2017.01.11

데이터 삭제하는 악성코드 샤문… VDI 솔루션 타깃

Lucian Constantin | IDG News Service
2012년 사우디아라비아의 국유 석유 기업 컴퓨터 3만 대의 데이터를 삭제해버린 악성코드가 돌아왔다. 이번에는 서버에 호스팅된 가상 데스크톱을 노리고 있다.

샤문(Shamoon) 혹은 디스트랙(Disttrack)이라고 알려진 이 악성코드는 디스크 삭제 프로그램 중 하나다. 2014년 미국 소니 픽처스, 2013년 한국의 여러 은행과 방송 기관들이 당한 사이버 공격에 사용된 악성코드와 유사하다.

샤문은 2-12년 사우디 아람코(Saudi Aramco) 사이버 공격 사태에서 처음 발견됐다. 탈취한 크리덴셜(credentials)을 사용해 로컬 네트워크의 다른 컴퓨터로 확산되며, 사전에 설정된 날짜에 디스크 삭제 기능을 활성화한다.

작년 11월 시만텍의 보안 연구원들은 새로운 버전의 샤문이 다시 사우디아라비아에서 활동을 시작했다고 보고했다. 이 악성코드는 사우디아라비아 시간으로 11월 17일 목요일 오후 8시 45분 하드 디스크의 데이터를 덮어쓰기 하도록 설정되어 있었다. 이 시간은 대부분의 사우디아라비아의 직장인들이 주말을 시작한 직후다.

팔로 알토 네트워크의 연구원들은 또 다른 샤문 변종을 발견했으며, 사우디아라비아 내의 다른 기업들을 목표로 하고 있었다고 밝혔다. 이 세번째 버전은 11월 29일에 데이터를 삭제하기 시작하도록 설정되어 있었으며, 특정 기업 및 기관만 목표하도록 하드 코딩된 계정 크리덴셜이이 포함되어 있었다고 팔로 알토 연구원들이 지난 월요일 블로그를 통해 밝혔다.

이런 크리덴셜 중 일부는 윈도우 도메인 계정이지만, VDI 솔루션인 화웨이 퓨전클라우드(Huwai FusionCloud)의 기본 사용자명과 비밀번호도 상당수 포함되어 있었다.

화웨이 퓨전클라우드 같은 VDI 제품들은 기업이 데이터 센터 내에 여러 가상화된 데스크톱을 설치해서 구동할 수 있도록 한다. 사용자들은 이러한 가상의 PC에 씬 클라이언트로 접속해서 다른 지역에 있는 사무실의 워크스테이션 관리를 더욱 쉽게 해주는 역할을 한다.

VDI 솔루션의 다른 이점 중 하나는 가상화된 데스크톱의 스냅샷을 정기적으로 생성해서 관리자가 무엇인가 잘못됐을 때 쉽게 복구할 수 있도록 하는 것이다.

최근 샤문 공격은 화웨이의 VDI 제품을 노린 것이 분명하며, 탈취한 윈도우 도메인 크리덴셜을 사용해서 가상화된 PC를 삭제하는 것이 충분하지 않다는 것을 깨달은 것으로 해석된다.

팔로 알토 네트워크 연구원은 “샤문 공격자들이 이러한 사용자명과 비밀번호를 갖고 있다는 사실은 공격 효과를 높이기 위해 특정 기업 및 기관만을 목표로 한 공격을 하려는 의도로 보인다”라면서, “이것이 사실이라면, 주요 개발 업체나 기관들은 VDI의 크리덴셜 보호를 위한 추가 장치를 고려해야 한다”라고 말했다.

지금까지 이런 기술은 데이터 파괴를 주목적으로 한 사이버 공격에서만 발견되었지만, 향후 랜섬웨어 제작자들이 도입할 가능성이 크다. 일부 랜섬웨어 변종은 이미 데이터를 암호화하기 전에 특정 종류의 백업을 삭제하고 있어, VDI 스냅샷을 목표하는 것으로 자연스럽게 발전하리라는 전망이다.

지금까지 시만텍과 팔로 알토 네트워크는 목표 대상이 된 기업이나 기관을 밝히진 않았다. editor@itworld.co.kr


2017.01.11

데이터 삭제하는 악성코드 샤문… VDI 솔루션 타깃

Lucian Constantin | IDG News Service
2012년 사우디아라비아의 국유 석유 기업 컴퓨터 3만 대의 데이터를 삭제해버린 악성코드가 돌아왔다. 이번에는 서버에 호스팅된 가상 데스크톱을 노리고 있다.

샤문(Shamoon) 혹은 디스트랙(Disttrack)이라고 알려진 이 악성코드는 디스크 삭제 프로그램 중 하나다. 2014년 미국 소니 픽처스, 2013년 한국의 여러 은행과 방송 기관들이 당한 사이버 공격에 사용된 악성코드와 유사하다.

샤문은 2-12년 사우디 아람코(Saudi Aramco) 사이버 공격 사태에서 처음 발견됐다. 탈취한 크리덴셜(credentials)을 사용해 로컬 네트워크의 다른 컴퓨터로 확산되며, 사전에 설정된 날짜에 디스크 삭제 기능을 활성화한다.

작년 11월 시만텍의 보안 연구원들은 새로운 버전의 샤문이 다시 사우디아라비아에서 활동을 시작했다고 보고했다. 이 악성코드는 사우디아라비아 시간으로 11월 17일 목요일 오후 8시 45분 하드 디스크의 데이터를 덮어쓰기 하도록 설정되어 있었다. 이 시간은 대부분의 사우디아라비아의 직장인들이 주말을 시작한 직후다.

팔로 알토 네트워크의 연구원들은 또 다른 샤문 변종을 발견했으며, 사우디아라비아 내의 다른 기업들을 목표로 하고 있었다고 밝혔다. 이 세번째 버전은 11월 29일에 데이터를 삭제하기 시작하도록 설정되어 있었으며, 특정 기업 및 기관만 목표하도록 하드 코딩된 계정 크리덴셜이이 포함되어 있었다고 팔로 알토 연구원들이 지난 월요일 블로그를 통해 밝혔다.

이런 크리덴셜 중 일부는 윈도우 도메인 계정이지만, VDI 솔루션인 화웨이 퓨전클라우드(Huwai FusionCloud)의 기본 사용자명과 비밀번호도 상당수 포함되어 있었다.

화웨이 퓨전클라우드 같은 VDI 제품들은 기업이 데이터 센터 내에 여러 가상화된 데스크톱을 설치해서 구동할 수 있도록 한다. 사용자들은 이러한 가상의 PC에 씬 클라이언트로 접속해서 다른 지역에 있는 사무실의 워크스테이션 관리를 더욱 쉽게 해주는 역할을 한다.

VDI 솔루션의 다른 이점 중 하나는 가상화된 데스크톱의 스냅샷을 정기적으로 생성해서 관리자가 무엇인가 잘못됐을 때 쉽게 복구할 수 있도록 하는 것이다.

최근 샤문 공격은 화웨이의 VDI 제품을 노린 것이 분명하며, 탈취한 윈도우 도메인 크리덴셜을 사용해서 가상화된 PC를 삭제하는 것이 충분하지 않다는 것을 깨달은 것으로 해석된다.

팔로 알토 네트워크 연구원은 “샤문 공격자들이 이러한 사용자명과 비밀번호를 갖고 있다는 사실은 공격 효과를 높이기 위해 특정 기업 및 기관만을 목표로 한 공격을 하려는 의도로 보인다”라면서, “이것이 사실이라면, 주요 개발 업체나 기관들은 VDI의 크리덴셜 보호를 위한 추가 장치를 고려해야 한다”라고 말했다.

지금까지 이런 기술은 데이터 파괴를 주목적으로 한 사이버 공격에서만 발견되었지만, 향후 랜섬웨어 제작자들이 도입할 가능성이 크다. 일부 랜섬웨어 변종은 이미 데이터를 암호화하기 전에 특정 종류의 백업을 삭제하고 있어, VDI 스냅샷을 목표하는 것으로 자연스럽게 발전하리라는 전망이다.

지금까지 시만텍과 팔로 알토 네트워크는 목표 대상이 된 기업이나 기관을 밝히진 않았다. editor@itworld.co.kr


X