상세 컨텐츠

본문 제목

새로운 Petya는 랜섬웨어가 아니라 파괴적인 와이퍼(Wiper) 악성코드로 밝혀져

국내외 보안동향

by 알약(Alyac) 2017. 6. 29. 10:25

본문

Turns Out New Petya is Not a Ransomware, It’s a Destructive Wiper Malware


보안 전문가 Matt Suiche가 Petya로 알려진 악성코드를 분석한 결과, 랜섬웨어가 아닌 "와이퍼 악성코드"라는 사실을 발견했습니다. 또한 Petya가 요구하는 $300의 랜섬머니는 컴퓨터를 복원해주는 의도가 전혀 아닌 것으로 밝혀졌습니다. 


Petya, 랜섬웨어의 실수인가? 아니면 과도하게 똑똑한 탓인가?


Petya는 일반적인 랜섬웨어들과는 달리, 대상 시스템의 파일을 하나씩 암호화하지 않습니다. 대신, Petya는 피해자의 컴퓨터를 재부팅하고 하드 드라이브의 마스터 파일 테이블(MFT)을 암호화 하고 마스터 부트 레코드(MBR)를 사용할 수 없는 상태로 만들어서 파일의 이름, 크기, 물리적 디스크 내의 위치 등과 관련된 정보를 점령해 전체 시스템에 대한 접근을 제한합니다. 이후 MBR의 암호화 된 복사본을 가져가고, 이를 랜섬노트를 표시하는 악성 코드로 바꿔버려 컴퓨터를 부팅할 수 없는 상태로 만듭니다. 


<왼쪽: 와이퍼 코드가 포함 된 새로운 Petya 변종, 오른쪽: 기존의 Petya 랜섬웨어>

<원본 이미지 출처: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b>


하지만 이 새로운 Petya의 변종은 MBR의 복사본을 보관하지 않기 때문에, 피해자가 복호화 키를 얻더라도 감염된  컴퓨터를 부팅할 수 없게 됩니다. MBR의 복사본을 보관하지 않는 것이 실수인지 혹은 의도적인 것인지는 알 수 없습니다. 


또한 Petya는 한대의 컴퓨터를 감염시킨 후 로컬 네트워크를 탐색하고 EternalBlue SMB 익스플로잇, WMIC, PSEXEC 툴을 이용해 재빠르게 동일한 네트워크 상의 다른 모든 장비들(심지어는 윈도우 보안패치가 모두 완료된 장비들까지)을 감염시킵니다.



마이크로소프트가 공개한 실행 체인


마이크로소프트는 Petya가 유효한 관리자/도메인 크리덴셜을 스캔하는 Mimikatz와 유사한 크리덴셜 스틸링 툴을 드랍하는 것으로 시작 된다고 밝혔습니다. 이후, 이는 오픈 포트 445, 또는 139 연결을 찾는 서브넷들을 스캔합니다.


<이미지 출처 : https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/>



랜섬 머니를 지불하지 마세요! 파일을 복구할 수 없어요!


지금까지 총 45명의 피해자들이 $10,500 상당의 비트코인을 지불한 상태인 것으로 확인되었습니다. 이들은 파일이 복구되기를 기다리고 있겠지만, 안타깝게도 복구를 받을 수 없을 것입니다. 


독일의 이메일 서비스 업체가 공격자와 피해자가 연락을 주고받고 복호화 키를 받는데 사용하는 이메일 주소의 사용을 중지 시켰기 때문입니다.


이는 피해자들이 랜섬머니를 지불하더라도, 절대 파일을 복구 받을 수 없다는 것을 의미합니다. 


Kaspersky의 연구원들도 “분석 결과 피해자가 데이터를 복구할 수 있다는 희망은 아주 희박한 것을 알 수 있었다. 우리는 암호화 루틴의 상위 레벨 코드를 분석했으며, 제작자가 디스크 암호화 후 피해자의 디스크를 복호화 할 수 없다는 사실을 발견했다. 피해자의 디스크를 복구하기 위해서, 제작자들은 설치 ID가 필요하다. Petya/Mischa/GoldenEye와 같은 이전 버전의 ‘유사한’ 랜섬웨어들에서는 이 설치 ID 내에 키 복구에 필요한 정보들이 포함되어 있었다.”고 밝혔습니다.


새로운 Petya 변종이 전 세계의 서비스를 중지시키고 방해하도록 설계 된 파괴적인 악성코드라는 연구원들의 주장이 사실이라면, 이 악성코드의 임무는 성공적이었다고 볼 수 있습니다. 


이 악성코드는 우크라이나의 지하철, Kiev의 Boryspil 공항, 전기 공급 업체, 중앙 은행 및 국영 통신회사를 포함 주로 우크라이나의 기관들을 대상으로 공격을 수행했습니다.


또한 러시아, 프랑스, 스페인, 인도, 중국, 미국, 브라질, 칠레, 아르헨티나, 터키, 대한민국 등 다양한 국가들도 피해를 입었습니다. 



Petya는 어떻게 컴퓨터들에 침투할 수 있었나?


Talos Intelligence의 연구에 따르면, 우크라이나의 MeDoc이라는 회사가 주된 원인일 것이라고 추측하고 있습니다. 연구원들은 우크라이나의 세금 계산 시스템인 MeDoc의 악성 소프트웨어 업데이트를 통해 바이러스가 퍼졌다고 밝혔습니다. 하지만 MeDoc은 페이스북을 통해 이를 부인하였습니다.

하지만, 몇몇 보안 연구원들과 심지어는 마이크로소프트도 Talos의 연구결과에 동의하며 MeDoc이 해킹 되었으며 악성코드가 MeDoc 업데이트를 통해 퍼진 것으로 보인다고 밝혔습니다.




Petya의 또 다른 이름들


NotPetya, ExPetr, PetrWrap, PetWrap, GoldenEye 등






출처: 

https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know

http://thehackernews.com/2017/06/petya-ransomware-wiper-malware.html

https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

관련글 더보기

댓글 영역