2019.04.05

랜섬웨어의 또 다른 용도, "해커들의 공격 흔적 덮기"

Dan Swinhoe | CSO
대부분의 랜섬웨어(ransomware)는 단순히 돈을 벌기 위해 사용된다. 그러나 공격자는 더 심각한 사고에 대한 증거를 없애기 위한 출구 전략의 일부로 사용할 수도 있다. 
 
ⓒ Getty Images Bank 

다크트레이스(Darktrace)에 따르면, 랜섬웨어 감염 건수는 2017년에서 2018년 사이 28% 줄었다. 이처럼 랜섬웨어 공격은 감소 추세지만 그 위협은 여전하다. 또한 운영 중단 이외의 다른 이유로도 위협이 되고 있는데, 치밀한 공격자들은 더 심각한 공격의 흔적을 가리기 위한 용도로 랜섬웨어를 사용한다.

랜섬웨어 공격을 받는 기업 입장에서는 비즈니스 중단 복구 비용 외에 걱정해야 할 부분이 더 늘었다. 공격이 단순히 돈을 갈취하는 데 있는지, 아니면 더 큰 피해를 입힐 다른 공격을 은폐하기 위한 것인지까지 확인해야 하기 때문이다. 그 답을 찾으려면 공격이 벌어진 이후 철저한 조사가 필요하다.


랜섬웨어가 흔적을 가리기 위한 용도로 사용되는 경우

보안 업계에 따르면, 더 심각한 사고의 단서를 지우기 위한 출구 전략으로 랜섬웨어가 사용되고 있다. 공격자들이 은밀히 진행되는 자신의 공격에 대한 주의를 흩뜨리기 위한 용도로 DDoS 공격을 사용하는 것과 마찬가지다. 일반적인 랜섬웨어와 같은 방식으로 진행되지만(보통 피싱 이메일로 악성 파일이 포함된 링크 또는 첨부 파일을 배포하는 방식) 목적은 포렌식 흔적을 삭제해 랜섬웨어 감염으로부터 복구한 후 추가 조사가 이뤄지지 않도록 하는 데 있다.

사이버리즌(Cybereason) CISO 이스라엘 버락은 "랜섬웨어의 일반적인 사용 사례는 사람들의 컴퓨터에 무차별적으로 랜섬웨어 공격을 감행한 다음, 이 가운데 성공한 공격에서 데이터 또는 서비스를 돌려주는 대가로 돈을 갈취하는 것이다. 또 다른 사용 사례는 흔적 덮기다. 이런 툴은 겉으로 보기에는 랜섬웨어다. 데이터를 암호화하고 몸값을 요구하며 랜섬 노트를 띄운다. 돈을 지불하는 방법을 구체적으로 알려주기까지 한다. 그러나 진짜 목적은 방어자가 단순히 무작위 랜섬웨어 공격을 받아 데이터를 잃었다고 믿게끔 유도하면서 그 사이 엔드포인트의 흔적을 지우는 것이다"고 설명했다. 

낫페트야(NotPetya)는 이와 같은 이른바 와이퍼(wiper) 공격에서 가장 유명한 이름이다. 그러나 최근 몇 년 사이 일어난 다른 사고에서도 랜섬웨어가 증거를 숨기기 위한 용도로 사용됐다. 

지난 2017년 타이완의 파 이스턴 인터내셔널 뱅크(Far Eastern International Bank)에서 6,000만 달러를 훔치려고 시도한 범죄자들은 이를 숨기기 위해 헤르메스(Hermes) 악성코드 변종을 사용했다. 맥아피 분석에 따르면, 이 공격에 사용된 변종은 랜섬 노트도 띄우지 않았지만 BAE는 공격이 북한과 관련된 라자루스 그룹(Lazarus Group)의 소행인 것으로 판단했다. 

일본의 여러 기업은 2017년 오니(ONI) 랜섬웨어 공격을 받았는데, 이 공격의 목적은 로그 기반 탐지를 피하기 위해 윈도우 이벤트 로그를 삭제하는 방법으로 치밀하게 이뤄진 해킹 작업을 숨기는 데 있었다.

비트디펜더(Bitdefender)의 선임 전자 위협 분석가인 리비우 아르센은 "공격자가 성공적으로 데이터를 빼낸 이후에 랜섬웨어 공격을 감행하는 경우가 드물지 않게 일어난다"면서, "사실 목표를 성공적으로 달성한 후 인프라 내에 랜섬웨어를 투하해 흔적을 덮는 방식은 점차 일반화되고 있다"고 말했다.

아르센은 "금융 산업부터 핵심 인프라에 이르기까지 모든 분야에서 이런 양상이 나타나고 있다"면서, "패턴이 명확하다. 흔적을 덮기 위한 표준적인 절차로 자리잡을 가능성이 높다"고 말했다.

다른 와이퍼 랜섬웨어 유형으로 골든아이(GoldenDye, 페트랩(Petrwrap) 또는 네티야(Nyetya)라는 이름으로도 알려짐), 오디닙트(Ordinypt), 로커고가(LockerGoga) 등이 있고 킬디스크(KillDisk), 샤문(Shamoon)과 같은 오래된 종류도 있다.


랜섬웨어를 사용해 공격 증거 숨기기 

랜섬웨어를 은폐 도구로 사용하는 주된 목적은 툴과 기법, 절차 등 공격자의 침입 경로와 침입 기간, 액세스 또는 유출된 정보를 가리키는 단서를 포함해서 포렌식 조사관이 사고의 경위를 파악하는 데 사용할 수 있는 모든 흔적을 숨기는 데 있다. 

아르센은 "와이퍼 랜섬웨어는 공격자가 횡적으로 이동하면서 남긴 로그 파일부터 부가적인 바이너리에 이르기까지 모든 것을 암호화할 수 있다"면서, "피해자가 해독 툴을 사용해 데이터 암호화를 해독할 가능성에 대비해 MBR을 암호화하는 랜섬웨어도 있으며 이 경우 손실된 정보를 되찾기는 더욱 어렵다"고 말했다.

사이버리즌은 특정 위치에 랜섬웨어를 배포해 이미지를 다시 만들고 영역을 지우고 IT 부서가 공격자의 정리 작업을 무의식 중에 돕는 결과를 초래하는 수법도 있다고 밝혔다. 버락은 "세계 최고의 포렌식 조사관이 있다 해도 시스템 내용이 제대로 지워지면 조사할 포렌식 증거 자체가 사라지게 된다"고 말했다.


가짜/와이퍼 랜섬웨어와 비즈니스 우선 순위

적절한 조사 없이 랜섬웨어를 제거할 경우 중요한 단서를 놓치게 될 수 있다. 랜섬웨어 공격은 비록 감소 추세지만 여전히 만연하며, 정보를 해독할 수 없다면 조사 자체가 어려워지게 된다. 아르센은 "랜섬웨어가 일반화되면서 대부분의 기업은 공격의 근본 원인이 순수한 금전적 의도인지 아닌지 여부를 조사하기 위해 많은 시간을 들이려 하지 않는 경향이 있다"며, "대부분의 경우 기업은 다운타임을 최소화하고 비즈니스 연속성을 유지하기 위해 포렌식 작업은 접어두고 최대한 신속하게 백업에서 복구하는 편을 택한다"고 말했다.

머스크(Maersk)에 대한 공격 또는 최근의 노스크 하이드로(Norsk Hydro) 사건에서 볼 수 있듯이 랜섬웨어 감염은 공공 측면에서나 금전적으로나 막대한 피해를 초래할 수 있다. 머스크는 낫페트야 공격으로 인해 추산 3억 달러의 손실을 입었다. 많은 기업이 추가 손실을 피하기 위해 최대한 신속하게 정상 운영을 복구하는 데 초점을 두며, 결과적으로 철저한 조사는 우선 순위의 끝으로 미뤄지게 된다.

버락은 "표준적인 절차는 백업에서 복원하는 것이다. 대규모 환경에서 복수의 서버나 엔드포인트가 영향을 받는 상황이라면 서비스를 사용할 수 없는 상태로 두고 손실을 키워가며 조사를 계속하기는 확실히 어렵다. 방어자가 시간과 노력을 들여 공격의 경위와 이유를 파악하고 랜섬웨어 외의 다른 사건은 없었는지 조사하는 대신 흔한 랜섬웨어에 의해 무작위로 공격을 받았다고 믿고 서비스 가용성을 복구하는 데 초점을 두는 것이 공격자 관점에서 최상의 시나리오다"고 말했다.


가짜 랜섬웨어의 경고 신호, "랜섬 노트가 없다"

진짜 강탈 시도와 은폐를 위한 가짜를 구분하기는 대단히 어렵다. 비트디펜더의 아르센은 "랜섬 노트가 없는 랜섬웨어는 공격자의 목적이 흔적을 지우는 데 있음을 나타내는 결정적 지표지만, 그 외에는 구분할 방법이 거의 없다"고 말했다.

사이버리즌의 버락은 "지금까지 랜섬웨어를 가장한 와이퍼가 사용된 사례를 보면 대부분의 경우 돈을 받는 사람이 없다"면서, "일반적으로 알려진 랜섬웨어의 수정된 버전이 사용된다. 공격 그룹은 잘 알려진 랜섬웨어 종류를 선택해 와이퍼로 작동하도록 수정한다"고 말했다.

랜섬웨어 사고에서 돈을 지불하는 것은 어차피 권장되지 않지만 특히 이 경우 돈만 날리게 될 수 있다. 공격자가 돈을 받을 장치를 해놓지 않았거나 아예 해독 키가 없기 때문이다. 원했던 것을 이미 손에 넣었을 수도 있다.

기업은 모든 랜섬웨어 공격을 잠재적인 데이터 유출 공격으로 판단하고 적절한 조사와 포렌식 절차에 착수해야 한다. 랜섬웨어의 의도를 파악하는 최선의 방법은 사전 예방적인 조치를 통해 공격이 발생하기 전에 네트워크와 엔드포인트 활동에 대한 최대한의 시야를 확보하는 것이다.

아르센은 "랜섬웨어가 숨길 수 없는 것은 네트워크 트래픽이다. 포렌식 조사에서 네트워크 트래픽을 살피는 것이 중요한 이유도 여기에 있다. 일반적으로 트래픽은 비정상적인 엔드포인트 동작, 횡적 이동, 심지어 공격 지휘소와의 통신을 드러내기도 한다"면서, "랜섬웨어 감염이 데이터 침해를 덮기 위한 용도로 사용된 신호를 찾는 과정에는 랜섬웨어 사고를 기준으로 수일, 수주, 길게는 수개월 이전까지 네트워크 수준의 조사와 모든 네트워크 및 엔드포인트 이벤트 정보 분석도 포함되어야 한다"고 말했다. editor@itworld.co.kr 


2019.04.05

랜섬웨어의 또 다른 용도, "해커들의 공격 흔적 덮기"

Dan Swinhoe | CSO
대부분의 랜섬웨어(ransomware)는 단순히 돈을 벌기 위해 사용된다. 그러나 공격자는 더 심각한 사고에 대한 증거를 없애기 위한 출구 전략의 일부로 사용할 수도 있다. 
 
ⓒ Getty Images Bank 

다크트레이스(Darktrace)에 따르면, 랜섬웨어 감염 건수는 2017년에서 2018년 사이 28% 줄었다. 이처럼 랜섬웨어 공격은 감소 추세지만 그 위협은 여전하다. 또한 운영 중단 이외의 다른 이유로도 위협이 되고 있는데, 치밀한 공격자들은 더 심각한 공격의 흔적을 가리기 위한 용도로 랜섬웨어를 사용한다.

랜섬웨어 공격을 받는 기업 입장에서는 비즈니스 중단 복구 비용 외에 걱정해야 할 부분이 더 늘었다. 공격이 단순히 돈을 갈취하는 데 있는지, 아니면 더 큰 피해를 입힐 다른 공격을 은폐하기 위한 것인지까지 확인해야 하기 때문이다. 그 답을 찾으려면 공격이 벌어진 이후 철저한 조사가 필요하다.


랜섬웨어가 흔적을 가리기 위한 용도로 사용되는 경우

보안 업계에 따르면, 더 심각한 사고의 단서를 지우기 위한 출구 전략으로 랜섬웨어가 사용되고 있다. 공격자들이 은밀히 진행되는 자신의 공격에 대한 주의를 흩뜨리기 위한 용도로 DDoS 공격을 사용하는 것과 마찬가지다. 일반적인 랜섬웨어와 같은 방식으로 진행되지만(보통 피싱 이메일로 악성 파일이 포함된 링크 또는 첨부 파일을 배포하는 방식) 목적은 포렌식 흔적을 삭제해 랜섬웨어 감염으로부터 복구한 후 추가 조사가 이뤄지지 않도록 하는 데 있다.

사이버리즌(Cybereason) CISO 이스라엘 버락은 "랜섬웨어의 일반적인 사용 사례는 사람들의 컴퓨터에 무차별적으로 랜섬웨어 공격을 감행한 다음, 이 가운데 성공한 공격에서 데이터 또는 서비스를 돌려주는 대가로 돈을 갈취하는 것이다. 또 다른 사용 사례는 흔적 덮기다. 이런 툴은 겉으로 보기에는 랜섬웨어다. 데이터를 암호화하고 몸값을 요구하며 랜섬 노트를 띄운다. 돈을 지불하는 방법을 구체적으로 알려주기까지 한다. 그러나 진짜 목적은 방어자가 단순히 무작위 랜섬웨어 공격을 받아 데이터를 잃었다고 믿게끔 유도하면서 그 사이 엔드포인트의 흔적을 지우는 것이다"고 설명했다. 

낫페트야(NotPetya)는 이와 같은 이른바 와이퍼(wiper) 공격에서 가장 유명한 이름이다. 그러나 최근 몇 년 사이 일어난 다른 사고에서도 랜섬웨어가 증거를 숨기기 위한 용도로 사용됐다. 

지난 2017년 타이완의 파 이스턴 인터내셔널 뱅크(Far Eastern International Bank)에서 6,000만 달러를 훔치려고 시도한 범죄자들은 이를 숨기기 위해 헤르메스(Hermes) 악성코드 변종을 사용했다. 맥아피 분석에 따르면, 이 공격에 사용된 변종은 랜섬 노트도 띄우지 않았지만 BAE는 공격이 북한과 관련된 라자루스 그룹(Lazarus Group)의 소행인 것으로 판단했다. 

일본의 여러 기업은 2017년 오니(ONI) 랜섬웨어 공격을 받았는데, 이 공격의 목적은 로그 기반 탐지를 피하기 위해 윈도우 이벤트 로그를 삭제하는 방법으로 치밀하게 이뤄진 해킹 작업을 숨기는 데 있었다.

비트디펜더(Bitdefender)의 선임 전자 위협 분석가인 리비우 아르센은 "공격자가 성공적으로 데이터를 빼낸 이후에 랜섬웨어 공격을 감행하는 경우가 드물지 않게 일어난다"면서, "사실 목표를 성공적으로 달성한 후 인프라 내에 랜섬웨어를 투하해 흔적을 덮는 방식은 점차 일반화되고 있다"고 말했다.

아르센은 "금융 산업부터 핵심 인프라에 이르기까지 모든 분야에서 이런 양상이 나타나고 있다"면서, "패턴이 명확하다. 흔적을 덮기 위한 표준적인 절차로 자리잡을 가능성이 높다"고 말했다.

다른 와이퍼 랜섬웨어 유형으로 골든아이(GoldenDye, 페트랩(Petrwrap) 또는 네티야(Nyetya)라는 이름으로도 알려짐), 오디닙트(Ordinypt), 로커고가(LockerGoga) 등이 있고 킬디스크(KillDisk), 샤문(Shamoon)과 같은 오래된 종류도 있다.


랜섬웨어를 사용해 공격 증거 숨기기 

랜섬웨어를 은폐 도구로 사용하는 주된 목적은 툴과 기법, 절차 등 공격자의 침입 경로와 침입 기간, 액세스 또는 유출된 정보를 가리키는 단서를 포함해서 포렌식 조사관이 사고의 경위를 파악하는 데 사용할 수 있는 모든 흔적을 숨기는 데 있다. 

아르센은 "와이퍼 랜섬웨어는 공격자가 횡적으로 이동하면서 남긴 로그 파일부터 부가적인 바이너리에 이르기까지 모든 것을 암호화할 수 있다"면서, "피해자가 해독 툴을 사용해 데이터 암호화를 해독할 가능성에 대비해 MBR을 암호화하는 랜섬웨어도 있으며 이 경우 손실된 정보를 되찾기는 더욱 어렵다"고 말했다.

사이버리즌은 특정 위치에 랜섬웨어를 배포해 이미지를 다시 만들고 영역을 지우고 IT 부서가 공격자의 정리 작업을 무의식 중에 돕는 결과를 초래하는 수법도 있다고 밝혔다. 버락은 "세계 최고의 포렌식 조사관이 있다 해도 시스템 내용이 제대로 지워지면 조사할 포렌식 증거 자체가 사라지게 된다"고 말했다.


가짜/와이퍼 랜섬웨어와 비즈니스 우선 순위

적절한 조사 없이 랜섬웨어를 제거할 경우 중요한 단서를 놓치게 될 수 있다. 랜섬웨어 공격은 비록 감소 추세지만 여전히 만연하며, 정보를 해독할 수 없다면 조사 자체가 어려워지게 된다. 아르센은 "랜섬웨어가 일반화되면서 대부분의 기업은 공격의 근본 원인이 순수한 금전적 의도인지 아닌지 여부를 조사하기 위해 많은 시간을 들이려 하지 않는 경향이 있다"며, "대부분의 경우 기업은 다운타임을 최소화하고 비즈니스 연속성을 유지하기 위해 포렌식 작업은 접어두고 최대한 신속하게 백업에서 복구하는 편을 택한다"고 말했다.

머스크(Maersk)에 대한 공격 또는 최근의 노스크 하이드로(Norsk Hydro) 사건에서 볼 수 있듯이 랜섬웨어 감염은 공공 측면에서나 금전적으로나 막대한 피해를 초래할 수 있다. 머스크는 낫페트야 공격으로 인해 추산 3억 달러의 손실을 입었다. 많은 기업이 추가 손실을 피하기 위해 최대한 신속하게 정상 운영을 복구하는 데 초점을 두며, 결과적으로 철저한 조사는 우선 순위의 끝으로 미뤄지게 된다.

버락은 "표준적인 절차는 백업에서 복원하는 것이다. 대규모 환경에서 복수의 서버나 엔드포인트가 영향을 받는 상황이라면 서비스를 사용할 수 없는 상태로 두고 손실을 키워가며 조사를 계속하기는 확실히 어렵다. 방어자가 시간과 노력을 들여 공격의 경위와 이유를 파악하고 랜섬웨어 외의 다른 사건은 없었는지 조사하는 대신 흔한 랜섬웨어에 의해 무작위로 공격을 받았다고 믿고 서비스 가용성을 복구하는 데 초점을 두는 것이 공격자 관점에서 최상의 시나리오다"고 말했다.


가짜 랜섬웨어의 경고 신호, "랜섬 노트가 없다"

진짜 강탈 시도와 은폐를 위한 가짜를 구분하기는 대단히 어렵다. 비트디펜더의 아르센은 "랜섬 노트가 없는 랜섬웨어는 공격자의 목적이 흔적을 지우는 데 있음을 나타내는 결정적 지표지만, 그 외에는 구분할 방법이 거의 없다"고 말했다.

사이버리즌의 버락은 "지금까지 랜섬웨어를 가장한 와이퍼가 사용된 사례를 보면 대부분의 경우 돈을 받는 사람이 없다"면서, "일반적으로 알려진 랜섬웨어의 수정된 버전이 사용된다. 공격 그룹은 잘 알려진 랜섬웨어 종류를 선택해 와이퍼로 작동하도록 수정한다"고 말했다.

랜섬웨어 사고에서 돈을 지불하는 것은 어차피 권장되지 않지만 특히 이 경우 돈만 날리게 될 수 있다. 공격자가 돈을 받을 장치를 해놓지 않았거나 아예 해독 키가 없기 때문이다. 원했던 것을 이미 손에 넣었을 수도 있다.

기업은 모든 랜섬웨어 공격을 잠재적인 데이터 유출 공격으로 판단하고 적절한 조사와 포렌식 절차에 착수해야 한다. 랜섬웨어의 의도를 파악하는 최선의 방법은 사전 예방적인 조치를 통해 공격이 발생하기 전에 네트워크와 엔드포인트 활동에 대한 최대한의 시야를 확보하는 것이다.

아르센은 "랜섬웨어가 숨길 수 없는 것은 네트워크 트래픽이다. 포렌식 조사에서 네트워크 트래픽을 살피는 것이 중요한 이유도 여기에 있다. 일반적으로 트래픽은 비정상적인 엔드포인트 동작, 횡적 이동, 심지어 공격 지휘소와의 통신을 드러내기도 한다"면서, "랜섬웨어 감염이 데이터 침해를 덮기 위한 용도로 사용된 신호를 찾는 과정에는 랜섬웨어 사고를 기준으로 수일, 수주, 길게는 수개월 이전까지 네트워크 수준의 조사와 모든 네트워크 및 엔드포인트 이벤트 정보 분석도 포함되어야 한다"고 말했다. editor@itworld.co.kr 


X