주니퍼 블로그
Juniper Employee
Juniper Employee
‎06-02-2017 05:05 PM
‎06-02-2017 05:05 PM

워너크라이(WannaCry)’ 랜섬웨어 확산

 

 

[5월 13일 업데이트]

Microsoft가 Windows XP, Windows 8, 그리고 MS17-010 업데이트를 받지 못하는 일부 서버 플랫폼을 위한 패치와 함께 긴급 공지를 발표했다. 여기를 클릭하여 발표 전문을 확인할 수 있다.

  

또한 초기 버전의 '킬 스위치(kill switch)' 메커니즘을 제거한 워너크라이 변종이 등장했다. 보안 전문가들은 이 메커니즘이 임의의 GET 리퀘스트에 자동 응답하는 특정 유형의 동적 분석 엔진을 우회하고, 분석 환경 내에서의 폭발(detonation)과 탐지를 회피하는 방법이었을 것으로 의심하고 있다.  

 

[5월 15일 업데이트]  

워너크라이는 다수의 변종으로 진화를 거듭하여 현재 인터넷 전반으로 확산되고 있다. 그 중 대다수는 여전히 초기의 샌드박스 우회 기술을 탑재하고 있으나, 새로운 미등록 도메인들로 연결된다. 보안 전문가들은 현재 파악된 도메인을 분석하고 등록하는 작업을 진행 중이다. 하지만 해당 메커니즘이 없고 킬스위치 작동에 영향을 받지 않는 변종들이 발생했다.      

 

@hackerfantastic의 조사에 따르면, 사용자가 암호화된 파일을 푸는 대가로 돈을 지불하더라도 암호 해독 키를 받을 확률은 낮다. 워너크라이 제작자가 이 랜섬웨어를 통해 벌어들인 금액은 미화 51,000 달러 이상이다. (본 게시물 작성 시점 기준)

 

-----------------------------------------------------------------------------------------------

Wanna, WannaCry, Wcr 등의 이름으로 알려진 자가복제 랜섬웨어의 새로운 변형이 전세계 컴퓨터에 영향을 미치고 있다. 이 멀웨어는 기업, 공공기관, 일반 사용자를 막론하고 전방위적으로 맹위를 떨치고 있다.  

 

현재까지의 정보에 따르면, 대부분의 조직 내에서 최초 감염은 주로 네커스(Necurs) 봇넷에서 발송되는 이메일, 웹 다운로드 PDF 등 전통적인 메커니즘을 통해 이루어진다. 워너크라이의 특징은 최초 감염자인 ‘페이션트 제로(Patient Zero)’에서부터 래터럴 무브먼트(lateral movement)를 통해 SMBv1 인에이블드 네트워크 전반으로 빠르게 확산된다는 것이다.

 

워너크라이의 성공을 가능하게 만든 SMBv1 Unauthenticated Remote-Code-Execution (RCE)은 해킹그룹 섀도브로커스(ShadowBrokers)가 2017년 4월 14일 공개한 Windows 제로데이 취약점 중 하나이다. 일명 “EternalBlue”로 알려진 RCE 취약점은 Microsoft가 3월 14일 발표한 MS17-010에 의해 선제적으로 해결된 바 있다.

 

EternalBlue의 일반 샘플 중 하나를 보면, 이것이 왜 그토록 효과적인지 알 수 있다. 공격자 측에서 아무런 작업도 할 필요 없이 취약한 엔터프라이즈 환경 내에서 효과적인 랜섬웨어 배포 메커니즘이 이루어지는 것이다.

 

image.png

 

Juan Sacco가 제공한 PoC 코드(페이로드 삭제). 분석에 따르면, 이 코드는 워너크라이에 의해 직접 사용되었을 가능성이 매우 높다.

 

Microsoft는 SMBv1 이슈(MS17-010)에 대한 패치를 일찌감치 발표하였으나, 많은 사용자들이 여전히 이 수정 사항을 적용하지 않았다. 워너크라이의 성공이 바로 그 증거이다. 또한 주목해야 할 점은, 일부에서 여전히 널리 사용되고 있는 Windows XP에 대한 패치가 없다는 것이다.

 

 

 

주니퍼 보안

 

워너크라이 랜섬웨어가 전세계적으로 맹위를 떨치고 있으나, 주니퍼 보안 고객이라면 안심할 수 있다. 주니퍼 보안 고객은 다음과 같은 툴을 통해 멀웨어 확산을 방지할 수 있다.

 

가장 먼저, 주니퍼의 고급 안티멀웨어 솔루션인 Sky ATP를 구축한 고객은 여러 단계로 이루어진 보호를 받는다.

 

  • Sky ATP Security-Intelligence 피드를 통해 네커스(Necurs) 봇넷과의 초기 통신이 방지된다. 인바운드 통신은 SRX 방화벽에서 차단된다. 
  • 네트워크 기반 딜리버리 메커니즘이 고객에게 새롭거나 독특한 경우, Sky ATP의 안티멀웨어 기능이 시그니처 기반 탐지, 머신러닝 기반 정적 분석, 디셉션 기술 기반 동적 분석(샌드박싱)으로 이루어진 강력한 Inspection Pipeline을 사용하여 워너크라이를 식별할 것이다. 5월12일 현재 24개의 샘플에 대한 조사가 이루어졌으며, 모두 30초 내에 포획되었다.  
  • Sky ATP가 다운로드 시점에서 파일을 차단하지 않았다면, Sky ATP는 이 새로운 파일을 악성 파일로 식별하고 이 정보를 고객 사내 SRX 디바이스로 배포하도록 설계되었다. 그리고 네트워크 레벨에서 해당 멀웨어를 격리한다.

image.png

주니퍼 Sky ATP에서 식별된 워너크라이(WannaCry) 랜섬웨어

 

image.png

주니퍼 Sky ATP의 워너크라이(WannaCry) 활동 분석 보고서

 

Juniper Secure Analytics (JSA) 솔루션을 구축한 고객은 다양한 종류의 랜섬웨어를 방어할 수 있다. 워너크라이의 경우, SIEM이 이상 탐지(특히 P2P SMB 및 파일 생성 작업)를 통해 다수의 이벤트 및 위반 사항을 생성하게 된다.

 

예를 들어, JSA는 Windows 7 디바이스 상에서 랜섬웨어 공격을 나타내는 비정상적인 파일 쓰기 작업을 탐지할 수 있다.

 

image.png

JSA의 일반적인 랜섬웨어 탐지

 

image.png

JSA의 이상 탐지 정보

 

위 이미지에서 보면, 일반적인 랜섬웨어 작업으로 인해 위반 사항(offence)이 생성된 것을 볼 수 있다. 엔드포인트가 대량의 파일 쓰기를 시작할 때(이 경우에는 전체 파일시스템 암호화), 이를 탐지하는 것은 대부분의 SIEM이 제공하는 평범한 기능이다. 주니퍼만의 특별한 강점은 개방형 API를 통해 SDSN(Software-Defined Secure Networks) 솔루션 전반으로 임의의 위협 정보를 배포하고, 단 몇 초만에 감염된 호스트를 네트워크에서 격리하는 기능이다.  

  

주니퍼 SRX 및 IDP 고객은 다수의 CVE와 해당 시그니처를 통해 MS17-010 취약점 보호가 가능하다. 다음의 IDP 시그니처가 조직 환경 내에 인에이블되어 있는지 확인하도록 한다.

 

 

 

SMB:CVE-2017-0145-RCE

SMB: Microsoft Windows CVE-2017-0145 Remote Code Execution

SMB:CVE-2017-0146-OOB

SMB: Microsoft Windows SMB Server CVE-2017-0146 Out Of Bounds Write

SMB:CVE-2017-0147-ID

SMB: Microsoft Windows SMB Server CVE-2017-0147 Information Disclosure

SMB:CVE-2017-0148-RCE

SMB: Microsoft Windows CVE-2017-0148 Remote Code Execution

SMB:ERROR:MAL-MSG

SMB: Malformed Message

 

SMB:ERROR:MAL-MSG

SMB: Malformed Message

 

상세 분석

워커크라이(WannaCry)에 대한 더 자세한 사항은 아래 정보를 통해 확인할 수 있다.

 

딜리버리 메커니즘은 타겟에 따라 다양한 것으로 보이지만, 대부분의 페이로드에 페어런트 파일 타입(대개 PDF) 내에 임베디드된 일종의 PE(portable executable)가 포함되어 있다.

 

아래의 샘플 PE를 보면, 임베디드 압축 파일을 여는 'WNcry@2ol7'이라는 하드코딩된 패스워드가 눈에 띈다.

 

image.png

하드코딩된 패스워드: WNcry@2ol7.

 

zip 파일의 압축을 해제하면, 다음과 같이 다양한 언어의 랜섬 메시지 텍스트 버전이 나타난다.

 

 

 

image.png

다양한 언어의 랜섬 메시지가 표시되는 .zip 파일

 

 임베디드된 tasksche.exe의 기능은 타겟에 연결된 모든 논리 드라이브를 조사하는 것이다.

 

image.png

tasksche.exe 역어셈블.

 

악성 파일이 실행되면, 멀웨어가 EternalBlue를 사용하여 SMBv1 (TCP 445)을 통해 래터럴 확산되고, 멀웨어가 로컬 드라이브 암호화를 시작하면서 사용자에게 다음과 같은 메시지가 나타난다. 

 

image.png

 

image.png

 

image.png

그리고 마침내, 랜섬머니를 요구하는 결제창이 나타난다.

 

워너크라이(WannaCry) 랜섬웨어 등장 이후, 보안 전문가들은 이 랜섬웨어의 전파 경로를 파악하고 확산을 저지하는 방법을 찾는데 주력하였다. 본 게시물 작성 시점 현재, @MalwareTechBlog라는 트위터 계정을 사용하는 보안 전문가에 의해 “우연히” 발견된 킬스위치로 확산이 일시적으로 중단된 상태이다.

 

아래의 어셈블리는 [uqerfsodp9ifjaposdfjhgosurijfaewrwergwea'.'com]에 대한 GET 리퀘스트 (HTTP)를 생성한다. 이 리퀘스트가 실패하면, 다음과 같이 랜섬웨어가 계속해서 확산된다.

 

image.png

@darienhuss 제공.

 

image.png

https://twitter.com/MalwareTechBlog/status/863187104716685312

  

 

 

By Craig Dods (cdods)

자료 협조: Asher Langton, Peter Gael, Laurence Pitt, Lee Fisher

원문 : Rapid Response: The WannaCry Ransomware Outbreak