파이어아이, 최근 워너크라이 랜섬웨어 위협 내용 및 위험 관리

시작된 랜섬웨어 워너크라이(WannaCry) 공격이 급속히 진행되며 전 세계의 조직들에게 영향을 주고 있다. 파이어아이(지사장 전수홍, www.fireeye.kr)는 이번 워너크라이 랜섬웨어 사태와 관련해 위협 내용과 위험 관리를 발표하였다.

워너크라이(일명 WCry, WanaCryptor) 멀웨어는 자체적으로 확산되는 (웜과 같은) 랜섬웨어로 마이크로소프트 서버 메시지 블록(SMB) 프로토콜의 취약점을 악용하여 공공 인터넷과 내부 네트워크를 통해 확산된다. 이 멀웨어는 데이터 파일들의 확장자를 .WCRY로 암호화하고 이 파일들의 복호화를 댓가로 미화 300달러~600달러(비트코인으로)를 요구한다. 이 멀웨어는 명령 및 제어(C2) 통신에 암호화된 토르(Tor)을 사용한다.

파이어아이의 분석에 따르면, 워너크라이 공격과 관련된 악성 바이너리는 서로 다른 두 개의 요소로 구성된다. 하나는 랜섬웨어 기능을 제공하며, 5월 12일 이전에 보고된 바 있는 워너크라이 멀웨어 샘플과 매우 유사하게 행동한다. 다른 하나는 확산에 사용되며 스캐닝과 SMB 취약점 악용 기능들을 활성화하는 역할을 한다.

랜섬웨어의 급속한 확산 및 분포 속도를 고려할 때, 파이어아이 아이사이트(iSIGHT) 인텔리전스는 이 공격이 취약한 윈도우 컴퓨터를 사용하는 모든 조직들에 잠재적으로 상당한 위협이 될 것으로 보고 있다.

감염 경로

워너크라이는 환경에 침투한 후, 윈도우의 SMB 취약성을 악용하여 확산된다. 이러한 확산 메커니즘은 감염된 네트워크에서 내부적으로는 물론 공공 인터넷을 통해 멀웨어를 유포할 수 있다. 사용된 익스플로잇(exploit)은 이터널블루(EternalBlue)라는 코드명으로 섀도우브로커(ShadowBrokers)가 유출한 것이다. 악용된 취약점에 대해 마이크로소프트는 지난 3월 보안패치 MS17-010을 발표했었다.

파이어아이의 분석에 의하면, 워너크라이는 두 가지 스레드로 증식한다. 첫 번째 스레드는 네트워크 어댑터들을 나열하여 시스템이 어떤 서브넷에 위치해 있는지를 판단한다. 그 후 멀웨어는 그 서브넷의 각 IP에 대해 스레드를 생성한다. 이 스레드는 TCP 포트 445의 IP에 연결을 시도하며, 성공하면 시스템 악용을 시도한다. 그림 1은 원격 시스템에 대한 악용 시도의 예시를 보여준다.


[그림 1] 원격 시스템에 대한 악용 시도의 예

이러한 취약성 악용에 대응하여, 마이크로소프트는 워너크라이에 대응한 위험 관리 단계를 제공했다. 워너크라이 랜섬웨어가 주로 SMB 취약점을 악용해 확산되고는 있지만, 주 공격자들이 다른 유포 방식을 사용할 가능성도 배제할 수는 없다. 워너크라이가 스팸 메시지에 포함된 악성 링크를 통해 확산되었다고 초기 보도되었으나, 파이어아이의 자체 조사 결과 그 정보는 아직까지 입증되지 않았다.

원래의 감염 경로가 무엇이 되었든 간에, 워너크라이 공격자들은 악성 문서, 온라인 광고를 통한 악성코드(malvertising) 유포 또는 트래픽이 높은 사이트의 침해 등 랜섬웨어 공격에 보편적으로 사용되는 모든 메커니즘을 사용할 수가 있다. 이제껏 이번 공격이 보여준 큰 영향력과 조기 유포 경로의 불확실성을 고려할 때, 조직들은 모든 보편적인 멀웨어 유포 경로를 잠재적인 워너크라이 감염 소스로 간주해야 한다.

멀웨어의 특징

지금까지 식별된 각 워너크라이 변종(웜과 유사한 기능 실행)에는 여러 보안 연구자들이 멀웨어의 파일 암호화 방지에 사용했던 킬스위치(killswitch)가 포함되어 있다. 그러나 새로운 도메인을 가진 다양한 변종이 등장한 것으로 보아 공격자들은 이 기능을 제거 또는 수정할 수 있는 것으로 보인다.

  • 5월 12일 확산이 시작된 워너크라이 패키지는 피해자의 기계를 감염시킨 후, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com에 접속하려는 시도를 한다. 파이어아이의 테스트에 따르면, 성공적으로 이 도메인에 도달한 멀웨어는 암호화나 자체 확산을 수행하지 않는다. (일부 조직들은 멀웨어가 이 경우 지속적으로 자체 확산된다고 보고했지만, 파이어아이는 테스트 환경에서 이러한 행동을 확인할 수 없었다.) 5월 12일 한 보안 전문가가 이 도메인을 등록했으며, 이로 인해 대량 감염을 유발할 수 있는 암호화 행동이 중단된 것은 분명하다. 워너크라이 개발자들은 이 킬스위치 기능을 샌드박스 분석에 대한 대책의 하나로 사용하고자 의도했을 수 있다.
  • 5월 14일, 새로운 킬스위치 도메인 www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com을 가진 변종이 모습을 드러냈다. 이 도메인 또한 싱크홀(sinkhole)로 차단되어 표면상으로는 킬스위치 행동이 도메인에 접근한 모든 워너크라이 감염을 비활성화하도록 했다. 이러한 도메인 접속 변경이 원래의 멀웨어 유포자들에 의해 구현된 것인지 아니면 제3자가 유포된 샘플을 수정한 것인지는 분명하지 않다.
  • 또한 5월 14일, 도메인 접속 킬스위치 기능이 포함되지 않은 새로운 변종이 파악되었다. 그러나 이러한 변경은 멀웨어가 컴파일 된 후 공격자가 아니라 제3자에 의해 구현되었을 수도 있다. 이 변종의 랜섬웨어 요소는 손상된 것으로 보이며 테스트 환경에서 기능을 수행하지 않는다.

영향

위협 활동이 줄어 들고 있다는 반가운 보도가 나오고 있지만, 워너크라이는 여전히 상당한 위협으로 남아 있다. 이 멀웨어의 재확산 메커니즘이 얼마나 효과적인지를 고려한다면, 마이크로소프트가 권장한 완화 메커니즘을 적용하지 않은 거의 모든 조직들이 잠재적으로 워너크라이 확산 시도에 노출되어 있다고 볼 수 있다. 그뿐만 아니라, 새로운 변종의 출현은 공격자들이 원하면 워너크라이의 킬스위치 기능을 제거하거나 대폭 수정하여 이제까지 취해진 대응책을 회피할 수도 있음을 보여준다. 보도에 따르면 워너크라이 랜섬웨어들과 관련된 사고들이 여러 국가들에서 잇달아 발생하였다.

위험 관리이 랜섬웨어 위협에 대한 방어 대책을 모색하고 있는 조직들은 관련된 SMP 악용 문제 해결에 대한 마이크로소프트의 블로그를 참조하기 바란다. 이 랜섬웨어의 급속한 확산으로, 파이어아이는 탐지 기술, 위협 인텔리전스 분석, 제안 및 컨설팅 서비스 등 전체 포트폴리오를 신속하게 사전 대응적으로 업데이트하였다.

파이어아이의 네트워크, 이메일, 엔드포인트 제품은 랜섬웨어 사전 탐지 기능을 보유하고 있으며, 인라인 구현 시 또는 Exploit Guard가 활성화된 경우 웹과 이메일 감염 경로를 통해 유포되는 새로운 랜섬웨어(워너크라이 포함)를 차단할 수 있다. 워너크라이 공격자들은 언제라도 이러한 보편적인 유포 메커니즘들을 활용할 수 있다. 이러한 공격이 발생하면, 파이어아이 제품 고객들은 다음과 같은 경보를 받는다.

  • HX: WMIC SHADOWCOPY DELETE, WANNACRY RANSOMWARE. Exploit Guard 및 안티바이러스 경보 이름은 배포 메커니즘과 변종에 따라 달라진다.
  • NX/EX: Malware.Binary.exe, Trojan.Ransomware.MVX, 또는 Malicious.URL

파이어아이 제품들은 또한 명령 및 제어(C2) 통신 및 기존 워너크라이 감염에 대한 호스트 표시기 등 워너크라이의 후반기 활동을 탐지한다. 이외에도, 파이어아이 PX(네트워크 포렌식) 센서가 내부적으로 구현되고 서비스로서의 파이어아이(FaaS)로 모니터링되어 SMB 확산 트래픽을 탐지할 수 있다. 고객들은 확인된 표시기들을 활용하여 잠재적 감염 여부를 파악할 수 있다. 이러한 표시기는 파이어아이 HX(엔드포인트) 고객들에게 구현되었으며, 아이사이트 구독 고객들은 MySIGHT 인텔리전스 포털에서 확인할 수 있다.

네트워크 프록시와 기타 엔터프라이즈 네트워크 보안 기능은 멀웨어가 킬스위치 도메인에 접속하여 의도치 않게 암호화를 유발하는 것을 방지할 수 있다. 조직들은 이러한 문제가 발생하지 않도록 프록시 설정이나 기타 네트워크 설정을 조정할 필요가 있을 것이다.

파이어아이 코리아 전수홍 지사장은 “이번 랜섬웨어 사태는 시스템을 최신상태로 업데이트하는 것이 얼마나 중요한 지 잘 보여주는 사례다. 랜섬웨어 공격 방어를 위해서는 마이크로소프트 보안 업데이트를 최신 버전으로 설치하는 것을 권장한다. 만약 업데이트가 불가능할 경우, 시스템을 인터넷 연결로부터 차단하는 조치를 취한 후, 다른 보안 콘트롤을 실행하는 것이 중요하다.”고 말했다.

또한, 이번 '워너크라이' 랜섬웨어 공격의 배후에 북한이 있다는 주장에 대해 파이어아이 분석팀 매니저 존 밀러(John Miler)는  "북한과의 연관성에 대하여 조사를 진행하였으나, 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않기 때문에, 현시점에서는 북한의 소행으로 단정짓기는 어렵다. 하지만, 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정이다.”라고 밝혔다.