포스팅 내용

국내외 보안동향

파일리스 랜섬웨어 Sorebreck 주의!

최근 새로운 형태의 파일리스 랜섬웨어인 Sorebrect가 발견되었습니다. 이 랜섬웨어는 악성코드를 타겟 시스템의 정상적인 svchost.exe에 인젝션 시킨 후 백신을 우회합니다. 


전통적인 랜섬웨어와 다른것은, Sorebrect는 주로 기업의 서버와 클라이언트를 타겟으로 합니다. 또한 이 랜섬웨어는 동시에 로컬 및 네트워크 공유문서들을 암호화 시킵니다. 


이 파일리스 랜섬웨어는 우선 관리자 계정을 무력화 시킨 후, MS의 Sysinternals PsExec의 명령어를 이용하여 파일을 암호화 시킵니다. 공격자가 RDP를 이용하여 디바이스에 Sorebreck 랜섬웨어를 감염시킬 수도 있지만, RDP와 비교하였을 때 PsExec는 더 간편합니다. PsExec는 공격자로 하여금 원격에서 명령어를 실행하고, 대화형 로그온 세션이나 악성 소프트웨어를 사용하여 수동으로 원격 디바이스로 전송하지 않아도 되기 때문입니다. 


네트워크 공유 파일 암호화


Sorebrect는 또한 네트워크를 스캔하여 공유파일를 찾고 해당 파일들을 암호화 시킵니다. 또한 임의 사용자에게는 읽기 권한만 주어진 파일들도 역시 암호화 시킬 수 있습니다. 


그 후 이 랜섬웨어는 감염된 PC상 wevtutil.exe를 이용하여 모든 이벤트 로그를 삭제하고 vssadmin를 이용하여 모든 shadow 파일을 삭제하는데, 이 파일들을 삭제하는 이유는 분석가들이 이 랜섬웨어가 감염된 시점에 대해 판단하기 어렵게 하기 위해서 인 것으로 추정됩니다. 


그 밖에 Sorebrect랜섬웨어는 Tor 네트워크를 이용하여 C&C서버에 접속하여 추적을 회피합니다. 


Sorebrect 랜섬웨어는 각종 산업군을 타겟으로 공격하고 있습니다. 

조사에 따르면, Sorebrect는 최초 중동 국가들을 타겟으로 삼았지만, 저번달 부터 캐나다, 중국, 크로아티아, 이탈리아, 일본, 대만, 미국, 러시아 등으로 확산되고 있습니다. 


연구원들은 "Sorebrect 랜섬웨어의 파급력과 수익성을 감안하였을 때, 빠른 시일 내 전 세계적으로 퍼질 것으로 예상되며, 다크넷에서 판매가 될 가능성도 있다"고 밝혔습니다. 



예방방법


사용자 별 공유폴더 권한 제한

PsEcec 사용 및 권한 제한, 허가받은 사용자 관리자들에게만 허용

주요 SW 및 네트워크에 대한 주기적인 업데이트

중요 파일들에 대한 주기적인 백업

직원들의 보안의식 향상 


알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.AESNI로 탐지중에 있습니다. 




참고 : 

http://thehackernews.com/2017/06/fileless-ransomware-code-injection.html

티스토리 방명록 작성
name password homepage