포스팅 내용

국내외 보안동향

WannaCry가 사용했던 SMB취약점으로 유포중인 PETYA 랜섬웨어 최신버전 주의!

안녕하세요. 이스트시큐리티입니다.


SMB 취약점(MS17-010)을 이용한 PETYA 랜섬웨어가 유포되고 있습니다. 해당 취약점은 지난 5월, 전 세계적으로 큰 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어가 이용한 것과 동일합니다.


이번 Petya 랜섬웨어의 유포경로는 MeDoc이라는 SW 업데이트를 통한 것으로 추정되고 있습니다. MeDoc은 우크라이나 기업과 기관에서 주로 쓰이는 세무관련 회계프로그램으로, MeDoc 홈페이지에는 자신들의 서버가 공격을 당하고 있다는 공지글이 업로드 되었습니다(현재는 삭제됨). 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있는 것으로 추정됩니다. 


현재까지 Petya랜섬웨어의 피해가 가장 심각한 국가는 우크라이나, 러시아, 서유럽 지역이며, 국내에서도 27일 피해가 발생된 것으로 SNS상에서 확인되었습니다. 


PETYA 랜섬웨어는 2016년 초, 최초 발견되었던 랜섬웨어입니다. 이는 MFT(Master File Table)영역에 대한 암호화뿐만 아니라 MBR(Master Boot Record)영역을 감염시켜서 시스템 자체를 먹통으로 만듭니다. 이번에 유포중인 PETYA 랜섬웨어의 경우, WannaCry와 거의 동일하게 네트워크웜의 기능이 추가된 것으로 보입니다. 



 2016년 최초 등장했던 PETYA 랜섬웨어 관련내용 자세히 보기


 

 

1) 드롭퍼 및 전파 기능 수행

 

리소스에 저장되어 있는 파일을 복호화한 뒤, 임시 폴더 하위로 드롭 및 실행합니다. 해당 파일은 오픈 소스 도구로서 로컬 계정 정보를 얻는데 사용됩니다. 실행되는 프로그램은 파이프로 연결되어 명령어 전달 및 결과 값을 읽어옵니다. 

 

<드롭퍼 코드>

 

탈취된 계정정보와 wmic.exe를 통하여 로컬 계정에서 PETYA 랜섬웨어를 실행되도록 합니다. 원격 실행으로 전파되는 코드는 다음과 같습니다.

 

 

<원격 실행 전파 코드>

 

 

2) 파일 암호화

 

PETYA 랜섬웨어의 파일 암호화는 각 드라이브의 루트경로부터 진행되며 AES키를 암호화 하기 위한 RSA공개키가 하드코딩되어 있습니다. 내용은 다음과 같습니다.

 

<파일 암호화 코드 및 RSA 공개키>

PETYA 랜섬웨어가 감염시키는 확장자는 다음과 같습니다.


3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mai, l, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pv, i, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmd, k, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip

 

또한 MBR영역에 접근하여 변조합니다. 다음은 MBR 변조 코드입니다.

 

<MBR 변조 코드>

 

변조하기 이전 본래 MBR 코드 암호화를 진행한 뒤 0x4400 offset으로 백업시킵니다.

 

<MBR 데이터 XOR>

 

다음은 MBR 백업 데이터입니다.

 


<MBR 백업 데이터>

 

1시간 뒤 강제 재부팅을 예약한 후 암호화를 진행합니다.

 

<강제 재부팅>

 

또한 랜섬웨어에 감염된 시스템에는 랜섬메시지를 다음과 같이 발생합니다. 공격자는 이를 통해 300달러에 해당하는 비트코인을 특정 주소(비트코인지갑)으로 보내라고 안내합니다. 


<PETYA 랜섬웨어에 실제 감염 시 발생하는 화면>

 

재부팅과 함께 복호화를 위한 결제와 표기된 복호화 키를 이메일로 전송하라는 안내를 합니다. 하지만 해당 키는 별도로 생성된 키로 파일 암호화와는 관계가 없습니다. 이는 공격자가 랜섬웨어 제작 시 피해자의 파일 복호화를 배제한 의도로 보입니다. 따라서 피해자는 복호화를 위한 결제로 2차적인 피해를 입지 않도록 조심하여야 합니다.

 

3) 이벤트 로그 삭제

다음의 명령을 실행시켜 이벤트 로그를 삭제합니다. 이는 추적을 피하기 위한 시도로 보입니다.

 

"wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:"

<이벤트 로그 삭제>

 

WannaCry 랜섬웨어와 마찬가지로 이번 PETYA 랜섬웨어는 SMB프로토콜의 취약점을 이용하고 있습니다. 따라서 사용자분들께서는 가장 우선적으로 사용중인 Windows OS의 최신패치가 되어 있는지 여부를 확인하시기 바랍니다. 기존 WannaCry 랜섬웨어 이슈 당시 MS17-010 취약점에 대해 업데이트를 해놓으셨다면, 당분간은 안심하셔도 될 것 같습니다.



대응조치 방법


1) 최신 윈도우 보안 업데이트 (▶ 윈도우 보안업데이트 방법 자세히 보기)

2) WMIC(Windows Management Instrumentation Command-line)  사용하지 않도록 설정(윈도우 보안업데이트와는 별도로 조치 필요) (▶ WMIC 설정 방법 보러가기)

3) 안전하지 않은 SMBv1 프로토콜 비활성화 (▶SMB 설정 방법 보러가기)

4) c:/windows/perfc 폴더생성 후, 읽기 권한으로만 설정(임시방편)

* 해당 배치파일 실행 시, 자동생성



▶ Windows SMB 보안업데이트 롤업프리뷰패키지(KB4013389) 확인하러 가기

(KB4012212, KB4012215는 Windows7, Windows Server 2008 R2의 핫픽스번호입니다. )


 Microsoft 보안공지 MS17-010 확인하러가기



윈도우 취약점에 대한 업데이트가 최신인지 확인하셨다면, 굳이 네트워크 연결을 해제하지 않아도 됩니다. 또한 만일의 경우에 대비하여 반드시 중요자료에 대한 백업을 진행해 주시기 바랍니다. 

 

 

 

 


 

알약에서는 해당 PETYA 랜섬웨어에 대해 Trojan.Ransom.Petya로 6월 27일부터 대응하고 있습니다. 








저작자 표시
신고
  1. 패치고 2017.06.28 07:37 신고  수정/삭제  댓글쓰기

    새벽 2시에 포스팅을 하다니 알약 분석가는 잠이 없나요?

    • 알약(Alyac) 2017.06.28 09:41 신고  수정/삭제

      중요한 이슈인만큼, 사용자 분들께 최대한 신속히 알려드리기 위해 이스트시큐리티 관계자 분들이 고생하셨습니다. ^^ 계속해서 후속 정보도 발빠르게 제공해드릴 수 있도록 노력하겠습니다. 댓글 감사 드립니다!

  2. 알약 최고 2017.06.28 09:46 신고  수정/삭제  댓글쓰기

    몇번 랜섬에 걸릴뻔한 적이 있었는데 그떄마다 알약이 구해 주었습니다. 열일하시는 알약 관계자 여러분 감사합니다

    • 알약(Alyac) 2017.06.28 13:12 신고  수정/삭제

      저희 알약이 잘 잡아냈다니 정말 다행이네요. ^^ 앞으로도 강력하게 탐지하고 치료할 수 있도록 계속해서 최선을 다하겠습니다. 댓글 감사 드려요!

  3. 김현중 2017.06.28 15:11 신고  수정/삭제  댓글쓰기

    매번 좋은 정보 주셔서 감사합니다.

    • 알약(Alyac) 2017.06.28 16:21 신고  수정/삭제

      더욱 열심히 하는 알약이 되겠습니다^^ 감사합니다.

  4. 컴맹... 2017.06.28 15:49 신고  수정/삭제  댓글쓰기

    3) 안전하지 않은 SMBv1 프로토콜 비활성화

    이건 어케 해주나요??

    • 알약(Alyac) 2017.06.28 16:21 신고  수정/삭제

      안녕하세요. 말씀하신 부분은 해당 사이트(https://support.microsoft.com/ko-kr/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows)를 참고 부탁 드립니다. 감사합니다.

  5. 수재링 2017.06.28 18:07 신고  수정/삭제  댓글쓰기

    알약+익스플로잇 쉴드 통합해주시고
    클라우드(max백신,v3 asd&ts 악성코드를 유포하는 웹 사이트에 대한 접속을 차단) 소포스엔진이 안되는 64비트를위해서 카스퍼스키나노턴엔진지원(최신)

    • 알약(Alyac) 2017.06.29 09:38 신고  수정/삭제

      소중한 의견 감사 드립니다. ^^ 담당자분께 전달하겠습니다. 감사합니다.

    • 수재링 2017.09.16 02:23 신고  수정/삭제

      문의를하면 업데이트좀 해주세요 제발~

    • 알약(Alyac) 2017.09.19 15:32 신고  수정/삭제

      안녕하세요. 알약입니다. 먼저 관심 가져주셔서 감사 드립니다! 말씀하신 부분은 내부에서 논의를 거쳐 진행되어, 시간이 다소 소요될 수 있는 점 양해 부탁 드립니다. 감사합니다.

  6. 최지우 2017.06.28 21:20 신고  수정/삭제  댓글쓰기

    앱체크처럼 알약도 고강도 행동차단 기능 추가해 주세요. 알약 항상 응원합니딘.

    • 알약(Alyac) 2017.06.29 09:39 신고  수정/삭제

      안녕하세요. 알약은 랜섬웨어 차단 기술을 고도화하기 위해 계속해서 노력하고 있습니다. ^^ 관련 특허 내용(http://blog.alyac.co.kr/1039)도 참고 부탁 드리겠습니다. 앞으로도 최선을 다하겠습니다. 응원 감사드려요~

  7. 환자 2017.06.30 07:06 신고  수정/삭제  댓글쓰기

    안녕하세요 알약형님
    이거랑 다른 내용의 질문인데...
    보통 랜섬웨어 걸리면 랜선을 뽑아라고 하는데..
    암호화 되기전의 과정이라면 모를까 이미 걸려서
    암호화가 한참 진행되는 중인데 랜선을 뽑아야하는 이유가 있나요?

    • 알약(Alyac) 2017.06.30 09:28 신고  수정/삭제

      안녕하세요. 랜선을 뽑으라는 조치 방법은 랜섬웨어 감염 예방을 위한 사전 조치 방법입니다. 만약 사용자분께서 랜섬웨어에 감염된 이후에도 랜선을 뽑으라는 내용을 확인하신 거라면, 그 부분은 랜섬웨어에 감염된 이후 동일 네트워크 상에 연결되어 있는 타 시스템으로의 추가 감염을 막기 위한 조치라고 보여집니다. 이 점 참고 부탁 드립니다. 감사합니다.

티스토리 방명록 작성
name password homepage