배드래빗(Bad Rabbit) 랜섬웨어 주의 (2017-10-25)
□ 주로 동유럽 국가에 영향을 미치는 것으로 보이는 '나쁜 토끼(Bad Rabbit)'라고 불리는 새로운 랜섬웨어(ransomware)가 전 세계로 확산하고 있다.
□ 개 요
▶ 러시아와 우크라이나의 여러 주요 조직이 "나쁜 토끼"라는 별명을 가진 랜섬웨어(ransomware)의 새로운 변종로 타격을 입었습니다.
□ 주요내용
▶ 사이버 보안 업체들에 따르면 러시아 미디어 회사와 우크라이나 운송 시스템을 목표로 해던 이 랜섬웨어는 우리나라를 비롯해 미국, 독일, 일본, 불가리아, 터키 등 여러 국가에서 발견되고 있다.
o 현재까지 배드래빗에 당한 조직은 수백 개에 달하며,
총 15개국에서 정부 기관, 매체, 운송 회사 등이 고루 당했다.
o 어베스트(Avast)에 의하면 감염된 곳의 71%가 러시아, 우크라이나가 14%, 불가리아가 8%다.
o 러시아 언론사 인테르팍스, 폰탄카 와 우크라이나 오데사 국제공항, 키예프 지하철 시스템 등을 공격
- 인테르팍스는 이번 사이버 공격으로 뉴스 서비스가 중단
o 뉴딜코리아 현력사 Group-IB(러시아 사이버 보안 회사)은 "몇몇 회사는 업무가 완전히 마비됐으며 서버와 워크 스테이션은 암호화됐다"고 전해왔다.
▶ 올해 초 전 세계적으로 확산되었던 워너크라이(WannaCry) 및 낫페트야(NotPetya) ransomware의 발생과 유사한 형태
o 다음의 확장자 문자열을 가진 파일들을 암호화
.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp
.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp
.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg
.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b.p7c.pdf.pem.pfx.php.pmf
.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar
.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx
.vsdx.vsv.work.xls.xlsx.xml.xvd.zip.
o 동작법은?
- 채취된 샘플 코드들을 상세히 해부하기 시작했고, 여러 가지 사실들을 파악해나가고 있지만, 아직도 이 공격이 어떻게 처음 시작됐고 공격자들의 정확한 의도가 무엇인지는 오리무중
- 바이러스 검사 사이트( Virus Total)의 분석에 따르면 대다수의 바이러스 백신 프로그램은 여전히 멀웨어를 탐지하지 못합니다.(2017.10.25 정보)
o 카스퍼스키랩 ?
- 합법적인 웹 사이트를 방문할 때 맬웨어 드로퍼가 공격자의 인프라로부터 다운로드
- hxxp : // 1dnscontrol [.] com / flash_install.php의 드라이브 바이 공격을 통해서 진행
- 감염을 위해서는 피해자가 어도비 플래시의 설치 관리자로 위장한 맬웨어 드로퍼를 수동으로 실행해야
(파일의 이름은 install_flash_player.exe이며 관리자 권한이 요구된다. )
▶ Bad Rabbit(악성 토끼)은 컴퓨터 내용을 암호화하고 금전 지불을 요구
o 감염된 컴퓨터는 자신의 파일이 암호화되었음을 알리고 Tor 익명 성 네트워크를 통해 웹 사이트에 액세스하도록 지시하는 화면을 표시
o Tor 사이트는 희생자에게 암호화 된 파일을 복구하는 데 필요한 키를 얻기 위해 대략 283 달러의 0.05 비트 코인을 지불하라고 지시
o 그러나 몸값이 2 일 이내에 지불되지 않으면 가격이 올라감
□ 대응방안
랜섬웨어를 이용한 공격으로 피해 발생, 각 기관‧기업 및 일반사용자는 피해 예방을 위한 보안 강화 조치 등 주의 필요
※ 온라인에서 탐색하면서 Adobe Flash를 업데이트하라는 메시지가 표시되면 조심 필요
- 뉴스나 미디어 사이트에서 어도비 플래시 업데이트 파일을 가장하고 컴퓨터에 침투하는 것으로 알려짐
- 안정성이 확인 될 때 까지 Adobe Flash 업데이트를 하루나 이틀 동안 보류 상태 유지
- 관리 조직에 속한 경우 IT 부서에서 Adobe Flash 업데이트가 발생할 때이를 제어 필요
(개별 사용자 인 경우 익숙하지 않은 "업데이트"버튼을 클릭하면 단기간에 해를 입을 수 있음)
o Bad Rabbit은 NotPetya와 마찬가지로 SMB, 특히 NSA 링크 된 EternalBlue 익스플로잇을 사용하여 확산된다는 보고서도 있음 (미 확인 정보이나 대비하는 것도 도움이 되겠습니다)
o 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용
o 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사 진행
o 불필요한 공유폴더 연결 해제
o 출처가 불분명한 메일 또는 링크의 실행 주의
o 파일 공유사이트 등에서의 파일 다운로드 및 실행 주의
o 중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하여 관리
o 이상 징후 포착 및 침해사고 발생시, 한국인터넷진흥원 인터넷침해대응센터(KISC)로 즉시 신고 등
- 미국 내에서 확인된 피해는 없지만, 일반에 금전을 지불하지 말고 감염 시 당국에 신고할 것을 권고했다
☎ 뉴딜코리아 랜섬웨어 대응센터는 'BadRabbit'의 확산을 계속 모니터링하고 뉴스가 발생하면 업데이트를 게시합니다.
댓글 없음:
댓글 쓰기