포스팅 내용

국내외 보안동향

NAS 장비를 노리는 신종 Cr1ptT0r 랜섬웨어 주의

Cr1ptT0r Ransomware Infects D-Link NAS Devices, Targets Embedded Systems


임베디드 시스템용으로 제작된 새로운 랜섬웨어인 Cr1ptT0r가 인터넷에 노출된 NAS 장비를 노리는 것으로 나타났습니다.


Cr1ptT0r는 한 사용자가 D-Link DNS-320 장비가 랜섬웨어에 감염된 것을 Bleeping Computer 측에 제보하여 알려졌습니다. 


D-Link는 DNS-320 제품을 더 이상 판매하지 않지만, 제품 페이지에는 아직까지 지원 되는 것으로 표시되었습니다. 


하지만 최신 펌웨어는 2016년에 출시되었으며, 이 장비를 해킹하는데 사용할 수 있는 많은 알려진 버그들이 존재하는 상태입니다. 아직까지 자세한 정보는 밝혀지지 않았지만, 이 랜섬웨어의 공격 벡터는 오래된 펌웨어의 취약점인 것으로 추측됩니다.


Cr1ptT0r 팀 중 한 명은 D-Link DNS-320 NAS 모델에 취약점이 너무나도 많아, 개선을 위해서는 아예 처음부터 새로 만드는 것이 낫다고 밝혔습니다.


DNS-320의 오래된 펌웨어 버전은 원격 코드 실행을 유발하는 버그가 최소 1개 존재하는 것으로 알려졌지만, 2018년 ShareCenter DNS‑320L에서 하드 코딩 된 백도어가 발견되었습니다.


Cr1ptT0r에 감염된 사용자들 중 일부는 공격을 받을 당시 오래된 펌웨어 버전을 사용하고 있었으며, 인터넷에 장비가 노출된 상태였다고 시인했습니다.


이 악성코드는 감염된 기기에 일반 텍스트 파일 2개를 드랍합니다. 하나는 랜섬 노트인 "_FILES_ENCRYPTED_README.txt"로 랜섬 머니 지불을 위해 운영자에게 연락하는 방법 등을 제공합니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/>


또한 운영자들은 파일 하나를 무료로 복호화 하여 자신들이 데이터 복구가 가능하다는 것을 증명합니다.


또 다른 텍스트 파일은 "_cr1ptt0r_support.txt"로 Tor 네트워크 내의 웹사이트 주소를 저장하고 있습니다. 


이는 피해자가 사용할 수 있는 지원 URL이며 감염된 기기가 온라인일 경우 원격 쉘을 활성화합니다. Cr1ptT0r 그룹 멤버는 이 URL과 IP 주소는 로깅 되지 않기 때문에, 데이터와 피해자 사이에는 아무런 연관성이 없다고 밝혔습니다.


Cr1ptT0r의 일원은 그저 돈을 바라고 있으며 간첩행위는 관심 대상이 아니라고 했지만, 안심할 수는 없습니다.



Synolocker 복호화 키 사용 가능


파일 복호화를 위한 키는 OpenBazaar 마켓에서 0.30672022 비트코인(약 $1,200 상당)에 판매되고 있습니다.


또한 OpenBazzar 스토어에는 해당 랜섬웨어의 운영자가 Synolocker 용 복호화 키도 동일한 가격에 판매하기 시작했습니다.



암호화된 파일에 확장자 추가되지 않아 


ELF ARM 바이너리인 이 랜섬웨어는 암호화 한 데이터에 아무런 확장자도 추가하지 않습니다. 


하지만 보안 연구원인 Michael Gillespie는 이 랜섬웨어가 파일 끝 마커에 "_Cr1ptT0r_"를 추가하는 것을 발견했습니다.



<이미지 출처: https://twitter.com/demonslay335>


또한 그는 이 랜섬웨어가 Sodium 암호화 라이브러리를 사용하며 비대칭 암호화에 "curve25519xsalsa20poly1305"를 사용하는 것으로 추측했습니다.


데이터를 암호화하는데 사용하는 공개 키(256비트)는 "cr1ptt0r_logs.txt"라는 파일에 저장됩니다. 이는 암호화 한 파일의 목록 또한 저장하고 있습니다.


현재 이 랜섬웨어는 NAS 기기를 공격하는데 주력하는 것으로 보입니다. NAS 기기는 소기업들이 내부 데이터를 저장 및 공유하는데 널리 사용되고 있습니다.


Cr1ptT0r는 랜섬웨어 시장에 새로 등장했지만 꽤 오래 활동할 것으로 보입니다. 운영자는 이 랜섬웨어가 임베디드 기기에 중점을 둔 리눅스 시스템 용으로 제작되었지만, 윈도우에도 사용이 가능할 것이라 밝혔습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.Linux.Gen으로 탐지중에 있습니다. 



출처 :

https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/

티스토리 방명록 작성
name password homepage