최종편집 : 2017.9.26 화 16:19
아이티비즈
> 기획 > 이슈분석
파이어아이, 페트야 랜섬웨어 정보 제공호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인 등 10개 국가에서 탐지
김문구 기자  |  mgkim@it-b.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.06.28  16:36:49
트위터 페이스북 미투데이 요즘 네이버 구글 msn

[아이티비즈] 파이어아이(지사장 전수홍)가 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 페트야 랜섬웨어에 대한 정보를 제공했다.

파이어아이는 이번 페트야 렌섬웨어를 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지했다고 밝혔다.

현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용됐던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.

최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 PSExec을 통한 내부 확산과도 관련이 있다. 또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시되어 있다.

파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다. 파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.

파이어아이는 ▲71b6a493388e7d0b40c83ce903bc6b04 ▲e285b6ce047015943e685e6638bd837e 두 MD5과 공격과 관련됐다고 밝혔다.

현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.

파이어아이는 공격자 행위와 동원한 기법 분석을 마친 후 곧바로 변종 랜섬웨어에 대응하기 위한 YARA규칙을 생성했다. 이 룰을 통해 현재 환경에 침투한 멀웨어를 찾거나 미래 활동을 탐지 할 수 있다. 파이어아이는 SMB 드라이브 사용량, 보상금 요구에 사용된 언어, 기본 기능 및 API, 측면 확산에 사용되는 시스템 유틸리티 등 멀웨어 공격에 핵심이 되는 악성 공격자 기법에 중점을 두었다. YARA 룰은 조직의 필요에 따라 다음 부분에서 임계 값을 수정할 수 있다.

▲ 변종 랜섬웨어에 대응하기 위한 YARA 룰

파이어아이는 CVE-2017-0199를 악용한 감염 문서 또는 링크가 첨부된 미끼 이메일로 멀웨어가 확산되고 있다는 내용의 보고서와는 달리, 이 문서는 지금 발생한 공격과는 관련이 없으며 이번 공격이 CVE-2017-0199와 관련이 있다는 다른 흔적도 발견할 수 없었다고 밝혔다. 파이어아이는 이러한 공격들을 탐지했지만, 알려진 페트야 공격의 피해자들간에 상관 관계를 발견하지는 못했다.

파이어아이 대변인은 “큰 피해를 주고 있는 페트야 랜섬웨어 사건과 관련된 위협 활동에 대해 계속 조사하고 있다”며 “파이어아이 초기 분석을 바탕으로, 이번 캠페인에 사용된 랜섬웨어는 페트야와 일정 부분 유사하며, MBR 재부팅 페이지는 동일하다. 하지만 이번 랜섬웨에서 주목할 만한 사항은 전파 방식을 포함해 확산을 위한 파일 암호화 시간 지연이다. 파이어아이는 이번 공격에서 사용된 하나의 감염 경로가 우크라이나에서 세무 회계목적으로 사용되는 메독소프트웨어라고 판단하고 있다. 또한 공격과 관련된 악성코드는 자체적으로 확산을 시도하는 행위를 보이고 있으며 다른 초기 감염 벡터도 포함됐을 가능성도 있다”고 밝혔다.

파이어아이코리아 전수홍 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다. 또한 사이버 전장에는 국경도 지역적 제약도 없다. 대부분의 조직들은 잘못된 안정감을 제공하는 지역적으로 국한된 인텔리전스 혹은 낙후된 시그니처 기반 인텔리전스에 의존하지만, 사이버 공격자들이 더 이상 특정지역이 아닌 전 세계를 공격대상으로 삼음에 따라 글로벌 인텔리전스가 그 어느 때 보다 중요하다. 파이어아이는 사람이 분석한 정보를 머신 기반 인텔리전스 플랫폼과 결합하여 공격자, 피해자 및 전 세계의 네트워크에 대한 독보적인 통찰력을 제공하며, 초기 정찰 단계부터 목표달성까지, 사이버 공격 전체 라이프사이클에 대한 가시성을 제공한다”고 말했다.

김문구 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
이통3사, ‘갤노트8' 사전예약 7일부터 시작…혜택 마케팅으로 고객잡기 경쟁
2
건강기능식품 브랜드 여왕의비밀, 풋사과다이어트 런칭
3
부산가죽공방 ‘SOMAD가죽공방’, 아날로그 감성 가죽 제품 서비스
4
과기정통부, 내년 예산 14조1759억 편성…4차산업·신산업 육성에 집중 투자
5
KT-한국도로공사, 대관령 터널서 평창 5G 선보인다
6
배우 윤균상, 엔터식스 왕십리역점에서 팬들과 만난다
7
판다티비방송, 인터넷 통한 '1인 왕홍 BJ 쇼핑방송' 발표
8
카카오, 인공지능 생태계 구조도 발표
9
송대현 LG전자 사장 “인공지능, IoT 확대해 스마트홈 대폭 키우겠다”
10
SKT-하나금융, 생활금융플랫폼 ‘핀크’ 서비스 출시…인터넷은행에 맞선다
하이라이트
베스트 리뷰

시놀로지, 가정·기업용 XS·플러스·밸류 시리즈 발표

시놀로지, 가정·기업용 XS·플러스·밸류 시리즈 발표
[아이티비즈 박채균 기자] 시놀로지가 26일 다양한 시리즈를 아우르는 새...

어드밴텍, 고성능 IoT게이트웨이 발표

어드밴텍, 고성능 IoT게이트웨이 발표
[아이티비즈 김문구 기자] 어드밴텍(정준교 지사장)은 최신의 IoT 게이...

한국레노버, 3in1 노트북 ‘요가북 프로’ 선보여

한국레노버, 3in1 노트북 ‘요가북 프로’ 선보여
[아이티비즈 김문구 기자] 한국레노버(대표 강용남)는 요가북의 강력한 휴...
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
회사명 : 아이티비즈랩  |  등록번호 : 서울, 아02297  |  등록일자 : 2012년 10월 18일  |  제호 : 아이티비즈  |  발행인·편집인 : 박미숙
주소 : 서울시 성북구 북악산로1길 21, 102호  |  발행일자 : 2012년 10월 18일  |  대표전화 02-919-8363  |  청소년보호책임자 : 김건우
Copyright © 2013 아이티비즈. All rights reserved. mail to news@it-b.co.kr