는 것 같지 않다”는 의견이다. “현재 인터넷 스캔을 해보면 공공 인터넷을 통해 연결된 큐냅 장비가 미국에서만 1만 9천여 대 발견됩니다. 공격자들도 이런 스캔 행위를 통해 표적을 결정하는 것 같습니다.”

케네디는 “주로 백업 드라이브로 사용되는 장비를 노린다는 게 흥미롭다”고 말한다. “이런 장비에는 소중한 데이터들이 많이 들어있습니다. 공격자들에게 있어 풍요로운 표적이라는 것이죠. 랜섬웨어를 심기위해 침투하는 데 성공했다면, 사실 이런 귀중한 정보를 어디론가 빼돌릴 수도 있다는 뜻이 됩니다. 차후에는 데이터를 빼돌리고 암시장에서 유통하는 공격을 할지도 모릅니다.”

일부 피해자들의 경우 감염 직전에 ‘실패한 로그인 시도’가 다수 로그에 남아있었다. 그래서 아노말리 측은 “브루트포스 공격 기법이 연루된 것 같다”고 의심하고 있다. 그러나 다른 한편에서는 “최신 패치를 적용하지 않은 피해자”들도 나타나고 있어, 취약점 익스플로잇을 통한 침투가 예상되기도 한다.

기술적인 측면에서 이코랙스는 꽤나 ‘기초적인’ 편에 속한다고 케네디는 설명한다. “고(Go) 프로그래밍 언어로 작성됐고, 실행하기 전에 몇 가지 프로세스를 강제로 종료시키는 기능을 가지고 있습니다. 그 외에 암호화 하지 않는 파일 유형에 대한 규칙도 가지고 있고요. 다른 랜섬웨어들처럼 이미지, 데이터, 미디어 관련 파일들을 암호화합니다.”

3줄 요약
1. 큐냅의 NAS 장비를 표적으로 삼아 공격하는 랜섬웨어, 이코랙스 등장.
2. 최초 침투 위해 브루트포스 공격과 익스플로잇 공격 하는 것으로 보임.
3. 백업 장비에 침투할 수 있다는 건, 추후 공격 유형이 바뀔 수 있다는 것을 시사.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


모바일 공격 가장 많이 당하는 금융권, 대책은 없을까?

[정보보호의 달] 7·7 디도스 10년, 다시 ‘7·7 디도스’를 말하다




사단법인 한국정보보호최고책임자협의회
서울시 마포구 마포대로 25 신한디엠빌딩 1302호 ㅣ TEL : 02-701-7037 ㅣ FAX : 715-8245 ㅣ Email : ciso@cisokorea.org
COPYRIGHTⓒCISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보취급방침