보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

윈도우 시스템의 오래된 기능이 오히려 랜섬웨어를 돕는다?

입력 : 2019-11-26 12:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
파일의 이름 변경 요청 시 작동하는 기능들이 잘못된 순서로 맞물릴 때 랜섬웨어 탐지 안 돼
거의 1년 전에 이런 기법 존재한다고 알렸으나 대부분 보안 업체들은 묵묵부답


[보안뉴스 문가용 기자] 윈도우 기반 시스템에서 탐지되지 않은 채 파일들을 암호화시키는 기법이 새롭게 발견됐다. 이 때문에 가뜩이나 기승을 부리는 랜섬웨어에 새로운 날개가 달릴 전망이라고 보안 업체 나이오트론(Nyotron)이 경고했다.

[이미지 = iclickart]


이 기술의 이름은 리플레이스(RIPlace)로, 간략히 말해 오래된 파일 시스템의 ‘이름 변경’ 기능을 활용해 멀웨어 탐지 기술을 우회하는 것이라고 한다. 나이오트론의 보안 전문가들에 따르면 “운영 체제와 소프트웨어 패치를 제 때에 하고 있으며, 최신 백신 솔루션을 사용하고 있다고 해도 리플레이스 기법에 당할 수 있다”고 한다.

“리플레이스는 윈도우 XP 및 상위 버전들을 기반으로 한 모든 컴퓨터에서 파일을 변경시키는 데 활용할 수 있는 기법입니다.” 나이오트론은 이를 보다 상세히 설명하기 위해 일반적인 랜섬웨어의 작동 순서를 다음과 같이 제시했다.
1) 오리지널 파일을 열고 읽는다.
2) 메모리에 있는 콘텐츠를 암호화 한다.
3) 암호화 한 콘텐츠를 오리지널 파일 콘텐츠에 덮어쓰기 한다.
4) 덮어쓰기 한 상태에서 저장해 오리지널 파일을 삭제한다.
5) 이름 변경 기능을 사용해 오리지널 파일을 다른 파일로 변경하기도 한다.

“이 과정에서 ‘이름 변경’ 요청이 호출됩니다. FileInformationClass가 FileRenameInformation으로 조정된 IRP_MJ_SET_INFORMATION이죠. 그러면 필터 드라이버가 그에 대한 답을 보냅니다.” 그런데 이 과정에서 오래된 심볼링 링크(symlink) 생성 기능인 DefineDosDevice가 ‘이름 변경(Rename)’ 전에 호출될 경우, 장비의 이름과 원래의 파일 경로를 임의로 바꿀 수 있다는 것이 발견됐다.

“일반 루틴인 FltGetDestinationFileNameInformation를 사용할 때 답을 돌려주는 기능(callback)을 가진 필터 드라이버가 최종 경로를 확인하는 데 실패하기 때문에 생기는 현상입니다. DosDevice 경로를 지정할 때는 오류 메시지가 뜨지만, ‘이름 변경’에 대한 호출은 성공적으로 이뤄집니다.” 나이오트론의 설명이다.

보다 상세한 설명은 이 웹 페이지(https://www.nyotron.com/riplace)에 영상과 보고서 형태로 제공된다.

따라서 IRP_MJ_SET_INFORMATION을 제대로 처리하지 않는 랜섬웨어 방지 솔루션이라면 이러한 현상을 활용해 탐지 기술을 우회해 파일을 암호화시키는 게 가능하다고 나이오트론은 강조한다. “요즘 보안 제품이 강력해지고 랜섬웨어에 대한 대응력이 좋아지고 있습니다. 그런 대응책들을 피해가게 해주는 방법들이 활발히 연구되고 있을 것이 분명합니다. 저희가 발견 못한 많은 방법들을 이미 갖추고 있을런지도 모르고요.”

나이오트론이 이 기법을 처음 발견한 건 2019년 봄의 일이다. 곧바로 마이크로소프트는 물론 여러 보안 벤더사들에 알렸다. 사법 기관과 입법 기관에도 고지했다. 하지만 이 문제를 심각하게 받아들이고 해결책을 제시한 곳은 얼마 되지 않았다고 한다. “적어도 보안 솔루션 수십 가지가 이 문제에 노출되어 있었습니다. 하지만 패치가 나온 건 5개도 되지 않습니다.”

나이노트론은 누구나 자신의 시스템과 보안 제품이 리플레이스 공격 기술에 취약한지 확인할 수 있게 해주는 툴을 무료로 공개하기도 했다. (하지만 이 점검 도구의 위치를 정확히 확인할 수가 없는 상태다.)

3줄 요약
1. 윈도우의 오래된 시스템 기능에서 랜섬웨어 탐지를 방해하는 요소가 발견됨.
2. 문제는, 랜섬웨어 공격자들 편에서도 이런 연구가 활발히 진행되고 있을 거라는 점.
3. 또 이러한 문제가 발견되어 보고된다 하더라도 조치를 취하는 곳이 거의 없다는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

김무옥 2019.11.28 18:06

"문기자님
https://www.nyotron.com/riplace 에 스크롤하면 화면 중간에 다운로드 링크가 있어요"


  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)