상세 컨텐츠

본문 제목

해킹된 RDP을 통해 배포되는 것으로 추정되는 새로운 Nemty 랜섬웨어

국내외 보안동향

by 알약(Alyac) 2019. 8. 27. 11:26

본문

New Nemty Ransomware May Spread via Compromised RDP Connections


러시아 대통령과 안티바이러스 소프트웨어를 언급하는 새로운 랜섬웨어가 발견되었습니다. 연구원들은 이를 Nemty라 명명했습니다.


해당 이름은 암호화 프로세스 후 파일에 추가되는 확장자에서 이름을 따왔으며, 발견된 샘플은 Nemty 랜섬웨어의 첫 번째 버전입니다.


요구하는 랜섬 머니


다른 파일 암호화 악성코드처럼, Nemty 랜섬웨어 또한 섀도우 복사본을 제거하여 피해자가 파일을 복구할 수 없게 만들어 버립니다.


피해자는 암호화된 데이터를 복구하기 위한 복호화 키가 공격자 손에 있으며, 랜섬머니를 지불하면 데이터를 복구할 수 있다는 메시지를 확인하게 됩니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>



랜섬웨어 테스트 결과 요구하는 랜섬머니는 0.00981BTC였으며, 이는 현재 기준 약 $1,000 상당의 가치입니다.


지불 포털은 익명성을 위해 Tor 네트워크에 호스팅 되며, 사용자는 구성 파일을 업로드해야합니다.


공격자는 채팅 기능을 제공하고 더 많은 정보를 포함하고 있는 또 다른 웹사이트 링크도 제공합니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>



코드 내 포함된 메시지


보안 연구원인 Vitali Kremez는 이 악성코드를 면밀히 분석했으며, 특이한 이름을 사용하는 뮤텍스 오브젝트를 발견했습니다. 


아래 그림에서 볼 수 있듯, 연구원은 해당 뮤텍스 오브젝트를 "hate"라 명명했습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>



Mutex 오브젝트는 프로그램이 한번 실행할 때, 스레드(thread) 하나에만 액세스하도록 만들어 리소스를 제어하는 플래그입니다.


Kremez는 Nemty 코드에서 또 다른 특이점을 발견했습니다. 


여기에는 "I added you to the list of [insult], but only with pencil for now.(당신도 악성코드 감염자 목록에 추가되었다. 지금은 일단 기록만 해두었다.)"라는 주석이 발견되었습니다.


또한 블라디미르 푸틴의 사진으로 연결되는 링크 및 바이러스 백신 업계에 대한 메시지도 발견되었습니다.


처음에는, 코드 내 참조가 그저 이상하게만 보였지만 다시 조사한 결과 base64 문자열을 복호화하고 URL을 생성하기 위한 키였으며 백신 업계를 향한 직접적인 메시지였던 것으로 밝혀졌습니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>



또 다른 흥미로운 점은, Nemty가 러시아, 벨라루스, 카자흐스탄, 타지키스탄 및 우크라이나의 컴퓨터를 식별하기 위한 확인 작업을 수행한다는 것입니다. 


하지만 연구원은 이 국가들을 암호화 루틴에서 해당 국가를 제외하기 위한 작업은 아니라고 밝혔습니다.


악성코드 내 "isRU" 확인 코드는 위 5개 국가의 시스템을 단순히 표시만 하며, 공격자에게 컴퓨터 이름, 사용자 이름, OS, 컴퓨터 ID를 포함하는 데이터를 전송합니다.



<이미지 출처: https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/>



Nemty가 어떻게 배포되었는지는 확실하지 않지만, Kremez는 이 악성코드가 해킹된 원격 데스크톱을 통해 배포된다고 밝혔습니다.


일반적으로 사용되는 피싱 메일과 비교했을 때, RDP 연결을 활용하면 공격자는 피해자가 피싱 메일에 속는 것을 기다리지 않아도 된다는 이점이 있습니다.


Kremez는 Nemty에 대한 더 많은 정보를 포함한 연구 노트를 공개했습니다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Nemty'으로 탐지 중에 있습니다.





출처:

https://www.bleepingcomputer.com/news/security/new-nemty-ransomware-may-spread-via-compromised-rdp-connections/

https://raw.githubusercontent.com/k-vitali/Malware-Misc-RE/master/2019-08-24-nemty-ransomware-notes.vk.raw

관련글 더보기

댓글 영역