Offcanvas

How To / 랜섬웨어 / 보안

배드 래빗 랜섬웨어 확산 중··· 정체는? 대처법은?

2017.10.26 Tamlin Magee  |  Computerworld UK
'배드 래빗'(Bad Rabbit)이라는 이름의 신종 랜섬웨어가 우크라이나 및 러시아 지역에서 확산되고 있다. 알아둘 만한 정보들을 정리했다.

어떤 활동을 하는가?
이 랜섬웨어는 우크라이나 공항과 키예프의 지하철 시스템, 통신사 인터팩스(Interfax) 등과 같은 러시아 웹 사이트를 감염시킨 것으로 전해졌다. 미국 당국도 배드 레빗에 대한 보고가 전세계에서 접수되고 있다고 밝혔다.

시스템 콘텐츠에 접근할 수 없게 하고 잠금 해제를 조건을 돈을 요구하는 랜섬웨어는 그리 새로운 존재가 아니다. 배드 레빗 역시 컴퓨터를 암호화한 다음 이제 풀어주는 조건으로 0.05 비트코인(약 30만원 상당)을 요구하고 있다.

동작법은?
카스퍼스키랩에 따르면 합법적인 웹 사이트를 방문할 때 맬웨어 드로퍼가 공격자의 인프라로부터 다운로드되는 것으로 나타났다. hxxp : // 1dnscontrol [.] com / flash_install.php의 드라이브 바이 공격을 통해서다. 감염을 위해서는 피해자가 어도비 플래시의 설치 관리자로 위장한 맬웨어 드로퍼를 수동으로 실행해야 한다. 별도의 취약점을 이용하는 공격이 아닌 것이다. 파일의 이름은 install_flash_player.exe이며 관리자 권한이 요구된다. 시작되면 악성 DLL을 infpub.dat로 저장하고 rundl32로 시작한다.

카스퍼스키에 따르면 이 DLL은 윈도우 컴퓨터의 NTLM(NT Lan Manager) 로그인 자격 증명을 강제시킬 수 있느 것으로 나타났다.

보안 기업 실런스의 연구진은 nfpub.dat에 다음의 다섯 개의 임베디드 실행 파일이 있다고 설명했다.

- Mimikatz의 두 가지 버전. 이들은 x86 및 x64는 컴퓨터에서 자격 증명을 찾고 다른 컴퓨터로 확산되도록 설계됐다. (기업 네트워크를 생각하면 된다.)

- 부트 섹터에 대한 물리적 액세스 및 전체 디스크 암호화를 위한 x86 및 x64의 서명 된 드라이버 2종.

- 부트 레코드를 감염시키고 몸값 메시지를 생성하는 모듈.

컴퓨터에서 infpub.dat는 C : \ Windows에 dispci.exe라는 악성 실행 파일을 설치하고 파일 암호화 시작하는 작업을 예약한다. discpi의 코드베이스는 오픈소스 DiskCryptor 유틸리티와 비슷하지만 파일을 암호화하고 수정 된 부트 로더를 설치하는 데 사용된다고 카스퍼스키는 설명했다.

해야할 작업은?
가장 먼저, 먼저 시스템에서 쉽게 사용할 수있는 무료 보호 기능을 사용할 수 있다. 적어도 윈도우 디펜더가 동작하도록 설정할 필요가 있다. 유료 바이러스 백신 제품을 이용해도 된다. 단 이 유형의 변형된 맬웨어를 탐지할 수 있는 것이어야 한다.

사이버리즌의 연구원인 아밋 서퍼와 마이크 라코바치는 배드래빗 감염을 방지하는 방법을 개발했다고 주장했다. 사이버리슨 블로그에 단계별로 소개된 이 방법은 시스템의 권한을 수정하는 일련의 조치에 대한 것이다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.