지난 달의 워너크라이(Wannacry) 공격이 전세계 언론의 관심을 끌었던 것에 대해 뜨거운 반응을 보였던 것과 마찬가지로 Petya 랜섬웨어가 급속도로 전세계 공격이 증가하고 있습니다. 기존 Petya의 변종 랜섬웨어로 추정되며 명명은 Petya로 정의하기로 하였습니다.

오늘 아침 일찍 발견된 랜섬웨어는 정부 기관, 주요 공항,  지하철 시스템,  에너지 공급 업체 Ukrenergo, 중앙 은행 및 폐기 된 체르노빌 원자력 발전소에 영향을 미치면서 특히 우크라이나를 심하게 강타했습니다.

영국의 광고 대행사인 WPP, Saint-Gobain, 프랑스 건설 회사, 러시아의 석유 회사인 Rosneft 및 덴마크의 해운회사인 AP Moller-Maersk을 비롯한 유럽의 다른 지역의 기업에서도 감염이 확인되었습니다. 지금까지 랜섬웨어 감염은 미국, 멕시코,이란, 브라질 등 14 개국 이상에서 확인되었습니다. 그러나 우리는 더 많은 국가들이 영향을 받을 것으로 추정하며, 한국도 예외가 아닐 것입니다.

아마도 가장 놀라운 사실은  본 최신 Petya 랜섬웨어 변종은 워너크라이가 올해 5 월에 20 만 대 이상의 컴퓨터를 감염시키는 것과 동일한 NSA 악용을 사용한다는 사실입니다. 계속되는 보안 패치와 조언에도 불구하고 많은 기업들이 보안 전문가의 조언을 듣지 않고 최신 업데이트나 보안 문제에 대한 투자가 아직도 이루어지지 않고 준비가 덜되어 있다는 것입니다.

이 최신 랜섬웨어 공격은 워너크라이 보다 더 악화될 수 있습니다. 컴퓨터와 네트워크를 보호하기 위해 우리가 할 수 있는 것은 무엇이 있을까요? 당연히 랜섬웨어 대응 백신을 도입하고 최신 상태 업데이트하는 것입니다. 그리고 물리적인 백업을 즉각 실행하고 네트워크에서 단절시켜 놓는 것이 무엇보다 중요합니다.


강력한 Petya 랜섬웨어

어떤 면에서 최신 Petya 변종은 기존 Petya 랜섬웨어 패밀리와 밀접한 관련이있는 것으로 보입니다. Petya는 2016 년 3 월 말에 처음으로 공격을 시작하었습니다. Petya는 Windows 대신 설치하고 부팅하는 자체 운영 체제를 구현했기 때문에 다음에 부팅 디스크의 여러 가지 중요한 파일 시스템 구조를 암호화 할 수있었습니다 새로운 Petya 변종은 이 방법과 심지어 Petya 운영 체제의 코드까지 거의 완벽하게 복사했지만 파일을 전파하고 암호화하여 시스템을 감염시키는 자체적 인 방법을 구현합니다.

시스템의 성공적인 감염에 따라, Petya는 posteo.net 주소로 연결된 지갑에 300 달러 상당의 비트 코를 지불하라는 영어로만 제공되는 몸값 스크린을 제공합니다.

이 글을 쓰는 시점에서 3.1 비트 콘은 28 개가 넘는 트랜잭션을 통해 지불되었으며, 랜섬웨어 작성자는 7,300 달러에 몸값 지불을 요구하고 있는 상태입니다.  이 금액은 비교적 적은 편이지만 빠르게 확산되는 점을 감안할 때 더 많은 피해자가 몸값을 지불해야 될 것으로 추정합니다.


Petya 랜섬웨어 어떻게 감염됩니까?

Petya 감염의 초기 파동은 인기있는 우크라이나 회계 소프트웨어 공급 업체 인 MeDoc의 해킹으로 거슬러 올라갑니다. 알려지지 않은 공격자는 소프트웨어 업데이트 서버에 접속하여 Petya 랜섬웨어를 소프트웨어 업데이트로 가장하여 회사 고객사에게 업데이트 정보를 전달했습니다. 이전에는 XData와 같은 랜섬웨어 제품군에서 유사한 공격 방법을 사용하여 초기 공격을 시작했습니다. 다시 말하면 소프트웨어 개발공급사를 먼저 타겟 공격을 하여 고객사에게 사용 중인 소프트웨어를 업데이트 하도록 경고하고 고객사 시스템을 감염시키는 것입니다. 

따라서, 우선은 소프트웨어를 사용하는 일반 기업이나 개인 들도 중요합니다만, 회계 소프트웨어나 회사 운영 소프트웨어를 개발 공급하는 개발사의 보안 강화가 더욱 중요합니다. 대부분의 소프트웨어 도입한 고객들은 일반적으로 소프트웨어 업데이트 요청 메일이나 안내에 따라 업데이트하기 때문에 개발사의 주의가 더욱 필요한 시점입니다.

일단 많은 시스템이 감염되면, Petya는 WannaCry에서도 사용했던 Shadow Brokers 그룹에 의해 유출 된 것과 동일한 NSA 익스플로잇을 통해 네트워크로 급속하게 퍼질 수있었습니다. ETERNALBLUE로 알려진이 익스플로잇은 Microsoft SMBv1 프로토콜의 취약점을 악용하여 침입자가 다음을 수행하는 시스템을 제어 할 수 있도록합니다.

  • SMBv1 프로토콜을 활성화
  • 인터넷에서 액세스 할 수 있으며
  • 2017 년 3 월에 릴리스 된 MS17-010 수정 프로그램으로 패치하지 않은 경우 Petya 랜섬웨어 감염 대상이 됩니다.
따라서 위의 조건에 대하여 보안 대응하여야 합니다. 

ETERNALBLUE 익스플로잇이 성공하면 DOUBLEPULSAR이라는 코드 네임을 사용하는 시스템에 백도어를 설치합니다. DOUBLEPULSAR는 맬웨어가 악용 된 시스템에 자신을 보내고 자체를 실행하는 데 사용됩니다.

또한 Petya는 Windows에 통합 된 다양한 관리 기능을 사용하여 손상된 네트워크에 전파합니다. 즉, 패치되지 않은 단일 시스템은 다른 시스템이 완전히 패치 된 경우에도 전체 네트워크에 감염 될 수 있습니다. Petya는 WMI (Windows Management Instrumentation)와 인기있는 도구 인 PsExec을 관리 네트워크 공유와 함께 사용하여 로컬 네트워크에서 랜섬웨어의 확산을 용이하게합니다.


Petya는 어떤 파일을 어떻게 암호화합니까?

Petya는 두 개의 서로 다른 랜섬웨어 모듈로 구성됩니다. 첫 번째 모듈은 고전적인 랜섬웨어 제품군과 매우 유사합니다. 다음 확장자 중 하나를 사용하여 파일의 첫 번째 1MB까지 암호화합니다.

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql.tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

파일을 암호화하기 위해 128 비트 키가있는 AES 알고리즘을 사용합니다. 그런 다음 해당 키는 랜섬웨어 실행 파일에 포함 된 RSA 공개 키를 사용하여 암호화됩니다. RSA 및 AES를 사용하여 파일을 안전하게 암호화하는 방법에 대한 자세한 내용은 암호화에 대한 주요 기사에서 찾을 수 있습니다.

두 번째 모듈은 Petya 랜섬웨어 제품군에서 곧장 추출되었습니다. 시스템이 MBR을 통해 부팅 할 수 있고 중계 서버가 필요한 권한을 얻을 수있는 경우 시스템의 마스터 부트 레코드(MBR)에 설치되는 맞춤형 작은 운영 체제로 구성됩니다. Petya OS가 부팅되면 Salsa20 스트림 암호를 사용하여 부팅 드라이브의 마스터 파일 테이블을 찾아 암호화합니다.

마스터 파일 테이블은 NTFS Windows 파일 시스템의 내부 데이터 구조입니다. 그것은 본질적으로 각 파일에 대해 데이터가있는 디스크 상의 위치를 ​​추적합니다. 또한 Petya 랜섬웨어 OS는 파일 복구 도구가 제대로 작동하지 못하도록 각 파일의 첫 번째 섹터를 암호화합니다. 마스터 파일 테이블이 없으면 Windows는 디스크의 데이터를 이해할 수 없으므로 기본적으로 사용자를 시스템에서 완전히 잠급니다.


Petya 랜섬웨어 공격으로 부터 자신을 보호하려면 어떻게 해야합니까?

WannaCry 공격 중에 주어진 조언은 Petya의 경우에도 여전히 유효합니다. 즉각적인 조치로서 Windows 컴퓨터 및 서버에 최신 보안 업데이트가 설치되어 있는지 확인하십시오. 이전의 랜섬웨어 감염에 이어 Microsoft는 Windows XP 및 Windows Server 2003과 같은 "지원되지 않는 시스템"에 대한 보안 패치를 릴리스하는 특별한 단계를 밟았으므로 이러한 시스템도 패치 할 수 있습니다.

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

항상 강조한 것처럼 Petya 랜섬웨어가 사용하는 암호화가 매우 강력하기 때문에 최고의 보안은 여전히 안정적이고 입증 된 백업 전략으로 남아 있습니다. 데이터를 다시 얻는 유일한 방법은 랜섬웨어  제작자에게 돈을 주거나 백업에서 복원하는 것 뿐입니다.  중요한 Windows 업데이트를 설치하는 것은 시스템 보호에있어 매우 중요한 단계입니다. Petya의 주요 감염 벡터는 현재 ETERNALBLUE SMBv1 익스플로잇으로 이미 몇 달 동안 패치되었습니다.

규칙적인 백업 외에도 행동감시(Behavior Blocker) 기술이 포함되어 있는 백신의 사용입니다.

소프트메일은 이와 같은 행위기반 감시 엔진과 랜섬웨어 방어 기술 엔진이 탑재된 백신을 강력하게 추천합니다.

  • Avast 인터넷시큐리티, 프리미어, 월정액 서비스 등의 어베스트 백신 제품군 : www.avastkorea.com
  • Emsisoft 안티멀웨어 제품군 : www.emsisoft,co.kr



작성 : 어베스트코리아 (주)소프트메일

원문 : 엠시소프트 긴급 경고 안내




저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by Avast, 어베스트, 아바스트, 아비스트, 어바스티, A avastkorea