파이어아이 ‘워너크라이’ 랜섬웨어 위협 분석 결과

파이어아이가 전세계적으로 큰 피해를 입힌 ‘워너크라이(WannaCry)’ 랜섬웨어 분석 내용과 위험관리 방안을 16일 발표했다. 그 내용을 가감 없이 소개한다.

‘워너크라이(일명 WCry, WanaCryptor)’는 자체적으로 확산되는 웜과 같은 랜섬웨어로 마이크로소프트 서버 메시지 블록(SMB) 프로토콜 취약점을 악용해 공공 인터넷과 내부 네트워크를 통해 확산된다. 이 악성코드는 데이터 파일들의 확장자를 .WCRY로 암호화하고 이 파일들의 복호화를 대가로 300달러에서 600달러 상당의 비트코인을 요구한다. 이 악성코드는 명령·제어(C2) 통신에 암호화된 토르(Tor)을 사용한다.

‘워너크라이’ 공격과 관련된 악성 바이너리는 서로 다른 두 개의 요소로 구성된다. 하나는 랜섬웨어 기능을 제공한다. 5월 12일 이전에 보고된 바 있는 ‘워너크라이’ 샘플과 매우 유사하게 행동한다. 다른 하나는 확산에 사용되며 스캐닝과 SMB 취약점 악용 기능들을 활성화하는 역할을 한다.

이 랜섬웨어의 급속한 확산 및 분포 속도를 고려할 때, 파이어아이 아이사이트(iSIGHT) 인텔리전스는 이 공격이 취약한 윈도 컴퓨터를 사용하는 모든 조직들에 잠재적으로 상당한 위협이 될 것으로 보고 있다.

감염 경로

워너크라이는 환경에 침투한 후, 윈도 SMB 취약점을 악용해 확산된다. 이러한 확산 메커니즘은 감염된 네트워크에서 내부적으로는 물론 공공 인터넷을 통해 멀웨어를 유포할 수 있다.

사용된 익스플로잇(exploit)은 ‘이터널블루(EternalBlue)’라는 코드명으로 ‘섀도브로커(ShadowBrokers)’가 유출했다. 악용된 취약점에 대해 마이크로소프트는 지난 3월 보안패치 MS17-010을 발표했었다.

분석 결과 ‘워너크라이’는 두 가지 스레드로 증식한다. 첫 번째 스레드는 네트워크 어댑터들을 나열해 시스템이 어떤 서브넷에 위치해 있는지를 판단한다. 그 후 멀웨어는 그 서브넷의 각 IP에 대해 스레드를 생성한다. 이 스레드는 TCP 포트 445의 IP에 연결을 시도하며, 성공하면 시스템 악용을 시도한다.

아래 이미지는 원격 시스템에 대한 악용 시도 예시를 보여준다.

이러한 취약점 악용에 대응해 마이크로소프트는 ‘워너크라이’ 대응 위험 관리 단계를 제공했다. ‘워너크라이’ 랜섬웨어가 주로 SMB 취약점을 악용해 확산되고는 있지만, 주 공격자들이 다른 유포 방식을 사용할 가능성도 배제할 수는 없다.

‘워너크라이’가 스팸 메시지에 포함된 악성 링크를 통해 확산되었다고 초기 보도됐으나 파이어아이의 자체 조사 결과 그 정보는 아직까지 입증되지 않았다.

원래의 감염 경로가 어떠하던 간에 ‘워너크라이’ 공격자들은 악성 문서, 온라인 광고를 통한 악성코드(malvertising) 유포 또는 트래픽이 높은 사이트의 침해 등 랜섬웨어 공격에 보편적으로 사용되는 모든 메커니즘을 사용할 수가 있다.

이제껏 이번 공격이 보여준 큰 영향력과 조기 유포 경로의 불확실성을 고려할 때, 조직들은 모든 보편적인 악성코드 유포 경로를 잠재적인 ‘워너크라이’ 감염 소스로 간주해야 한다.

악성코드 특징

지금까지 식별된 각 ‘워너크라이’ 변종(웜과 유사한 기능 실행)에는 여러 보안 연구자들이 악성코드 파일 암호화 방지에 사용했던 킬스위치(killswitch)가 포함돼 있다. 그러나 새로운 도메인을 가진 다양한 변종이 등장한 것을 감안할 때 공격자들은 이 기능을 제거 또는 수정할 수 있는 것으로 보인다.

5월 12일 확산이 시작된 ‘워너크라이’ 패키지는 피해자의 기계를 감염시킨 후, www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com에 접속하려고 시도한다.

파이어아이 테스트에 따르면, 성공적으로 이 도메인에 도달한 악성코드는 암호화나 자체 확산을 수행하지 않는다. 일부 조직들은 악성코드가 이 경우 지속적으로 자체 확산된다고 보고했지만, 파이어아이는 테스트 환경에서 이러한 행동을 확인할 수 없었다고 설명했다.

5월 12일 한 보안 전문가가 이 도메인을 등록, 이로 인해 대량 감염을 유발할 수 있는 암호화 행동이 중단된 것은 분명하다. ‘워너크라이’ 개발자들은 이 킬스위치 기능을 샌드박스 분석 대책의 하나로 사용하고자 의도했을 수 있다.

·5월 14일, 새로운 킬스위치 도메인 www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com을 가진 변종이 모습을 드러냈다.

이 도메인 또한 싱크홀(sinkhole)로 차단돼 표면상으로는 킬스위치 행동이 도메인에 접근한 모든 ‘워너크라이’ 감염을 비활성화하도록 했다. 이러한 도메인 접속 변경이 원래의 악성코드 유포자들에 의해 구현된 것인지 아니면 제3자가 유포된 샘플을 수정한 것인지는 분명치 않다.

또한 5월 14일, 도메인 접속 킬스위치 기능이 포함되지 않은 새로운 변종이 파악됐다. 그러나 이러한 변경은 악성코드가 컴파일 된 후 공격자가 아니라 제3자에 의해 구현됐을 수도 있다. 이 변종의 랜섬웨어 요소는 손상된 것으로 보이며 테스트 환경에서 기능을 수행하지 않는다.

영향

위협 활동이 줄어들고 있다는 반가운 보도가 나오고 있지만, ‘워너크라이’는 여전히 상당한 위협으로 남아 있다. 이 악성코드의 재확산 메커니즘이 얼마나 효과적인지를 고려한다면, 마이크로소프트가 권장한 완화 메커니즘을 적용하지 않은 대부분의 조직들이 잠재적으로 ‘워너크라이’ 확산 시도에 노출돼 있다고 볼 수 있다. 뿐만 아니라 새로운 변종의 출현은 공격자들이 원하면 ‘워너크라이’의 킬스위치 기능을 제거하거나 대폭 수정해 이제까지 취해진 대응책을 회피할 수도 있음을 보여준다.

위험 관리

이 랜섬웨어 위협에 대한 방어 대책을 모색하고 있는 조직들은 관련된 SMB 악용 문제 해결에 대한 마이크로소프트 블로그를 참조하는 것이 좋다.

이 랜섬웨어의 급속한 확산으로, 파이어아이는 탐지 기술, 위협 인텔리전스 분석, 제안 및 컨설팅 서비스 등 전체 포트폴리오를 신속하게 업데이트했다.

파이어아이의 네트워크, 이메일, 엔드포인트 제품은 랜섬웨어 사전 탐지 기능을 보유하고 있으며, 인라인 구현시 또는 익스플로잇 가드(Exploit Guard)가 활성화된 경우 웹과 이메일 감염 경로를 통해 유포되는 새로운 랜섬웨어(‘워너크라이’ 포함)를 차단할 수 있다. ‘워너크라이’ 공격자들은 언제라도 이러한 보편적인 유포 메커니즘들을 활용할 수 있다.

이러한 공격이 발생하면, 파이어아이 제품 고객들은 다음과 같은 경보를 받는다.

– HX: WMIC SHADOWCOPY DELETE, WANNACRY RANSOMWARE. Exploit Guard 및 안티바이러스 경보 이름은 배포 메커니즘과 변종에 따라 달라진다.
– NX/EX: Malware.Binary.exe, Trojan.Ransomware.MVX, 또는 Malicious.URL

파이어아이 제품들은 또한 명령·제어(C2, C&C) 통신 및 기존 ‘워너크라이’ 감염에 대한 호스트 표시기 등 ‘워너크라이’의 후반기 활동을 탐지한다. 이밖에도 파이어아이 PX(네트워크 포렌식) 센서가 내부적으로 구현되고 서비스로서의 파이어아이(FaaS)로 모니터링돼 SMB 확산 트래픽을 탐지할 수 있다.

고객들은 확인된 표시기들을 활용하여 잠재적 감염 여부를 파악할 수 있다. 이러한 표시기는 파이어아이 HX(엔드포인트) 고객들에게 구현됐으며, 아이사이트 구독 고객들은 마이사이트(MySIGHT) 인텔리전스 포털에서 확인할 수 있다.

네트워크 프록시와 기타 엔터프라이즈 네트워크 보안 기능은 멀웨어가 킬스위치 도메인에 접속하여 의도치 않게 암호화를 유발하는 것을 방지할 수 있다. 조직들은 이러한 문제가 발생하지 않도록 프록시 설정이나 기타 네트워크 설정을 조정할 필요가 있을 것이다.

전수홍 파이어아이코리아 지사장은 “이번 랜섬웨어 사태는 시스템을 최신상태로 업데이트하는 것이 얼마나 중요한 지 잘 보여주는 사례다. 랜섬웨어 공격 방어를 위해서는 마이크로소프트 보안 업데이트를 최신 버전으로 설치하는 것을 권장한다. 만약 업데이트가 불가능할 경우, 시스템을 인터넷 연결로부터 차단하는 조치를 취한 후, 다른 보안 콘트롤을 실행하는 것이 중요하다”고 말했다.

한편, 이번 ‘워너크라이’ 랜섬웨어 공격의 배후에 북한이 있다는 주장에 대해 파이어아이 분석팀 매니저 존 밀러(John Miler)는 “북한과의 연관성에 대해 조사를 진행했으나 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않다. 때문에 현시점에서는 북한의 소행으로 단정짓기는 어렵다. 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정이다”라고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network