포스팅 내용

국내외 보안동향

서버측 결점 10개를 악용하는 Satan 랜섬웨어 변종 Lucky 발견

Satan Ransomware Variant Exploits 10 Server-Side Flaws


2년 전 처음 등장한 랜섬웨어의 새 버전이 윈도우와 리눅스 서버 플랫폼의 취약점 10개를 악용하여 확산될 수 있는 것으로 나타났습니다.


이 새로운 악성코드의 이름은 “Lucky”이며, Satan의 변종입니다. Satan은 서비스형 랜섬웨어(RaaS)의 형태로2017년 1월 출시 되었습니다. Satan과 마찬가지로, Lucky 또한 행동 및 사람의 조작 없이도 스스로 확산될 수 있다는 점이 웜과 유사합니다.


보안 업체인 NSFocus는 지난 11월 말 금융 서비스를 이용하는 고객들의 시스템에서 이 변종을 발견했으며, 전 세계적으로 광범위한 감염을 일으킬 수 있다고 설명했습니다. 이 악성코드는 Windows SMB, JBoss, WebLogic, Tomcat, Apache Struts 2, Spring Data Commons에 존재하는 이미 알려진 취약점을 악용할 수 있습니다.


또 다른 보안 업체인 Sangfor Tech 또한 금융 분야의 고객으로부터 Lucky가 그들의 리눅스 생산 서버들 중 일부를 감염시켰다는 제보를 받았습니다. 


Sangfor은 블로그를 통해 연구원들이 파일을 암호화 시킨 후 ‘.lucky’ 확장자를 붙이는 랜섬웨어를 발견했다고 밝혔습니다.


NSFocus는 Lucky가 자기 자신을 확산시키기 위해 사용하는 취약점 10개를 아래와 같이 밝혔습니다:


JBoss 역직렬화 취약점

JBoss 디폴트 설정 취약점 (CVE-2010-0738)

Tomcat 임의 파일 업로드 취약점 (CVE-2017-12615)

Tomcat 웹 어드민 콘솔 브루트포스 취약점

WebLogic 임의 파일 업로드 취약점 (CVE-2018-2894)

WebLogic WLS 컴포넌트 취약점 (CVE-2017-10271)

윈도우 SMB 원격 코드 실행 취약점 (MS17-010)

Apache Struts 2 원격 코드 실행 취약점 (S2-045)

Apache Struts 2 원격 코드 실행 취약점 (S2-057)

Spring Data Commons 원격 코드 실행 취약점 (CVE-2018-1273)


연구원들은 이 모든 취약점은 악용이 쉬웠으며, 대부분 실제 익스플로잇이 이미 공개되어 있는 상태이기 때문에 공격자들은 이를 거의 변형시키지 않고도 취약한 시스템을 손상시킬 수 있다고 밝혔습니다.


Lucky가 이용한 취약점들 중 일부는 불과 몇 달 전 공개되었습니다. 따라서 아직까지 시스템을 패치하지 못한 조직들은 감염 위험이 크다고 볼 수 있습니다.


Lucky가 이용하는 서버측 취약점 하나를 제외한 모두는 Java 서버 앱들에 영향을 미칩니다.


“JBoss, Tomcat, WebLogic, Apache Struts 2, Spring Data Commons에 영향을 미치는 취약점들은 모두 원격 코드 취약점이며, 공격자들이 어떤 플랫폼에서도 쉽게 OS 명령어를 실행시킬 수 있도록 허용합니다.”



랜섬웨어, 서버들 노리기 시작


다른 자가확산 악성코드와 마찬가지로, Lucky도 피해자의 시스템의 파일 암호화를 완료한 직후 확산을 시도합니다. 이 악성코드는 로컬 네트워크에서 특정 IP 및 포트를 스캔한 후 취약한 것으로 확인 된 모든 시스템에 악성 페이로드를 전송합니다.


Lucky는 지난 2~3년 간 공격자들이 랜섬웨어 툴을 어떻게 진화 시켰는지 잘 보여주는 예입니다. Giannakidis는 공격자들은 데스크탑 또는 다른 최종 사용자 시스템의 OS 취약점을(윈도우 SMB 프로토콜 등) 노리는 대신, 서버를 노리기 시작했다고 밝혔습니다.


Giannakidis는 “공격자들은 OS 취약점 대신 서버의 어플리케이션과 서비스를 노리기 시작했습니다.”, “이는 랜섬웨어가 주로 서버로 사용 되는 리눅스 시스템을 노리고 있다는 사실로 볼 때 명백합니다.”라고 말했습니다.


공격 대상이 변경 되는 이유 중 하나는, 서버를 패치하는 것이 데스크탑을 패치하는 것 보다 비교적 어렵기 때문일 수 있습니다. 서버의 취약점들은 취약한 최종 사용자 시스템보다 패치 않은 채로 남아있는 기간이 비교적 깁니다. 따라서 공격에 노출 될 확률이 더욱 높아집니다.


NSFocus는 의심스러운 포트 스캐닝 활동 및 취약점 악용 행위를 확인하기 위해 방화벽에서 egress 필터링 또는 유사한 기능을 사용할 것을 권장했습니다. 또한 보안 관리자들은 이 특정 IP 주소 4개와 도메인에 대한 접근 요청을 확인하고, 감염 된 시스템에서 바이러스를 제거하기 위해 조직의 구성원들이 따라야 할 지침을 제공해야 할 것입니다.


또한 영향을 받는 소프트웨어를 모두 최신버전으로 업그레이드 하고 취약점에 대한 패치를 설치해야 합니다.





출처 :

https://www.darkreading.com/threat-intelligence/satan-ransomware-variant-exploits-10-server-side-flaws/d/d-id/1333448

http://blog.nsfocusglobal.com/categories/trend-analysis/satan-variant-analysis-handling-guide/

https://www.waratek.com/satan-virus-variant/



티스토리 방명록 작성
name password homepage