유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어

유출된 NSA 해킹 툴, 취약한 윈도우 PC 수천대를 해킹하는데 사용되고 있어
Leaked NSA Hacking Tools Being Used to Hack Thousands of Vulnerable Windows PCs

전세계 온라인 범죄자들이 지난 주말 유출 된 NSA 해킹 툴들을 악용하기 시작했습니다. 그들은 인터넷에 노출된 수십만 대의 취약한 윈도우 컴퓨터를 노리고 있습니다.

지난 주, Shadow Brokers 해킹 그룹이 윈도우 XP, 서버 2003, 7, 8, 2012를 타겟으로 한 윈도우 해킹 툴들을 공개하였습니다. 이들이 공개한 해킹 툴에는 다수의 윈도우 제로데이 취약점이 포함되어 있었습니다. MS는 곧바로 해당 취약점들에 대한 패치를 공개하였습니다.

그러나 마이크로소프트가 패치를 공개했음에도 불구하고, 지원을 받지 못하는 시스템들과 아직 패치를 진행하지 않은 시스템들이 여전히 위협에 노출되어 있습니다.

보안 연구원들이 인터넷을 대규모로 스캔한 결과, GitHub에 공개된 무료 툴로 인해 DoublePulsar에 감염된 전세계 수십만대의 컴퓨터를 발견했습니다. 감염된 대부분의 컴퓨터는 미국에 위치하고 있는 것으로 확인되었습니다.

이 악성코드 감염이 시스템에 미치는 영향은?

DoublePulsar는 이미 감염된 시스템에서 악성코드를 주입 및 실행하는데 사용되는 백도어입니다. 이는 SMB 파일 쉐어링 서비스를 타겟으로 하는 EternalBlue를 사용해 설치할 수 있습니다.  따라서 시스템을 손상시키기 위해서는 취약한 윈도우 버전(XP~Server 2008 R2)의 SMB 서비스가 노출된 채로 실행되어야 합니다. 

DoublePulsar와 EternalBlue는 Equation Group의 툴로 의심되고 있습니다. 모든 스크립트 작성자들은 이를 다운로드 해 취약한 컴퓨터를 공격할 수 있게 되었습니다.

DoublePulsar가 성공적으로 설치되면, 공격자는 또 다른 악성코드를 설치하며 온라인 사용자들에게 스팸을 보냅니다. 또한 사용자들에게 추가적인 사이버 공격을 실행하기 위해 하이잭한 컴퓨터들을 악용합니다. 하지만 이 백도어는 탐지를 피하기 위해 감염시킨 PC의 어떠한 파일도 사용하지 않습니다. 따라서 감염된 PC가 재부팅되었을 때에는 더 이상 실행되지 않는 특징이 있습니다.

마이크로소프트는 영향을 받는 윈도우 OS의 대부분의 결함을 패치했습니다. 그러나 이를 패치하지 않은 사용자들은 EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread, EducatedScholar 등에 취약합니다. 또한 지원이 중단된 Windows XP, Windows Server 2003, IIS 6.0가 해당 공격에 취약하니, 관련 사용자들은 각별히 주의할 것을 당부 드립니다.

지금까지 MS17-010을 적용하지 않은 윈도우 사용자들은 되도록 빨리 패치할 것을 간곡히 권고 드립니다.

참고 :

http://thehackernews.com/2017/04/windows-hacking-tools.html