상세 컨텐츠

본문 제목

JungleSec 랜섬웨어, IPMI 원격 콘솔을 통해 피해자들 감염 시켜

국내외 보안동향

by 알약(Alyac) 2019. 1. 2. 08:31

본문

JungleSec Ransomware Infects Victims Through IPMI Remote Consoles


JungleSec이라는 랜섬웨어가 11월 초부터 안전하지 않은 IPMI (Intelligent Platform Management Interface)카드를 통해 피해자들을 감염시키고 있는 것으로 나타났습니다.


11월 초에 발생한 피해자들은 윈도우, 리눅스, 맥을 사용하고 있었지만 이들이 어떻게 감염 되었는지는 알 수 없었습니다. 이후 랜섬웨어 피해자들을 조사해본 결과, 한가지 동일한 점이 발견 되었습니다. 이들은 안전하지 않은 IPMI기기를 통해 감염 된 것입니다.


IPMI는 서버 마더보드에 내장 되거나 애드온 카드로써 설치 되는 관리 인터페이스로 관리자들이 원격으로 컴퓨터를 제어하고, 전원을 켜고 끄고, 시스템 정보를 얻고, 원격 콘솔 접근이 가능한 KVM에 접근할 수 있도록 합니다.


이는 서버를 관리하는데 유용하며, 원격 콜로케이션(colocation) 센터의 또 다른 회사의 서버를 렌트했을 경우 특히 더 유용합니다. 하지만 PMI 인터페이스가 적절히 구성 되지 않았을 경우 공격자가 원격으로 연결해 디폴트 크리덴셜을 사용하여 서버를 제어하도록 허용할 수 있습니다.


IPMI를 통해 JungleSec 설치하기


2명의 피해자들을 조사해본 결과, 해커들은 서버의 IPMI 인터페이스를 통해 JungleSec 랜섬웨어를 설치한 것으로 나타났습니다. 이중 한 피해자는 IPMI 인터페이스에서 제조사의 디폴트 패스워드를 사용하고 있었습니다. 또 다른 피해자는 어드민 사용자가 비활성화 상태였지만, 공격자는 여전히 취약점들을 통해 접근할 수 있었다고 밝혔습니다.


사용자가 서버에 접근 권한을 얻으면 (두 가지 경우 모두 리눅스 서버였음) 공격자는 루트 권한을 얻기 위해 컴퓨터를 단일 사용자 모드로 재부팅 할 것입니다. 단일 사용자 모드에서 공격자들은 ccrypt 암호화 프로그램을 다운로드 및 컴파일 할 수 있게 됩니다.


한 희생자에 따르면, ccrypt가 다운로드 되면 공격자는 피해자의 파일을 암호화 하기 위해 수동으로 이를 실행합니다. 공격자가 사용하는 명령어는 아래와 유사합니다.


/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib


이 명령어를 입력하면, 공격자에게 파일을 암호화하는데 사용 되는 패스워드를 넣으라 요구합니다.


또 피해자들 중 하나는 공격자들이 sudo 명령어를 수행할 때 피해자에게 ENCRYPTED.md 파일을 읽으라 요구하는 메시지를 표시한다고 밝혔습니다.


ENCRYPTED.md 파일은 JungleSec 랜섬웨어의 랜섬노트입니다. 이 노트에는 파일을 돌려받기 위해 junglesec@anonymousspeech.com 이메일 주소를 통해 공격자에게 연락하고 동봉 된 비트코인 주소로 0.3 비트코인을 보내는 방법이 포함 되어 있습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/>


이 랜섬웨어의 또 다른 피해자는 공격자가 가상 머신 디스크를 검색 및 마운트했지만, 이를 적절히 암호화하는데 실패했다고도 밝혔습니다.


“이들은 모든 qemu/kvm 디스크를 마운트해 VM 내의 모든 파일을 암호화하려 시도했습니다. 하지만 해커들은 쓸모없는 홈 디렉토리 1개와 KVM 머신 1대 밖에 암호화하지 못했습니다.”


또한 그는 공격자들이 TCP 포트 64321에서 수신 대기하는 백도어를 남겼으며, 이 포트의 접근을 허용하는 방화벽 룰을 생성했다고 밝혔습니다. 어떤 프로그램이 백도어로써 사용 되었는지는 확인 되지 않았습니다.


-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT


마지막으로, 이 랜섬웨어에 돈을 지불한 피해자들 다수가 공격자들로부터 어떠한 대답도 받지 못했으며, 데이터를 복구할 수 없었다는 제보가 있었습니다.


IPMI 인터페이스를 안전하게 보호하는 방법


IPMI 인터페이스는 서버 마더보드에 직접적으로 통합 되거나 애드온 카드를 통해 컴퓨터에 설치 됩니다. IPMI 인터페이스를 사용 중이라면, 해커들이 이를 활용해 서버를 해킹할 수 없도록 안전하게 보호 되고 있는지 확인하는 것이 중요합니다.


IPMI 인터페이스를 보호하는 첫 번째 단계는 디폴트 패스워드를 변경하는 것입니다. 많은 카드들이 Admin/Admin과 같은 제조사에서 설정한 디폴트 패스워드와 함께 출고 되므로 즉시 암호를 변경해야 합니다.

관리자들은 특정 IP 주소만이 IPMI 인터페이스에 접근할 수 있도록 ACL를 구성해야 합니다. 또한 IPMI 인터페이스는 로컬 관리자나 VPN 연결을 통해서만 접근이 가능하도록 내부 IP 주소만 수신 대기할 수 있도록 구성되어야 합니다.


또한 GRUB 부트로더에 패스워드를 추가하는 방법도 있습니다. 이렇게 하면 IPMI 원격 콘솔에서 단일 사용자 모드로 재부팅 하는 것이 더욱 어려워집니다.



출처 : 

https://www.bleepingcomputer.com/news/security/junglesec-ransomware-infects-victims-through-ipmi-remote-consoles/



관련글 더보기

댓글 영역