본문 바로가기 주메뉴 바로가기

사이버홍보실

최신뉴스

현대 멀웨어들의 종합판? 새 랜섬웨어 콘티 등장

admin 2020-07-10 조회수 952
 강력한 암호화 기능 때문에 복구가 대단히 어려워 보이고...네트워크 공유 자원도 암호화
수동 공격 지향함으로써 피해 최대화시켜...윈도우 기본 탑재 도구도 사용해 탐지율 낮춰


[보안뉴스 문가용 기자] 다양한 기능을 탑재한 랜섬웨어가 새롭게 등장했다. 여러 기능들 덕분에 위협은 보다 강력해지고, 공격자들의 운영은 좀 더 수월해졌다고 한다. 이 새 랜섬웨어에 대해 VM웨어 소속 보안 업체인 카본 블랙(Carbon Black)이 발표했다.

[이미지 = utoimage]


랜섬웨어의 이름은 콘티(Conti)로, “암호화를 동시에 최대 32번까지 진행함으로써” 랜섬웨어로서의 기능이 꽤나 강력하다고 한다. 또한 자동적으로 공격을 감행하는 게 아니라, 운영자들의 제어를 통해 공격을 실시하는 것으로 보인다. 이 말은 상황에 따라 로컬 파일을 그대로 놔두고 네트워크에 연결된 다른 스토리지 등을 암호화 할 수 있다는 뜻이다. 즉 공격자의 직접 운영으로 피해가 극대화 될 수 있다는 것.

또한 콘티는 윈도우 재시작 관리자(Windows Restart Manager)를 어뷰징 하기도 한다. 특정 파일을 암호화 해야 할 때 이 기능을 가지고 애플리케이션을 종료시킬 수 있다는 것이다. 앱이 실행되는 도중에는 파일 암호화가 안 되는 경우가 있어 랜섬웨어 공격이 무용지물로 돌아가는 경우가 종종 있다고 한다. 뿐만 아니라 콘티는 다양한 분석 방해 기능도 탑재하고 있다.

물론 네트워크로 공유된 자원을 공략하는 랜섬웨어가 처음 등장한 건 아니다. 다만 콘티의 경우, 공격자가 상황에 따라 로컬 시스템의 파일을 암호화할지, 네트워크로 공유된 자원을 암호화할지 결정할 수 있다는 게 독특하다. 심지어 특정 IP 주소들을 겨냥해 공격을 실시할 수도 있다고 한다.

즉, 콘티는 자동화 된 랜섬웨어 공격이 아니라(이것이 일반적인 유형이다), 수동적인 공격을 위해 개발된 랜섬웨어일 가능성이 높아 보인다. 물론 공격자의 개입 없이도 공격을 하는 게 가능하다. 이 경우 모든 파일을 구분 없이 암호화 한다. 카본 블랙은 수동 공격에 대해 “피해 조직의 사건 대응 방식에 맞는 피해를 줄 수 있어, 대단히 아프게 들어갈 수 있다는 장점을 가지고 있다”고 말한다.

또한 다짜고짜 자동으로 대량의 파일을 공격하는 게 아니기 때문에, 탐지 확률도 크게 낮아진다는 이점도 있다. 그 기간 동안 운영자는 피해 조직의 인프라를 관찰하며 최대한의 피해를 줄 수 있는 방법을 모색하는 것도 가능하다. “최대한 중요한 파일, 최대한 중요한 자원을 찾아 암호화시킨다면 피해자 입장에서 돈 지불하는 걸 진지하게 생각할 수밖에 없습니다.”

콘티의 강력함은 이것만이 아니다. vssadmin이라는 기능을 사용해 로컬 시스템의 복구 시도를 차단하기도 한다. vssadmin은 윈도우 볼륨 셰도우 복사본(Windows Volume Shadow Copy)을 지우는 데 활용된다. 이 과정을 막는 서비스들을 강제로 종료시키기도 하는데, 이를 위해 146개가 넘는 명령을 실행하기도 한다. 콘티는 exe, dll, lnk, sys라는 확장자를 가진 파일들을 암호화 하지는 않는다고 한다.

콘티는 요즘 랜섬웨어 공격자들 사이에서 유행 중인 ‘이중 협박 전략’ 기능도 가지고 있는 것으로 보인다. 왜냐하면 감염시킨 시스템으로부터 정보를 모으는 기능도 가지고 있기 때문이다. 심지어 해당 시스템이 최근 네트워크를 통해 접속한 다른 시스템에서도 정보를 빼내고 암호화 하려고 한다.

“콘티는 현대 멀웨어와 랜섬웨어가 가진 거의 모든 특징을 다 갖춘 랜섬웨어라고 볼 수 있습니다. 즉 표적형, 최대한의 피해, 최대한의 수익 지향성, 탐지 회피를 모두 욕심내고 있다는 것이죠. 게다가 합법적인 OS 도구 등을 자신의 목적에 맞게 활용하는 모습도 보이고 있습니다. 이건 ‘리빙 오프 더 랜드(living-off-the-land)’라는 전략으로, 최근 공격자들 사이에서 많이 탐구되는 방식입니다.” 카본 블랙의 결론이다.

출처
 : https://www.boannews.com/media/view.asp?idx=89697&page=1&kind=1