상세 컨텐츠

본문 제목

WannaCry가 사용했던 SMB취약점으로 유포중인 PETYA 랜섬웨어 최신버전 주의!

국내외 보안동향

by 알약(Alyac) 2017. 6. 28. 02:07

본문

안녕하세요. 이스트시큐리티입니다.


SMB 취약점(MS17-010)을 이용한 PETYA 랜섬웨어가 유포되고 있습니다. 해당 취약점은 지난 5월, 전 세계적으로 큰 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어가 이용한 것과 동일합니다.


이번 Petya 랜섬웨어의 유포경로는 MeDoc이라는 SW 업데이트를 통한 것으로 추정되고 있습니다. MeDoc은 우크라이나 기업과 기관에서 주로 쓰이는 세무관련 회계프로그램으로, MeDoc 홈페이지에는 자신들의 서버가 공격을 당하고 있다는 공지글이 업로드 되었습니다(현재는 삭제됨). 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있는 것으로 추정됩니다. 


현재까지 Petya랜섬웨어의 피해가 가장 심각한 국가는 우크라이나, 러시아, 서유럽 지역이며, 국내에서도 27일 피해가 발생된 것으로 SNS상에서 확인되었습니다. 


PETYA 랜섬웨어는 2016년 초, 최초 발견되었던 랜섬웨어입니다. 이는 MFT(Master File Table)영역에 대한 암호화뿐만 아니라 MBR(Master Boot Record)영역을 감염시켜서 시스템 자체를 먹통으로 만듭니다. 이번에 유포중인 PETYA 랜섬웨어의 경우, WannaCry와 거의 동일하게 네트워크웜의 기능이 추가된 것으로 보입니다. 



 2016년 최초 등장했던 PETYA 랜섬웨어 관련내용 자세히 보기


 

 

1) 드롭퍼 및 전파 기능 수행

 

리소스에 저장되어 있는 파일을 복호화한 뒤, 임시 폴더 하위로 드롭 및 실행합니다. 해당 파일은 오픈 소스 도구로서 로컬 계정 정보를 얻는데 사용됩니다. 실행되는 프로그램은 파이프로 연결되어 명령어 전달 및 결과 값을 읽어옵니다. 

 

<드롭퍼 코드>

 

탈취된 계정정보와 wmic.exe를 통하여 로컬 계정에서 PETYA 랜섬웨어를 실행되도록 합니다. 원격 실행으로 전파되는 코드는 다음과 같습니다.

 

 

<원격 실행 전파 코드>

 

 

2) 파일 암호화

 

PETYA 랜섬웨어의 파일 암호화는 각 드라이브의 루트경로부터 진행되며 AES키를 암호화 하기 위한 RSA공개키가 하드코딩되어 있습니다. 내용은 다음과 같습니다.

 

<파일 암호화 코드 및 RSA 공개키>

PETYA 랜섬웨어가 감염시키는 확장자는 다음과 같습니다.


3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mai, l, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pv, i, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmd, k, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip

 

또한 MBR영역에 접근하여 변조합니다. 다음은 MBR 변조 코드입니다.

 

<MBR 변조 코드>

 

변조하기 이전 본래 MBR 코드 암호화를 진행한 뒤 0x4400 offset으로 백업시킵니다.

 

<MBR 데이터 XOR>

 

다음은 MBR 백업 데이터입니다.

 


<MBR 백업 데이터>

 

1시간 뒤 강제 재부팅을 예약한 후 암호화를 진행합니다.

 

<강제 재부팅>

 

또한 랜섬웨어에 감염된 시스템에는 랜섬메시지를 다음과 같이 발생합니다. 공격자는 이를 통해 300달러에 해당하는 비트코인을 특정 주소(비트코인지갑)으로 보내라고 안내합니다. 


<PETYA 랜섬웨어에 실제 감염 시 발생하는 화면>

 

재부팅과 함께 복호화를 위한 결제와 표기된 복호화 키를 이메일로 전송하라는 안내를 합니다. 하지만 해당 키는 별도로 생성된 키로 파일 암호화와는 관계가 없습니다. 이는 공격자가 랜섬웨어 제작 시 피해자의 파일 복호화를 배제한 의도로 보입니다. 따라서 피해자는 복호화를 위한 결제로 2차적인 피해를 입지 않도록 조심하여야 합니다.

 

3) 이벤트 로그 삭제

다음의 명령을 실행시켜 이벤트 로그를 삭제합니다. 이는 추적을 피하기 위한 시도로 보입니다.

 

"wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:"

<이벤트 로그 삭제>

 

WannaCry 랜섬웨어와 마찬가지로 이번 PETYA 랜섬웨어는 SMB프로토콜의 취약점을 이용하고 있습니다. 따라서 사용자분들께서는 가장 우선적으로 사용중인 Windows OS의 최신패치가 되어 있는지 여부를 확인하시기 바랍니다. 기존 WannaCry 랜섬웨어 이슈 당시 MS17-010 취약점에 대해 업데이트를 해놓으셨다면, 당분간은 안심하셔도 될 것 같습니다.



대응조치 방법


1) 최신 윈도우 보안 업데이트 (▶ 윈도우 보안업데이트 방법 자세히 보기)

2) WMIC(Windows Management Instrumentation Command-line)  사용하지 않도록 설정(윈도우 보안업데이트와는 별도로 조치 필요) (▶ WMIC 설정 방법 보러가기)

3) 안전하지 않은 SMBv1 프로토콜 비활성화 (▶SMB 설정 방법 보러가기)

4) c:/windows/perfc 폴더생성 후, 읽기 권한으로만 설정(임시방편)

* 해당 배치파일 실행 시, 자동생성



▶ Windows SMB 보안업데이트 롤업프리뷰패키지(KB4013389) 확인하러 가기

(KB4012212, KB4012215는 Windows7, Windows Server 2008 R2의 핫픽스번호입니다. )


 Microsoft 보안공지 MS17-010 확인하러가기



윈도우 취약점에 대한 업데이트가 최신인지 확인하셨다면, 굳이 네트워크 연결을 해제하지 않아도 됩니다. 또한 만일의 경우에 대비하여 반드시 중요자료에 대한 백업을 진행해 주시기 바랍니다. 

 

 

 

 


 

알약에서는 해당 PETYA 랜섬웨어에 대해 Trojan.Ransom.Petya로 6월 27일부터 대응하고 있습니다. 








관련글 더보기

댓글 영역