Home > 전체기사

새로운 랜섬웨어 타이쿤, 자바 이미지 파일 이용해 숨어

  |  입력 : 2020-06-08 10:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비대칭 RSA 암호화 사용하는 랜섬웨어...JIMAGE에 주요 자원 숨기는 독특함
탐지 기술 회피하기 위한 노력 이어져...자바와 고 등 흔치 않은 언어 사용하기도


[보안뉴스 문가용 기자] 자바를 기반으로한 새로운 랜섬웨어가 등장했다. 현재 활발히 활동 중에 있으며, 주로 교육과 소프트웨어 산업을 노리는 것으로 나타났다. 보안 업체 블랙베리(BlackBerry)와 KPMG가 이를 처음 발견해 보고서를 발표했다. 이름은 타이쿤(Tycoon)이라고 정했다.

[이미지 = utoimage]


한 교육 기관을 겨냥한 사이버 공격을 수사하던 KPMG의 영국 사이버 대응 서비스(UK Cyber Response and Serivce) 팀이 타이쿤과 제일 먼저 접촉했다. KPMG의 파트너인 블랙베리의 연구첩보(Research and Intelligence) 팀이 연구에 합류했고, 2019년 12월부터 윈도우와 리눅스 장비들을 노리고 타이쿤 활동이 이어졌음을 알게 되었다. 아직 피해자가 많지는 않은 상황이다.

공격자들은 원격 데스크톱 프로토콜(RDP) 서버를 사용해 공격 대상이 되는 네트워크에 연결했고, 여기서부터 로컬 관리자 크리덴셜을 확보하는 데 성공했다. 그런 후에는 백신 및 멀웨어 탐지 솔루션들을 무력화하고, 해커들이 서비스용으로 활용하는 프로세스를 설치했다. 여기까지 성공한 후 공격자들은 시스템에 백도어를 남겨 추후 침투가 가능하도록 기반을 마련했다.

7일 후 공격자들은 RDP 서버 한 대에 연결하는 데 성공했고, 이를 바탕으로 네트워크 전체에 횡적으로 움직였다. 그렇게 해서 RDP 연결을 다량의 시스템과 성립시키는 데 성공했다. 분석을 해보니 RDP 연결이 각 서버마다 수동으로 이뤄진 것으로 나타났다. 그런 다음 공격자는 위에서 설치한 해커용 프로세스를 시작하고 백신을 무력화시켰다. 그런 후 랜섬웨어를 실행시켰다. 암호화 된 파일들은 .thanos나 .grinch, .redrum과 같은 확장자가 덧붙었다.

블랙베리의 에릭 밀람(Eric Milam)은 “IT 환경을 정말 잘 이해하고 있는 공격자들”이라고 말한다. “랜섬웨어로 최대한 많은 파괴력을 발휘하기 위해 가장 효과적인 일들을 수행하는 모습입니다. 이들은 주력 서버들만을 표적으로 삼고 있으며, 따라서 피해자가 돈을 지불하지 않을 경우 심각한 피해를 확실하게 줄 수 있습니다.”

타이쿤 랜섬웨어의 독특한 점은 피해자의 시스템에 자라 런타임 환경(JRE)의 형태로 설치되고, 다시 자바 이미지 파일(JIMAGE)로 컴파일링 된다는 것이다. JIMAGE는 특수한 파일 포맷으로, JRE 이미지들을 저장하고 있고, 자바 가상기계에서 활용되도록 설계된 것이다. JIMAGE에는 특정 JRE 빌드를 지원하는 모든 자원과 파일, 모듈이 포함되어 있다. 자바 개발 키트(JDK) 내부적으로 주로 사용되지, 개발자들이 직접 사용하는 사례는 드물다.

“자바라는 생태계에서 JIMAGE는 내부 요소로서만 활용됩니다. 그렇기 때문에 숨기에 딱 좋은 곳이 됩니다.” 블랙베리의 위협 첩보 부문 국장인 클로디우 티오도어스쿠(Claudiu Teodorescu)의 설명이다. “JIMAGE 내부를 굳이 들여다보는 사람은 거의 없죠. 아무도 경계하지 않는 요소라는 것이고, 이를 공격자들이 잘 파악했습니다.”

JIMAGE 파일을 랜섬웨어 공격에 활용하는 건 완전히 새로운 접근법이라고 밀람은 추가로 설명한다. “JIMAGE는 백신이 대부분 확인하지 않고, 소프트웨어 개발자 키트의 표준 요소나 라이브러리인 것처럼 보입니다. 보통의 상황이라면 JIMAGE를 특별히 검사할 이유가 없습니다.” 현재 이 JIMAGE 파일과 관련이 있는 악성 JRE 빌드를 분석했을 때 윈도우와 리눅스를 노리는 버전들이 있는 것으로 파악됐다. 공격자들이 리눅스도 같이 염두에 두고 있던 것으로 보인다.

타이쿤 공격자들이 암호화에 사용하는 건 비대칭 RSA 알고리즘이다. 따라서 파일을 복구하려면 공격자들이 가지고 있는 비밀 RSA 키가 반드시 있어야 한다. 그런데 타이쿤에 당한 피해자가 돈을 내고 범인으로부터 구한 비밀 키를 한 포럼에 업로드 했고, 이를 통해 타이쿤 초기 버전으로 암호화 된 파일을 복구할 수 있다고 한다.

또한 연구원들은 타이쿤과 이전 랜섬웨어인 다르마(Dharma) 혹은 크라이시스(CrySIS)가 서로 닮은 부분이 있다는 걸 발견하기도 했다. 특히 피해자들에게 제공하는 협박 편지의 내용과 연락용 이메일 주소가 완전히 똑같다고 한다. 다르마 혹은 크라이시스는 작년에 출현한 랜섬웨어로, 이번 타이쿤과 마찬가지로 RDP를 공격에 적극 활용한다.

보고서에 따르면 최근 멀웨어 개발자들이 자바와 고(GO) 등을 자주 활용하기 시작했다고 한다. 자바와 고로 제작된 멀웨어는 상대적으로 적고, 따라서 탐지에 걸리지 않을 가능성이 높기 때문이다. 티오도어스쿠는 “내부 시스템을 잘 알아야 타이쿤을 방어하기 쉽다”고 말한다. “크리덴셜 감사와 OS 패치, 웹 서버 패치 등을 체계적으로 진행하고 조직 내 보안 위생 관리가 잘 이뤄져야 합니다.”

3줄 요약
1. 새로운 랜섬웨어, 타이쿤, 등장.
2. 타이쿤의 독특한 점은 누구에게나 관심을 받지 못하는 JIMAGE를 활용한다는 점.
3. 이전 피해자가 복호화 키를 돈 주고 구매한 뒤 인터넷에 공개한 듯.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)