서울 - 2017/06/29: IBM X-Force 보안 연구소는 최근 창궐하고 있는 페트야(Petya) 랜섬웨어(ransomware) 변종 샘플 3가지를 발견했다고 발표하고, 공격에 대비하기 위한 권고 사항을 발표했다.

• 마이크로소프트 보안 패치 MS17-010을 적용하고 모든 백신 프로그램을 최신 버전으로 업데이트한다.
• 백업 시스템이 효과적으로 구성되었는지 확인한다
• 안전이 검증된, 알려진 스냅샷 및 리이미지 시스템을 통해서만 백업 복원작업을 진행한다
• 페트야의 측면 침입을 방지하기 위해 패치가 적용되지 않은 시스템은 분리한다
• 중요한 모든 시스템 및 네트워크 모니터링이 효과적으로 이루어지는지 확인한다
• 네트워크 상의 합법적 툴을 통한 접근을 차단하는 권한 자격 보호에 대한 정기적 리뷰를 시작하고 꾸준히 실시한다
• 사고 대응과 유사시 계획을 재검토한다.

1. 측면 공격: SMB 내 웜홀

페트야가 퍼져 나가는 방법 중 하나는 전송 제어 프로토콜(TCP: Transmission Control Protocol) 포트 445를 검색하여 패치가 적용되지 않은 서버 메시지 블록(Server Message Block)을 사용하는 기기를 찾아내 공격하는 것이다. 이는 워너크라이 공격 방식과 동일하다.

2. 원격 실행: 이터널 블루, WMIC, PsEXEC

IBM X-Force 보안 연구소의 사고 대응 및 인텔리전스 서비스 팀은 페트야 랜섬웨어 샘플이 이터널 블루(Eternal Blue)를 사용하고 있다고 밝혔다. 해커 그룹인 섀도우 브로커스(Shadow Brokers)가 미 국가안보국으로부터 훔쳐냈다고 주장되는 이터널 블루를 통해 해커들은 공격 대상 시스템의 임의 코드 실행이 가능한 CVE-2017-0144의 취약점을 악용한다. 이와 함께 DOUBLEPULSAR와 같은 감염 코드의 존재 여부나 주변 시스템을 검색하거나 감염 코드를 통해 주변 시스템 감염 시도 여부를 확인할 수 있는 코드를 포함한다.

사실 WMIC나 PsExec은 취약점이 아니다. 이들은 관리자들이 시스템과 네트웍을 관리할 수 있도록 돕는 마이크로소프트 툴이다. WMIC는 사용자가 프로세스와 스크립트를 구동할 수 있게 해주며, PsExec은 시스템의 원격 관리를 가능하게 해주는 툴이다. 이들은 관리자에게는 중요하고 유용한 툴이지만 공격자들이 여기에 접근하게 되면 페트야와 같은 악성코드를 공격 대상 시스템에 심을 때 사용될 수 있다. 일단 시스템에 심어지면, 랜섬웨어는 스스로를 C:\Windows\ 디렉토리에 카피하고 PE 파일을 C:\Windows\dllhost.dat. 에 인스톨한다. 이러한 자취를 숨기기 위해 랜섬웨어는 schtasks 을 사용하여 일정한 시간에 시스템을 재부팅하는 작업 파일을 생성한다. 이에 더해,  wevtutil.exe 를 활용하여 셋업, 시스템, 보안, 애플리케이션 로그를 제거하고, fsutil.exe을 change journal상의 정보를 삭제한다.

                                                                  ###

IBM 시큐리티 소개

IBM 시큐리티는 최첨단 기업 보안 제품과 서비스로 구성된 통합 포트폴리오를 제공하고 있다. 이 포트폴리오는 세계적으로 유명한 IBM X-Force 연구 성과를 바탕으로 하고 있으며, 기업으로 하여금 효과적으로 위험을 관리하도록 함과 동시에, 새롭게 대두되는 위협으로부터 스스로를 방어할 수 있도록 해 준다. IBM은 세계에서 가장 광범위한 보안 연구, 개발, 제품화 조직을 거느리고 있으며, 전 세계 130개국에 걸쳐, 매일 350 억 개의 보안 이벤트를 감시한다. 또한, 보안 관련으로 3천 건 이상의 특허를 보유하고 있는 기업이기도 하다. 추가 상세 정보는 www.ibm.com/security를 방문하거나, 트위터에서 @IBMSecurity를 팔로우 하면 얻을 수 있으며, IBM Security Intelligence 블로그도 운영 중이다.