ESET백신 이셋코리아
새소식

홈 > 새소식









 
작성일 : 17-10-25 13:26
ESET, 새로운 랜섬웨어 Bad Rabbit 확산에 주의 요망
 글쓴이 : ESTC
조회 : 415  


유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 Not-Petya 랜섬웨어의 새로운 변종인 Bad Rabbit 랜섬웨어가 유럽을 중심으로 확산되고 있어 주의를 요한다고 전했다.



이번에 발견된 새로운 랜섬웨어는 키예프 지하철을 포함하여 우크라이나의 일부 주요 인프라를 공격하여 많은 피해를 입혔다.

ESET 제품에 의해 Win32/Filecoder.D 로 진단되는 Bad Rabbit 랜섬웨어는 인기가 높은 사이트의 보안 취약점을 이용하여 HTML 본문이나 .js 파일에 특정 스크립트를 삽입한 후 해당 사이트 방문자를 대상으로 한 드라이브 바이 다운로드 방법으로 감염되는데, 설치된 다운로더가 C&C 서버와의 통신을 통해 랜섬웨어를 다운로드 한 후 실행된다.

현재 C&C 서버는 동작을 멈춘 상태로 응답을 하지 않는다. 다운로더는 사이트 방문자의 관심을 끌만한 페이지에 삽입되어 있으며, Flash Player 업데이트를 유도하는 페이지와 함께 install_flash_player.exe 파일이 설치되는데, 이 파일이 Bad Rabbit 랜섬웨어의 드로퍼이다.

Bad Rabbit 랜섬웨어는 Not-Petya 랜섬웨어와 마찬가지로 SMB 공유 서비스를 통해 확산되지만 EthernalBlue 취약점은 사용하지 않으며, 내부 네트워크에서 열려있는 SMB 공유 서비스를 검색하고, mimikatz 해킹 도구를 이용하여 감염된 컴퓨터에서 계정 정보를 수집한 후 확산에 이용한다.

파일의 암호화는 드라이브 암호화에 사용되는 오픈소스 소프트웨어인 DiskCryptor 를 이용하며, CryptGenRandom 로 생성된 암호화 키는 하드코딩 된 RSA 2048 공개키로 암호화하여 보관한다.
암호화된 파일은 확장자가 .encrypted 이며, Not-Petya 랜섬웨어와 마찬가지로 AES-128 를 사용한다.

ESET 에 의해 현재까지 파악된 Bad Rabbit 랜섬웨어의 감염 분포는 러시아가 65%로 가장 높으며, 우크라이나 12.2%, 불가리아 10.2%, 터키 6.4%, 일본 3.8%, 기타 2.4% 이며, 악성 스크립트를 포함하는 웹 사이트의 분포도와 거의 일치한다.

이셋코리아의 김남욱 대표는 "이번 Bad Rabbit 랜섬웨어 또한 손상된 웹 사이트를 통해서 감염되는 것으로 알려졌습니다. 따라서 웹 사이트 방문시 추가 프로그램의 다운로드에 더욱 주의를 기울여야 하며, 웹 브라우저 수준의 악성코드 보호 솔루션은 랜섬웨어 피해를 예방하는데 큰 도움을 줄 수 있습니다. 아울러 SMB 를 이용한 파일 공유 서비스를 사용하는 환경에서는 랜섬웨어 감염 확산 뿐만 아니라 파일 공유 서비스를 이용하는 원격지 PC 에 의한 공유 폴더 내 파일 암호화 방지에도 각별한 주의가 필요합니다. "고 전했다.