포스팅 내용

국내외 보안동향

NAS 장비를 노리는 새로운 랜섬웨어 발견!

A New Ransomware Is Targeting Network Attached Storage (NAS) Devices


대만의 QNAP 시스템이 제작한 리눅스 기반의 NAS(Network Attached Storage) 장비를 노리는 새로운 랜섬웨어 패밀리가 발견되었습니다.


가정 및 중소기업에서 사용하기 좋은 NAS 장비는 네트워크 또는 인터넷에 연결된 전용 파일 저장 유닛으로 데이터 및 백업본을 저장하고 다른 컴퓨터와 공유할 수 있습니다.


Intezer과 Anomali의 연구원들이 발견한 이 새로운 랜섬웨어는 SSH 크리덴셜을 이용한 브루트포싱 공격 또는 알려진 취약점을 악용하여 보안이 취약한 QNAP NAS 장비를 노립니다.


Intezer가 "QNAPCrypt", Anomali가 "eCh0raix"라 명명한 이 새로운 랜섬웨어는 Go 프로그래밍 언어로 작성되었으며 AES 암호화를 통해 타깃 파일을 암호화 후 .encrypt 확장자를 붙입니다.


하지만 감염된 NAS 장비가 벨라루스, 우크라이나, 러시아에 위치할 경우, 파일 암호화 프로세스를 종료하고 아무런 악성 행위를 하지 않은 채 자기 자신을 종료합니다.



<이미지 출처: https://www.anomali.com/blog/the-ech0raix-ransomware>



이 랜섬웨어가 실행되면, 공격자에게 새로운 피해자가 확인되었다는 사실을 알리기 위해 SOCKS5 Tor 프록시를 통해 Tor 네트워크로 보호된 원격 C&C 서버에 연결합니다.


파일을 암호화하기 전, 랜섬머니를 지불하는데 사용할 고유한 비트코인 지갑 주소를 사전에 정의된 비트코인 주소 목록을 포함하는 C&C 서버에 요청합니다.



<이미지 출처: https://www.intezer.com/blog-seizing-15-active-ransomware-campaigns-targeting-linux-file-storage-servers/>



서버에 고유 비트코인 주소가 부족한 경우, 랜섬웨어는 파일 암호화를 진행하지 않고 공격자가 새로운 주소를 생성해 제공할 때까지 기다립니다.


Intezer의 연구원들은 이 메커니즘을 이용하여 공격자의 C&C 서버가 가진 모든 비트코인 주소를 가상의 피해자들에게 할당하도록 속여, 피해자의 파일이 암호화되는 것을 막는 스크립트를 만들었습니다.


이 랜섬웨어의 제작자들은 피해자 한 명 당 하나의 비트코인 주소를 할당하고 있었기 때문에, 공격자가 이미 생성한 비트코인 지갑을 모두 소진시킬 때까지 감염 패킷을 복제했습니다.


15개의 서로 다른 캠페인을 통해 새로운 피해자들에게 배포될 예정이었던 비트코인 지갑 총 1,091개를 수집할 수 있었습니다.


랜섬웨어가 고유 비트코인 지갑을 얻으면, AES-256 비밀 키를 만들기 위해 32문자로 이루어진 랜덤 문자열을 생성합니다. 


그 후 이를 사용하여 CFB(Cipher Feedback Mode)에서 AES 알고리즘을 통해 NAS 장비에 저장된 모든 파일을 암호화 후 원본 파일을 삭제합니다.



<이미지 출처: https://www.intezer.com/blog-seizing-15-active-ransomware-campaigns-targeting-linux-file-storage-servers/>



Anomali는 이 암호화 모듈이 비밀 키를 생성하기 위해 수학 패키지를 사용하고 있으며, 완전히 난수화 되지 않았기 때문에 복호화 툴 제작이 가능할 것이라고 밝혔습니다.


이 랜섬웨어는 파일 저장 및 백업에 사용되는 QNAP NAS 장비를 타깃으로 하는데, 이러한 장비에 안티 바이러스 제품을 사용하는 경우는 흔하지 않습니다. 


또한 연구원들은 이 랜섬웨어가 NAS 장비에 저장된 파일을 암호화하려 시도 하기 전에 apache2, httpd, nginx, MySQL, mysql, PostgreSQL을 포함한 특정 프로세스 목록을 kill하려 시도 한다고 밝혔습니다. 


전문가들은 사용자들이 인터넷을 통해 직접적으로 NAS 장비에 접근하지 말고 자동 업데이트를 활성화해, 항상 펌웨어를 최신 버전으로 유지할 것을 권장합니다.


또한 항상 강력한 암호를 사용하여 NAS 장비를 안전히 보호하고, 랜섬머니를 지불하지 않고도 중요한 데이터를 복구할 수 있도록 정기적으로 저장된 정보를 백업할 것을 추천했습니다.


현재 알약에서는 해당 랜섬웨에 대해 'Trojan.Ransom.Linux.Gen'으로 탐지중에 있습니다.





출처:

https://thehackernews.com/2019/07/ransomware-nas-devices.html

https://www.intezer.com/blog-seizing-15-active-ransomware-campaigns-targeting-linux-file-storage-servers/

https://www.anomali.com/blog/the-ech0raix-ransomware

티스토리 방명록 작성
name password homepage