Endpoint Protection

업데이트: 2017년 5월 23일, 00:30 GMT

시만텍은 워너크라이 공격과 라자루스 그룹 간의 보다 긴밀한 관계를 드러내는 연관성들을 추가적으로 발견했습니다. 자세한 내용은 WannaCry: Ransomware attacks show strong links to Lazarus group을 참고하십시오.

업데이트: 2017년 5월 15일, 23:24:21 GMT

시만텍은 연관성은 아직 약하지만 워너크라이 랜섬웨어 사태와 해커조직 라자루스(Lazarus) 간의 연관성을 제시하는 다음과 같은 두 가지 단서를 포착했습니다.

• 알려진 라자루스 툴과 워너크라이 랜섬웨어의 동시 발생: 시만텍은 워너크라이의 이전 버전들에 의해 감염된 컴퓨터에서 라자루스가 독점 이용하는 툴이 존재한다는 사실을 파악했습니다. 이전 버전의 워너크라이는 SMB를 통한 확산이 불가능했습니다. 라자루스 툴이 워너크라이 확산의 방편으로 이용되었을 가능성이 있으나 확인된 사실은 아닙니다. 
• 공유 코드: 구글 소속 연구원인 닐 메타가 트위터에 공개했듯이, 알려진 라자루스 툴과 워너크라이 랜섬웨어 간에 공유된 코드가 존재합니다. 시만텍은 공유된 코드가 SSL의 형태를 하고 있음을 파악했습니다. 이 SSL은 오늘날까지 라자루스 툴에서만 확인이 되고 있는 75개의 특정 암호들의 연속(Contopee, Brambul 등)과 워너크라이 변종을 이용하여 구현됩니다. 

이러한 조사 결과, 라자루스가 워너크라이와 확실히 연관되어 있다고 확신할 수는 없으나, 분명히추가 조사로 이어질 만한 충분한 연관성은 존재한다고 믿고 있습니다. 시만텍은 계속해서 연구조사가 진행되는 대로 세부 정보를 추가로 공유하도록 하겠습니다. 

워너크라이라고 알려진 새로운 랜섬웨어 악성 변종(Ransom.Wannacry)이 5월 12일 금요일 첫 출현 이후 전세계적으로 수십만 대의 컴퓨터들을 공격했습니다. 워너크라이는 윈도우 운영체제 기반 컴퓨터의 주요 취약점(2017년 3월에 마이크로소프트가 패치 발표((MS17-010))을 악용하여 기관 네트워크를 통해 자체 확산될 수 있기 때문에 다른 일반 랜섬웨어들보다 훨씬 더 위험합니다. “이터널 블루”라고 하는 이 취약점은 올해 4월에 쉐도우 브로커스(Shadow Brokers)라고 알려진 해킹 조직이 공개하며, 이퀘이션(Equation)이라는 사이버 스파이 조직으로부터 데이터를 빼돌렸다고 주장했습니다.

내 컴퓨터는 워너크라이 랜섬웨어로부터 안전한가?

Symantec Endpoint Protection(SEP)과 노턴(Norton)은 워너크라이의 취약점 익스플로잇 시도를 능동적인 방식으로 차단함으로써 워너크라이가 처음 등장하기 전에 고객을 철저히 보호했습니다. SEP14 첨단 머신 러닝이 업데이트 없이도 사고 발생 이전부터 모든 워너크라이 감염을 능동적으로 차단한 것입니다.

블루코트(Blue Coat)의 글로벌 인텔리전스 네트워크(Global Intelligence Network)는 블루코트의 전 제품군에 웹 기반 감염 시도에 대한 자동 탐지 기능을 제공합니다.

시만텍과 노턴은 기술 결합을 통해 고객을 워너크라이로부터 자동 보호합니다. 제공되는 능동적 보호의 내용은 다음과 같습니다.

• IPS 네트워크 기반 보호
• SONAR 행동 탐지 기술
• 첨단 머신 러닝
• 지능형 위협 클라우드

고객은 이러한 기술들을 통해 100% 능동형 보호 기능을 제공 받을 수 있습니다. SEP 고객의 경우, SEP 14로 마이그레이션하여 머신 러닝 서명에 의해 제공되는 능동형 보호 기능을 이용할 것을 권장합니다.

워너크라이 랜섬웨어란 무엇인가?

워너크라이는 176개의 파일 종류를 검색한 뒤 암호화하고, 파일 이름 끝에 .WCRY를 덧붙입니다. 그런 다음, 사용자에게 300달러의 몸값을 비트코인으로 요구합니다. 랜섬 노트에는 3일 후면 몸값이 두 배가 된다고 적혀 있습니다. 일주일이 지나도 몸값을 지불하지 않으면, 암호화된 파일들이 삭제된다고 주장합니다. 그러나 시만텍은 파일 삭제를 야기할 만한 코드를 워너크라이에서 찾지 못했습니다.

암호화된 파일의 복구가 가능한가? 아니면 몸값을 지불해야 하는가?

암호화된 파일의 복호화는 현재 불가능합니다. 하지만 오늘도 시만텍 연구진은 그 가능성을 찾아 연구를 이어가고 있습니다. 본 기사에서 자세한 내용을 확인하시기 바랍니다. 워너크라이의 영향을 받은 파일들의 백업 사본이 있는 경우, 복구 가능성은 있습니다. 시만텍은 몸값 지불을 권장하지 않습니다.

백업 없이 파일 복구가 가능한 경우도 있을 것입니다. 배경화면, 내 문서, 이동식 드라이브에 저장된 파일들이 암호화되고, 원본은 완전 삭제됩니다. 이 경우, 복구는 불가능합니다. 반면, 컴퓨터의 다른 위치에 저장된 파일들은 암호화되고, 원본은 단순 삭제됩니다. 이 경우, 삭제된 파일 복구 툴인 언딜리트(undelete)를 사용하면 복구가 가능합니다.

워너크라이의 출현 시기는 언제이며, 얼마나 빠르게 확산됐나?

워너크라이가 최초로 등장한 때는 5월 12일 금요일입니다. 시만텍은 약 8:00 GMT부터 계속해서 워너크라이의 윈도우 취약점 익스플로잇 시도가 급증하는 것을 목격했습니다. 시만텍이 차단한 익스플로잇 시도 횟수는 토요일과 일요일에 다소 줄었으나 여전히 꽤 높은 상태를 유지했습니다. 익스플로잇 횟수는 주말 후 첫 출근일인 월요일에 다시 증가했습니다.

그림 1. 시만텍이 차단한 워너크라이의 윈도우 취약점 익스플로잇 시도 횟수(시간대별)

그림 2. 시만텍이 차단한 워너크라이의 윈도우 취약점 익스플로잇 시도 횟수(일별)

그림 3. 시만텍의 워너크라이 탐지를 나타내는 히트맵(5월 11일-15일)

누가 영향을 받았는가?

윈도우 운영체제를 사용하는 컴퓨터 중 보안 업데이트 패치를 설치하지 않은 모든 컴퓨터가 워너크라이에 취약할 수 있습니다. 기관의 경우 네트워크를 통한 확산력 때문에 특히 더 위험하며, 유럽을 중심으로 현재까지 전세계 상당수의 기관들이 영향을 받았습니다. 하지만 개인도 예외일 수는 없습니다.

표적 공격인가?

현 워너크라이 활동은 표적 공격의 일부로 보이지 않습니다.

기관에 특별히 많은 문제점을 일으키는 이유는 무엇인가?

워너크라이는 마이크로소프트 윈도우 내의 알려진 취약점을 익스플로잇하여 사용자 개입없이 기업 네트워크 내에서 자체 확산이 가능합니다. 최신 윈도우 보안 업데이트가 적용되지 않은 컴퓨터는 감염될 위험이 있습니다.

워너크라이는 어떻게 확산되나?

워너크라이는 취약점을 익스플로잇하여 네트워크를 통해 자체 확산되지만, 감염의 1차 수단, 즉 조직 내 감염된 최초의 컴퓨터의 감염 경로는 아직 확인되지 않은 상태입니다. 시만텍은 워너크라이가 악의적인 웹사이트에서 호스팅되는 경우들을 확인했지만, 오리지널 공격과 무관한 모방 공격으로 보입니다.

몸값 지불은 어떻게 이뤄지는가?

워너크라이 공격자는 비트코인으로 몸값을 지불할 것을 요구합니다. 워너크라이가 감염된 각각의 컴퓨터마다 고유의 비트코인 지갑 주소를 생성하지만 레이스 컨디션 버그 때문에 코드가 제대로 실행되지 못합니다. 이 경우, 워너크라이가 하드코딩된 세 개의 비트코인 결제 주소를 디폴트로 합니다. 공격자는 하드코딩된 주소를 이용하여 몸값을 지불한 사람을 파악할 수 없기 때문에 공격 희생자가 복호화된 파일을 받을 가능성은 낮습니다. 

이후, 워너크라이 공격자들은 이러한 단점을 수정한 새로운 악성코드 버전을 릴리스했으나, 오리지널 버전만큼 성공적이지는 못했습니다. 

5월 18일, 몸값을 지불하면 파일이 복호화될 거라는 새로운 통지가 감염된 컴퓨터에 올라왔습니다.

시만텍 보안 기술에 대한 자세한 정보

네트워크 기반 보호
시만텍은 MS17-010 취약점 익스플로잇 시도의 차단을 위해 다음과 같은 IPS 보호 기능을 제공합니다.

• OS 공격: 마이크로소프트 SMB MS17-010 정보 유출 시도(2017년 5월 2일 릴리스)
• 공격: 쉘코드 다운로드 활동(2017년 4월 24일 릴리스)

SONAR 행동 탐지 기술

 

 

• SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1

 

 

첨단 머신 러닝

• Heur.AdvML.A
• Heur.AdvML.B
• Heur.AdvML.D

 

안티바이러스

보호와 식별 강화를 위해 다음과 같은 안티바이러스 서명들이 업데이트되었습니다.

 

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry!gen1
• Ransom.Wannacry!gen2
• Ransom.Wannacry!gen3

 

고객은 라이브 업데이트(LiveUpdate) 실행을 통해 아래의 정의 버전 이상이 설치되었는지의 여부를 확인하여 최신 보안성이 구현되도록 해야 합니다.

• 20170512.009

하기의 IPS 서명 역시 Ransom.Wannacry 관련 활동을 차단합니다.

• 감염 시스템: Ransom.Ransom32 활동

기관들도 최신 윈도우 보안 업데이트 설치 여부를 확인해야 합니다. 특히, 워너크라이 확산 방지를 위해 MS17-010가 설치되어야 합니다.

랜섬웨어 보안의 모범 사례는 무엇인가?

• 새로운 랜섬웨어 변종들이 정기적으로 출현하고 있습니다. 보안 소프트웨어를 최신 버전으로 업데이트하여 랜섬웨어 변종으로부터 컴퓨터를 보호하십시오.
• 운영체제와 기타 소프트웨어를 최신 버전으로 업데이트하십시오. 소프트웨어 업데이트에는 랜섬웨어 공격자에 의해 익스플로잇될 수 있는 새롭게 발견된 보안 취약점들에 대한 패치가 포함되는 경우가 많습니다.
• 주요 감염 경로 중 하나가 이메일입니다. 특히, 링크나 첨부파일이 포함된 신뢰할 수 없는 이메일에 유의하십시오.
• 매크로를 활성화하여 내용을 볼 것을 권유하는 마이크로소프트 오피스 이메일 첨부 파일에 각별히 유의하십시오. 신뢰할 수 있는 출처로부터 수신된 이메일이라고 절대적으로 확신할 수 있는 경우가 아니라면, 매크로를 활성화하지 말고 즉시 이메일을 삭제해야 합니다.
• 주요 데이터 백업이 랜섬웨어 감염을 막는 가장 효과적인 방법입니다. 공격자는 귀중한 파일들을 암호화한 뒤 이용이 불가능한 상태로 만들어버리는 방식으로 공격을 당한 유저에게 영향력을 휘두릅니다. 만약 유저가 백업 사본을 갖고 있다면, 감염 치료 이후에 파일을 복구할 수 있습니다. 그러나, 기관의 경우에는 백업을 적절히 보호하거나 오프라인으로 저장하여 공격자가 삭제할 수 없도록 해야 합니다.
• 클라우드 서비스 이용 시, 파일의 구버전들이 유지되어 암호화되지 않은 형태로 롤백이 가능하므로 랜섬웨어 감염을 완화할 수 있습니다.