Bad Rabbit 랜섬웨어, NSA 익스플로잇 사용해

Bad Rabbit Ransomware Outbreak Also Used NSA Exploit

러시아와 우크라이나를 큰 혼란에 빠지게 한 Bad Rabbit 랜섬웨어 사건이 발생한지 이틀 후, 보안 연구원들은 계속해서 해당 멀웨어에 대해 연구를 진행하고 있습니다.

초기에는 SMB 프로토콜을 사용하는 커스텀 스캐닝 매커니즘을 사용해 초기 피해자로부터 근처 컴퓨터로 배포되는 것으로 추측 되었으나, 금일 새로이 발표 된 보고서에 의하면 Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 NSA 익스플로잇을 이용한 것으로 나타났습니다.

NSA가 개발하고 온라인에 유출 된 사이버 무기를 글로벌 랜섬웨어가 악용한 것은 올해만 세 번째입니다.

WannaCry가 NSA 사이버 무기를 사용한 첫 번째 랜섬웨어였습니다. 지난 5월, 이는 감염 된 네트워크 내부에서 측면으로 이동하기 위해 ETERNALBLUE 익스플로잇을 사용했습니다.

이로부터 한달 후, NotPetya 랜섬웨어는 ETERNALBLUE와 ETERNALROMANCE 익스플로잇을 동일한 목적을 위해 사용했습니다. 

처음 Bad Rabbit을 조사했을 때, 연구원들은 어떠한 NSA 툴들을 발견하지 못했습니다.

첫 번째 보고서에 따르면, 이 랜섬웨어는 Mimikatz를 사용해 감염 된 컴퓨터의 메모리로부터 메모리를 덤프하고, 동일한 네트워크상의 SMB 공유에 접근하기 위해 이를 하드코딩 된 크리덴셜 리스트와 함께 사용했습니다.

금일 업데이트 된 보고서에 따르면, 연구원들은 Bad Rabbit의 소스코드를 조사해본 결과 SMB로 배포 되었던 NSA 익스플로잇인 ETERNALROMANCE를 사용했다는 증거를 찾아냈습니다.

이 익스플로잇은 있는 그대로 구현 된 것이 아니라 약간의 수정이 가해졌기 때문에, 대부분의 연구원들과 자동 스캐닝 시스템이 그 동안 이를 발견하지 못했던 것으로 보입니다.

출처 :

https://www.bleepingcomputer.com/news/security/bad-rabbit- ransomware-outbreak- also-used- nsa-

exploit/