주니퍼 블로그
다음에 대한 결과 표시 
다음에 대한 검색 
다음을 의미합니까? 

긴급 대응: 신종 랜섬웨어 – 페트야(Petya)

작성자 Juniper Employee ‎06-28-2017 01:11 PM - 편집 ‎06-28-2017 01:13 PM

본 긴급 대응 문건은 Asher Langton과 Craig Dods의 도움을 받아 작성되었다.  

 

페트야(Petya) 멀웨어의 새로운 변종이 등장했다. 이 멀웨어는 여러가지 기존 기법들을 결합하여 취약한 클라이언트로 확산된다. 주니퍼는 이번에 발견된 최신 페트야(Petya) 샘플에 대한 분석 작업을 진행 중이다. 주니퍼 SkyATP와 IDP로 이 변종 멀웨어의 탐지와 감염 방지가 가능하다. 주니퍼는 블로그를 통해 이에 대한 추가 정보를 계속해서 업데이트할 예정이다.

 

페트야(Petya) 멀웨어는 새로운 것이 아니며, 주니퍼 연구원 중 한 사람이 예전에 이 멀웨어에 대한 글을 블로그에 게시한 바 있다. 이 랜섬웨어는 자체 개발보다는 ‘랜섬웨어 서비스’ 형태로 사이버범죄자들에게 판매되는 방식으로 공급되고 있다.

 

페트야(Petya) 랜섬웨어는 감염된 사용자에게 데이터 복구 비용으로 미화 300 달러 상당의 비트코인을 요구한다. 하지만 여태까지 랜섬머니를 지불하고도 데이터 복구가 이루어진 케이스가 전혀 없었다.

 

페트야 멀웨어 전파 경로

이 최신 변종은 주로 세가지 방식으로 확산된다.

 

 

  • 멀웨어가 실행된 다음에는, 감염된 컴퓨터가 MS HTA 파일인 200.16.242/myguy.xls 연결을 시도. 그 결과 french-cooking[.]com에 연결되어 또 다른 실행 파일(myguy.exe, saved)을 로컬 시스템에<random>.exe이라는 이름으로 다운로드. <random>은 0 ~ 65535 사이의 무작위 수.

 

  • 감염된 다음에는, 랜섬웨어가 MS017-010 (Windows SMB Remote Code Execution Vulnerability)을 이용한 두 번째 벡터 사용을 시도. 네트워크 기반 벡터로 내부 네트워크에 확산되는 'ETERNALBLUE' 익스플로잇이며, 이는 최근 'WannaCry' 멀웨어가 사용한 취약점과 동일. 
  • 페트야 멀웨어는 Windows WMI (Microsoft Windows Management Interface)를 활용하여 관리자 권한으로 내부 네트워크를 통해 확산되는 것으로 보인다. 이를 위한 권한 상승 및/또는 계정 탈취(credential theft) 방식에 대해서는 아직 조사가 진행 중이다.

 

더 자세한 정보가 확인되는 대로 본 게시글을 업데이트하겠다.

 

감염에 따른 영향

초기에는 이 랜섬웨어가 회계 소프트웨어를 통한 우크라이나 공격에 중점을 두고 있는 것으로 보였다. 하지만 최근에 보고된 바에 의하면 스페인, 프랑스, 러시아, 인도 등지에서도 시스템을 감염시키고 있는 것으로 확인되었다. 실제로 전세계 공공기관과 기업으로 피해가 확산되고 있는 것으로 보인다.

 

감염된 시스템의 파일을 개별적으로 암호화하는 기존 랜섬웨어와 달리, 페트야는 하드 드라이브의 MFT(master file table) MBR(master boot record) 영역을 암호화시켜 시스템 부팅 자체를 불가능하게 만든다.

 

사용자가 감염된 시스템을 재부팅하려고 하면, 랜섬웨어가 가짜 CHKDSK 에러 메시지를 표시하면서 시스템을 암호화한다.

 

image.png

 

가짜 CHKDSK 프로세스가 표시되는 동안, 실제로는 시스템 암호화가 진행된다.  

 

페트야 랜섬웨어는 시스템의 MBR을 커스텀 악성 코드로 교체하여 랜섬 메시지를 표시하고 디바이스를 구동 불가 상태로 만든다. 

 

image.png

 

페트야(Petya)는 개별 파일이 아닌 시스템 전체를 암호화한다.

 

감염된 시스템이 재부팅된 다음에는 더 이상 멀웨어 전파를 시도하지 않는다(감염된 컴퓨터는 부팅이 중단되므로). 이 때문에 페트야는 워너크라이(WannaCry) 랜섬웨어에 비해 느리게 전파된다.

 

주니퍼가 페트야를 방어하는 방법

주니퍼 SRX 및 IDP 고객은 다수의 CVE와 관련 시그니처를 통해 MS17-010 취약점을 보호할 수 있다. 하기의 IDP 시그니처가 모두 인에이블되어 있는지 확인하도록 한다.

 

SMB:CVE-2017-0145-RCE

SMB: Microsoft Windows CVE-2017-0145 Remote Code Execution

SMB:CVE-2017-0146-OOB

SMB: Microsoft Windows SMB Server CVE-2017-0146 Out Of Bounds Write

SMB:CVE-2017-0147-ID

SMB: Microsoft Windows SMB Server CVE-2017-0147 Information Disclosure

SMB:CVE-2017-0148-RCE

SMB: Microsoft Windows CVE-2017-0148 Remote Code Execution

 

SMB:ERROR:MAL-MSG

SMB: Malformed Message

 

또한 MS Office 익스플로잇은 시그니처 팩 2860에서 제공되는 IDP Signature HTTP : STC : DL : CVE-2017-0199-RCE 으로 커버된다.

 

페트야는 여태까지 스팸 메일을 통해 확산되어 왔으므로, 주니퍼 네트웍스 SkyATP 이메일 인스펙션 기술이 다음과 같이 이 멀웨어를 식별할 것이다.

 

image.png

 

주니퍼 SkyATP 이메일 탐지

 

원문 : Rapid Response: New Petya Ransomware Discovered