Home > 전체기사

새로 나온 타노스, 리플레이스 전략 활용하는 최초의 랜섬웨어

  |  입력 : 2020-06-11 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서비스형 랜섬웨어로서 등장한 타노스...윈도우 파일 공략하는 리플레이스 활용
빌더 형태로 판매돼...구매자가 여러 옵션을 필요에 맞게 골라 클라이언트를 생성


[보안뉴스 문가용 기자] 새로운 ‘서비스형 랜섬웨어’인 타노스(Thanos)가 발견됐다. 다크웹에서 인기가 꾸준히 올라가고 있는 중이라고 한다. 타노스는 ‘새로 등장했다’는 것 외에, 리플레이스(RIPlace)라는 것을 공격에 활용하는 최초의 랜섬웨어라는 특징도 가지고 있어 주목을 받고 있다.

[이미지 = utoimage]


리플레이스란, 윈도우 파일 시스템을 공략하는 전략 중 하나로 작년 나이오트론(Nyotron)이라는 보안 업체가 개념증명을 발표하면서 세상에 알려졌다. 리플레이스를 활용할 경우 파일을 악의적으로 조작할 수 있고, 이를 통해 공격자들은 랜섬웨어 탐지 솔루션을 우회하거나 무력화시킬 수 있게 된다.

리플레이스를 활용한다는 점 외에 타노스에 별다른 특이점이 발견되고 있지는 않다. 하나의 평범한 랜섬웨어일 뿐이다. 그러나 그렇기 때문에 ‘편리한 이용성’이 강조되고 있고 이게 다크웹의 소비자들에게 제법 잘 통하고 있다. 이러한 현상에 대해 보안 업체 레코디드 퓨처(Recorded Future)가 보고서를 작성해 발표했다.

이 보고서에 따르면 “‘서비스형 랜섬웨어’를 구매하는 주요 이유는 기술적으로 부족한 부분을 쉽게 메울 수 있다는 것이며, 따라서 이용이 간편하다는 건 커다란 장점이 될 수밖에 없다”고 한다. “하지만 여태까지 등장했던 서비스형 랜섬웨어는 소비자들의 요구에 따라 점점 진화했습니다. 항상 똑같아서는 팔리지를 않으니까요. 아마 타노스도 그렇게 되지 않을까 합니다.”

타노스가 처음 발견된 건 지난 1월의 일이다. 노소포로스(Nosophoros)라고 불리는 단체가 처음 개발한 것으로 알려져 있다. 그런 후 타노스는 지난 6개월 동안 꾸준히 향상되어 왔다. 새로운 버전이 나올 때마다 새로운 기능이 주기적으로 추가됐다. 리플레이스를 활용하는 기능은 2월 버전에 추가됐었다.

타노스 랜섬웨어는 ‘빌더’ 형태로 제공되며, 소비자들은 이를 가지고 랜섬웨어 클라이언트를 독립적으로 생성할 수 있다. 필요에 따라 알맞은 기능을 구성할 수 있게 된다. 매달 돈을 내는 ‘라이트’ 패키지와, 평생 회원인 ‘컴파니’ 패키지 중 택일할 수 있다. ‘컴파니’ 패키지의 경우 ‘라이트’ 패키지보다 많은 기능을 가지고 있는데, 이 중에는 데이터 탈취, 리플레이스 전략 활용, 횡적 움직임 등이 포함되어 있다.

레코디드 퓨처가 파악한 바에 따르면 현재까지 만들어진 타노스 클라이언트들은 80종이 넘는다고 한다. “빌더를 구매한 자들이 옵션을 선택해 조합할 수 있습니다. 따라서 암호화 방식과 공격의 흐름이 달라질 수 있습니다. 리플레이스 전략도 사용자의 선택에 따라 사용되지 않을 수도 있습니다.”

횡적 움직임 기능도 눈에 띈다. 이는 일반 보안 도구인 샤프이그젝(SharpExec)을 활용해 구현되는 것으로, 타노스 클라이언트를 생성할 때 깃허브(GitHub)에서 샤프이그젝을 다운로드 받음으로써 추가할 수 있게 된다. 이를 통해 로컬 네트워크를 스캔해 온라인 호스트들을 파악하고, 타노스 클라이언트를 실행할 수 있게 된다고 한다. 요즘 랜섬웨어 공격자들 사이에서 유행하고 있는 파일 탈취 기능도 타노스는 제공한다. 가상환경을 확인하는 분석 방해 기능도 있다.

파일 암호화를 위해 타노스는 32바이트 문자열을 무작위로 생성해 활용한다. 생성된 문자열은 랜섬웨어 운영자들의 공공 키로 암호화 된다. 이에 상응하는 비밀 키 없이는 암호화 된 파일을 복구하는 건 불가능하다. “하지만 타노스 빌더에는 정적 비밀번호를 포함시킨다는 옵션이 존재합니다. 빌더를 구매한 자가 이 옵션을 사용할 경우, 클라이언트에 비밀번호가 저장됩니다. 따라서 피해자가 이 클라이언트 샘플을 확보하게 된다면, 암호화 된 파일들을 복구시킬 가능성이 커집니다.”

최근 발견된 랜섬웨어인 학빗(Hakbit)이 타노스 빌더로 만들어진 클라이언트 중 하나로 보인다고 레코디드 퓨처는 설명한다. 코드도 비슷하고, 문자열도 재사용 되었으며, 암호화 된 파일에 부착된 파일 확장자가 동일하고 협박 편지 구성도 비슷하기 때문이다. 앞으로도 이런 식으리 랜섬웨어가 계속해서 출몰할 것이라고 레코디드 퓨처는 예측한다.

“랜섬웨어 생태계가 시장 형태로 운영된다는 걸 기억해야 합니다. 시장 형태라는 건 경쟁이 있다는 것이고, 이 경쟁 구도에서 살아남으려면 변화하고 발전할 수밖에 없습니다. 타노스도 여기에서 크게 벗어나지 않을 겁니다. 지금은 기본적인 랜섬웨어라고 볼 수 있지만, 앞으로는 더 큰 위협으로 발전할 수 있다는 뜻입니다. 이미 정보 탈취, 횡적 움직임 등의 기능이 탑재된 것만 봐도 알 수 있죠.”

3줄 요약
1. 처음으로 등장한 타노스 랜섬웨어, 빌더 형식으로 다크웹에서 판매되고 있음.
2. 리플레이스 전략을 활용한 최초 사례. 구매 옵션에 따라 데이터 탈취도 가능.
3. 랜섬웨어 시장에 나온 상품이므로 앞으로 지속적인 발전 있을 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)