커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 새로운 랜섬웨어 타이쿤, 자바 이미지 파일 이용해 숨어
자바를 기반으로한 새로운 랜섬웨어가 등장했다. 현재 활발히 활동 중에 있으며, 주로 교육과 소프트웨어 산업을 노리는 것으로 나타났다. 보안 업체 블랙베리(BlackBerry)와 KPMG가 이를 처음 발견해 보고서를 발표했다. 이름은 타이쿤(Tycoon)이라고 정했다.

한 교육 기관을 겨냥한 사이버 공격을 수사하던 KPMG의 영국 사이버 대응 서비스(UK Cyber Response and Serivce) 팀이 타이쿤과 제일 먼저 접촉했다. KPMG의 파트너인 블랙베리의 연구첩보(Research and Intelligence) 팀이 연구에 합류했고, 2019년 12월부터 윈도우와 리눅스 장비들을 노리고 타이쿤 활동이 이어졌음을 알게 되었다. 아직 피해자가 많지는 않은 상황이다.

공격자들은 원격 데스크톱 프로토콜(RDP) 서버를 사용해 공격 대상이 되는 네트워크에 연결했고, 여기서부터 로컬 관리자 크리덴셜을 확보하는 데 성공했다. 그런 후에는 백신 및 멀웨어 탐지 솔루션들을 무력화하고, 해커들이 서비스용으로 활용하는 프로세스를 설치했다. 여기까지 성공한 후 공격자들은 시스템에 백도어를 남겨 추후 침투가 가능하도록 기반을 마련했다.

7일 후 공격자들은 RDP 서버 한 대에 연결하는 데 성공했고, 이를 바탕으로 네트워크 전체에 횡적으로 움직였다. 그렇게 해서 RDP 연결을 다량의 시스템과 성립시키는 데 성공했다. 분석을 해보니 RDP 연결이 각 서버마다 수동으로 이뤄진 것으로 나타났다. 그런 다음 공격자는 위에서 설치한 해커용 프로세스를 시작하고 백신을 무력화시켰다. 그런 후 랜섬웨어를 실행시켰다. 암호화 된 파일들은 .thanos나 .grinch, .redrum과 같은 확장자가 덧붙었다.

블랙베리의 에릭 밀람(Eric Milam)은 “IT 환경을 정말 잘 이해하고 있는 공격자들”이라고 말한다. “랜섬웨어로 최대한 많은 파괴력을 발휘하기 위해 가장 효과적인 일들을 수행하는 모습입니다. 이들은 주력 서버들만을 표적으로 삼고 있으며, 따라서 피해자가 돈을 지불하지 않을 경우 심각한 피해를 확실하게 줄 수 있습니다.”

타이쿤 랜섬웨어의 독특한 점은 피해자의 시스템에 자라 런타임 환경(JRE)의 형태로 설치되고, 다시 자바 이미지 파일(JIMAGE)로 컴파일링 된다는 것이다. JIMAGE는 특수한 파일 포맷으로, JRE 이미지들을 저장하고 있고, 자바 가상기계에서 활용되도록 설계된 것이다. JIMAGE에는 특정 JRE 빌드를 지원하는 모든 자원과 파일, 모듈이 포함되어 있다. 자바 개발 키트(JDK) 내부적으로 주로 사용되지, 개발자들이 직접 사용하는 사례는 드물다.

“자바라는 생태계에서 JIMAGE는 내부 요소로서만 활용됩니다. 그렇기 때문에 숨기에 딱 좋은 곳이 됩니다.” 블랙베리의 위협 첩보 부문 국장인 클로디우 티오도어스쿠(Claudiu Teodorescu)의 설명이다. “JIMAGE 내부를 굳이 들여다보는 사람은 거의 없죠. 아무도 경계하지 않는 요소라는 것이고, 이를 공격자들이 잘 파악했습니다.”

JIMAGE 파일을 랜섬웨어 공격에 활용하는 건 완전히 새로운 접근법이라고 밀람은 추가로 설명한다. “JIMAGE는 백신이 대부분 확인하지 않고, 소프트웨어 개발자 키트의 표준 요소나 라이브러리인 것처럼 보입니다. 보통의 상황이라면 JIMAGE를 특별히 검사할 이유가 없습니다.” 현재 이 JIMAGE 파일과 관련이 있는 악성 JRE 빌드를 분석했을 때 윈도우와 리눅스를 노리는 버전들이 있는 것으로 파악됐다. 공격자들이 리눅스도 같이 염두에 두고 있던 것으로 보인다.

타이쿤 공격자들이 암호화에 사용하는 건 비대칭 RSA 알고리즘이다. 따라서 파일을 복구하려면 공격자들이 가지고 있는 비밀 RSA 키가 반드시 있어야 한다. 그런데 타이쿤에 당한 피해자가 돈을 내고 범인으로부터 구한 비밀 키를 한 포럼에 업로드 했고, 이를 통해 타이쿤 초기 버전으로 암호화 된 파일을 복구할 수 있다고 한다.

또한 연구원들은 타이쿤과 이전 랜섬웨어인 다르마(Dharma) 혹은 크라이시스(CrySIS)가 서로 닮은 부분이 있다는 걸 발견하기도 했다. 특히 피해자들에게 제공하는 협박 편지의 내용과 연락용 이메일 주소가 완전히 똑같다고 한다. 다르마 혹은 크라이시스는 작년에 출현한 랜섬웨어로, 이번 타이쿤과 마찬가지로 RDP를 공격에 적극 활용한다.

보고서에 따르면 최근 멀웨어 개발자들이 자바와 고(GO) 등을 자주 활용하기 시작했다고 한다. 자바와 고로 제작된 멀웨어는 상대적으로 적고, 따라서 탐지에 걸리지 않을 가능성이 높기 때문이다. 티오도어스쿠는 “내부 시스템을 잘 알아야 타이쿤을 방어하기 쉽다”고 말한다. “크리덴셜 감사와 OS 패치, 웹 서버 패치 등을 체계적으로 진행하고 조직 내 보안 위생 관리가 잘 이뤄져야 합니다.”

[국제부 문가용 기자(globoan@boannews.com)]
파일
목록