Home > 전체기사
10가지 취약점 공략해 웜처럼 번지는 럭키 랜섬웨어
  |  입력 : 2018-12-11 15:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2017년 발견된 사탄 랜섬웨어의 변종...다양한 취약점 익스플로잇 가능
랜섬웨어도 이제 클라이언트를 넘어 서버 노려...서버 패치는 필수


[보안뉴스 문가용 기자] 2년 전에 등장한 랜섬웨어의 새로운 버전이 등장해 관심을 모으고 있다. 이 변종은 윈도우와 리눅스 서버 플랫폼에서 발견된 열 가지 취약점들을 통해 퍼질 수 있다고 한다.

[이미지 = iclickart]


이 변종의 이름은 럭키(Lucky)로, 다름 아닌 사탄(Satan) 랜섬웨어의 변종이다. 사탄 랜섬웨어는 2017년 1월 ‘서비스형 랜섬웨어’ 형태로 제공되어 보안 업계를 긴장하게 만든 바 있다. 럭키는 랜섬웨어이면서 웜과 같은 행동 패턴을 보여주며, 따라서 사람의 특별한 개입 없이도 퍼질 수 있다.

럭키를 제일 먼저 발견한 건 보안 업체 NS포커스(NSFocus)로, 11월 말 금융 쪽 고객사 일부에서 문제가 생긴 것을 수사하다가 올린 성과다. 그러면서 NS포커스는 “번식력이 워낙 왕성한 멀웨어라 전 세계적으로 퍼져나갈 위험성이 충분하다”고 경고했다. 윈도우 SMB, 제이보스(JBoss), 웹로직(WebLogic), 톰캣(Tomcat), 아파치 스트러츠 2(Apache Strusts 2), 스프링 데이터 커먼스(Spring Data Commons) 등에서 이전부터 발견된 취약점들을 몽땅 익스플로잇 할 수 있다는 것도 이 멀웨어가 가진 위험성이다.

럭키를 접한 보안 업체로는 상포르 테크(Sangfor Tech)도 있다. 역시 금융 분야 고객사를 통해 리눅스 서버를 공략 중인 럭키와 대면할 수 있었다고 한다. 상포르 테크는 블로그를 통해 “.lucky라는 확장자를 붙이며 파일을 암호화시키는 랜섬웨어를 발견했다”는 소식을 전했다.

NS포커스는 럭키가 사용하는 취약점 10가지를 전부 분석하는 데 성공했다.
1) 제이보스 디폴트 설정 취약점(CVE-2010-0738)
2) 톰캣 임의 파일 업로드 취약점(CVE-2017-12615)
3) 웹로직 임의 파일 업로드 취약점(CVE-2018-2894)
4) 웹로직 WLS 요소 취약점(CVE-2017-10271)
5) 윈도우 SMB 원격 코드 실행 취약점(MS17-010)
6) 스프링 데이터 커먼스 원격 코드 실행 취약점(CVE-2018-1273)
7) 아파치 스트러츠 2 원격 코드 실행 취약점(S2-045)
8) 아파치 스트러츠 2 원격 코드 실행 취약점(S2-057)
9) 톰캣 웹 관리자 콘솔 브루트포스 취약점
10) 제이보스 비직렬화 취약점

보안 업체 와라텍(Waratek)의 보안 아키텍트안 아포스톨로스 지아나키디스(Apostolos Giannakidis)는 “익스플로잇이 가능한 취약점이 너무 많아서 감염을 통한 확산 능력이 엄청나며, 따라서 위험성이 매우 높다”고 설명한다. 와라텍 역시 럭키 랜섬웨어에 대한 내용을 자사 블로그에 올렸다.

“취약점 수가 많다는 것만이 문제가 아닙니다. 이 취약점들 전부 익스플로잇이 쉽다는 게 진짜 문제입니다. 심지어 이미 익스플로잇 도구나 방법이 공개된 것들이죠. 공격자 입장에서 별다른 연구나 고민을 할 필요가 없는 것들이에요. 일부 취약점은 불과 몇 달 전에 발견된 것들도 있습니다. 그렇다는 건 패치가 안 되어 있을 가능성이 높다는 뜻이므로 감염 성공률이 높다는 게 됩니다.”

올해 랜섬웨어 공격은 2016년이나 2017년에 비해 그리 눈에 띄지 않았다. 그나마 워너크라이와 갠드크랩 정도가 랜섬웨어의 명맥을 이어간 정도다. 그러나 최근 발견된 럭키 변종을 통해 “공격자들이 랜섬웨어를 잊은 건 전혀 아니”라는 게 증명되었다. 보안 업체 시큐어웍스(SecureWorks)는 4천 개가 넘는 회사들을 조사해 해킹 기술력이 중하위층에 속하는 사이버 범죄 단체는 랜섬웨어를 크게 선호한다는 걸 발견했다. 그러면서 “랜섬웨어 공격은 올해 조용해진 적이 한 번도 없다”고 결론을 내렸다.

서버까지 노리는 랜섬웨어
스스로 복제하는 모든 종류의 멀웨어들과 마찬가지로 럭키도 한 시스템 내 파일들을 암호화시킨 이후 곧바로 확장을 시도한다. 특정 IP 주소들과 포트를 검색하고, 찾아낸 시스템에서 취약점을 스캔해 공략한 후 악성 페이로드를 전송한다. 지아나키디스는 “랜섬웨어가 얼마나 진화했는지 보여주는 게 바로 럭키”라며 “이제 랜섬웨어들도 특정 OS의 특정 취약점을 노리는 대신 서버들을 공격하기 시작했다”고 설명한다.

“이제 OS 취약점을 노리는 랜섬웨어는 구식입니다. 서버의 애플리케이션과 서비스를 파고드는 게 최신 유행입니다. 리눅스 환경을 노리는 랜섬웨어들에서 이런 현상이 두드러지죠.” 이렇게 유행이 변한 이유에 대해 지아나키디스는 “서버사이드 애플리케이션을 패치하는 게 클라이언트 사이드 앱을 패치하는 것보다 훨씬 어렵기 때문”이라고 설명한다. 그러므로 “패치가 되지 않은 채 방치된 취약점이 오히려 더 많을 수 있다”는 것이다.

그래서 NS포커스는 방화벽에서 이그레스 필터링(egress filtering) 혹은 그와 비슷한 기능을 발휘하도록 설정해야 한다고 권장한다. 그럼으로써 수상한 포트 스캐닝 활동을 탐지하고, 취약점이 익스플로잇 되는 걸 막아야 한다는 것이다. “또한 특수한 IP 주소들과 도메인에 대한 접근 요청을 늘 확인해야 합니다. 이에 대한 보다 상세한 내용과, 랜섬웨어 삭제 절차도 숙지하고 있는 건 당연하고요. 위 열 가지 취약점에 대한 패치를 점검하는 건 기본 중 기본입니다.”

3줄 요약
1. 서비스형 랜섬웨어로 등장했던 사탄 랜섬웨어의 변종 ‘럭키’ 등장.
2. 웜 방식으로 퍼지고, 10가지 유명 취약점 통해 감염 확산시킬 수 있음.
3. 클라이언트에서 서버로 표적 바꾼 랜섬웨어, “서버 패치가 더 어려워서”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)