포스팅 내용

국내외 보안동향

에어갭 네트워크에서 민감 문서를 훔치는 새로운 Ramsay 악성코드 발견

New Ramsay malware can steal sensitive documents from air-gapped networks



<이미지 출처: https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/>



ESET의 연구원들이 이전에는 찾아볼 수 없었던 매우 드문 고급 기능을 갖추고 있는 악성 프레임워크를 발견했다고 발표했습니다.


Ramsay라 명명된 이 악성 툴킷은 에어갭 컴퓨터를 감염시켜 워드 문서와 기타 민감 문서를 숨겨진 스토리지 컨테이너에 저장해 두었다가 유출이 가능한 기회를 기다리도록 설계되었습니다.



이 악성코드의 발견은 꽤 중요한 일입니다. 조직에서 취할 수 있는 가장 엄격하고 효율적인 보안 정책인 ‘에어갭’을 뛰어넘는 기능이 포함된 악성코드는 거의 찾아볼 수 없기 때문입니다.



에어갭(air-gap) 네트워크란?


에어갭 시스템은 회사 네트워크를 물리적, 논리적으로 공공 인터넷으로부터 차단한 컴퓨터 또는 네트워크를 말합니다.


에어갭 컴퓨터/네트워크는 정부 기관 및 대기업의 네트워크에서 주로 사용하며, 주로 일급 기밀문서 또는 지적 재산 등을 저장하는데 사용합니다.


에어갭 네트워크에 접근해 해킹하는 것은 거의 불가능한 것으로 간주됩니다. 이러한 시스템은 침입이 불가능하도록 설계되었기 때문입니다.



새로운 RAMSAY 악성코드, 에어갭 점프 가능해


ESET은 보고서를 통해 에어갭을 뛰어넘어 격리된 네트워크에 침투하기 위해 특수 제작된 매우 드문 악성코드 변종을 발견했다고 밝혔습니다.


연구원들이 발견한 Ramsay 샘플은 아래 순서로 공격을 진행합니다.



- 피해자가 RTF 파일이 포함된 이메일을 수신합니다.

- 피해자가 이 문서를 다운로드 및 실행하면, Ramsay 악성코드를 감염 시키기 위해 CVE-2017-1188 또는 CVE-2017-0199 취약점을 악용하려 시도합니다.

- Ramsay “콜렉터” 모듈이 활동을 시작합니다. 이 모듈은 피해자의 컴퓨터 전체에서 검색하여 Word, PDF, ZIP 파일을 숨겨진 저장 폴더에 수집합니다.

Ramsay “스프레더” 모듈도 활동을 시작합니다. 이 모듈은 제거 가능한 드라이브 및 네트워크 공유에서 발견된 모든 PE 파일(이동식 실행파일)에 Ramsay 악성코드의 복사본을 추가합니다.

- 악성코드는 공격자가 수집된 데이터를 유출시키는 또 다른 모듈을 배포할 때까지 기다립니다.



ESET에 따르면, Ramsay의 데이터 유출 모듈은 아직까지 발견하지 못했습니다. 하지만 이 악성코드가 실제 공격에 사용되었다고 밝혔습니다.


Ramsay는 VirusTotal에서 처음 발견되었는데, 샘플은 일본에서 업로드되었으며 프레임워크의 추가 컴포넌트 및 버전을 발견할 수 있었습니다.



Ramsay 버전 3개 발견돼


ESET은 2019년 9월에 컴파일된 Ramsay v1, 2020년 3월 초와 3월 말에 각각 컴파일된 v2.a와 v2.b 3가지 버전을 추적할 수 있었다고 밝혔습니다.


또한 이 프레임워크가 아직 개발 단계라는 결론을 내릴 수 있는 증거를 발견했으며, 해커는 여전히 코드를 개발 중일 것이라 밝혔습니다.


예를 들어, 버전 간 이메일 전달 방식이 다르며 최신 버전에서는 Word 문서뿐 아니라 PDF와 ZIP 파일도 수집합니다.


연구원들은 Ramsay의 배후에 있는 인물을 특정하지는 않았지만, DarkHotel에서 예전에 개발한 악성코드 변종인 Retro와 아티팩트 상당 부분이 일치한다고 밝혔습니다.



아티팩트(artifact)란?

운영체제나 애플리케이션을 만들면서 생성된 흔적 또는 산출물로, 디지털 포렌식에서는 시스템의 동작이나 알고리즘에 의하여 생성되는 증거를 의미한다.



현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Agent.Ramsay, Misc.HackTool.UACMe, Misc.HackTool.Injector, Misc.Riskware.HideProc'으로 탐지 중입니다.





출처:

https://www.zdnet.com/article/new-ramsay-malware-can-steal-sensitive-documents-from-air-gapped-networks/

https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

티스토리 방명록 작성
name password homepage