상세 컨텐츠

본문 제목

새로운 SamSam 랜섬웨어 변종, 감염 전 특별한 패스워드 요구해

국내외 보안동향

by 알약(Alyac) 2018. 6. 25. 13:49

본문

New SamSam Variant Requires Special Password Before Infection


SamSam 랜섬웨어의 새로운 버전이 악성코드의 페이로드를 실행하는 사용자가 명령어 라인을 통해 특별한 패스워드를 입력하지 않는 이상 실행되지 않는 것으로 나타났습니다.


이는 SamSam의 제작자들이 최신 SamSam 버전에 추가한 새로운 보호 매커니즘인 것으로 나타났습니다.

이전 버전에는 이 매커니즘이 없었기 때문에, SamSam 바이너리를 발견한 누구라도 파일을 더블클릭하고 실행해 컴퓨터를 감염시킬 수 있었습니다.



보안 연구원들을 의식한 수정 사항


패스워드 보호 시스템이 추가 된 것은 최종 사용자들과는 아무런 관련이 없습니다.

SamSam 랜섬웨어는 주로 대기업이나 정부 기관의 프라이빗 네트워크를 해킹한 후에 배포하는 그룹이 만들었습니다.


이 랜섬웨어는 스팸 이메일이나 웹에서 쉽게 찾아볼 수 있는 것은 아닙니다.

보안 연구원들이 랜섬웨어 바이너리를 우연히 발견했을 때 이를 실행하고, SamSam의 최신 버전에 대한 정보를 수집하는 것을 제한하기 위해 패스워드가 추가 되었습니다.


<이미지 출처 : Malwarebytes report>


연구원들은 “이 패스워드는 컴파일 시에 설정 됩니다. 즉, 각각의 캠페인 마다 서로 다른 패스워드가 등록되어 있을 수 있습니다.”고 밝혔습니다.



2018년 SamSam 공격 일정


Dharma, GlobeImpostor, Scarab 등 다른 랜섬웨어 변종들은 대규모 악성 스팸 및 익스플로잇 키트를 통해 좀더 광범위하게 배포 되고 있지만, SamSam 랜섬웨어는 오늘날 가장 악명 높고 잘 알려진 변종입니다.


SamSam 랜섬웨어의 배후에 있는 공격자 그룹은 2018년 첫 분기에 꽤 활동적이었습니다. 이는 병원, 시의회, ICS 회사, 주 정부 기관 등 셀 수 없이 많은 대상을 공격했습니다.


SamSam 랜섬웨어는 애틀란타 시의 IT 네트워크를 해킹해 전 세계적으로 유명해졌습니다. 이 피해는 간신히 회복 되었지만, 시는 많은 양의 데이터와 재정적 손실을 겪었습니다.



Indicators of Compromise


BAT file

9C8AD4147F5CBDDA51317A857D75720C84BDDB16338DABE374A3E60C64C2F0DE

Encryption DLL

DA9C2ECC88E092E3B8C13C6D1A71B968AA6F705EB5966370F21E306C26CD4FB5

Runner

738C95F5BFE63A530B200A0D73F363D46C5671C1FCBB69C217E15A3516501A86

Stubbin

594B9B42A2D7AE71EF08795FCA19D027135D86E82BC0D354D18BFD766EC2424C



현재 알약에서는 해당 SamSam 랜섬웨어 변종에 대해 Trojan.Ransom.SamSam, Trojan.BAT.Agent.JO으로 탐지중입니다.



출처 : 

https://www.bleepingcomputer.com/news/security/new-samsam-variant-requires-special-password-before-infection/

관련글 더보기

댓글 영역