최종편집 : 2017.7.26 수 09:16
아이티비즈
> 기획 > 이슈분석
파이어아이, 페트야 랜섬웨어 정보 제공호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인 등 10개 국가에서 탐지
김문구 기자  |  mgkim@it-b.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.06.28  16:36:49
트위터 페이스북 미투데이 요즘 네이버 구글 msn

[아이티비즈] 파이어아이(지사장 전수홍)가 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 페트야 랜섬웨어에 대한 정보를 제공했다.

파이어아이는 이번 페트야 렌섬웨어를 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지했다고 밝혔다.

현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용됐던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.

최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 PSExec을 통한 내부 확산과도 관련이 있다. 또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시되어 있다.

파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다. 파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.

파이어아이는 ▲71b6a493388e7d0b40c83ce903bc6b04 ▲e285b6ce047015943e685e6638bd837e 두 MD5과 공격과 관련됐다고 밝혔다.

현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.

파이어아이는 공격자 행위와 동원한 기법 분석을 마친 후 곧바로 변종 랜섬웨어에 대응하기 위한 YARA규칙을 생성했다. 이 룰을 통해 현재 환경에 침투한 멀웨어를 찾거나 미래 활동을 탐지 할 수 있다. 파이어아이는 SMB 드라이브 사용량, 보상금 요구에 사용된 언어, 기본 기능 및 API, 측면 확산에 사용되는 시스템 유틸리티 등 멀웨어 공격에 핵심이 되는 악성 공격자 기법에 중점을 두었다. YARA 룰은 조직의 필요에 따라 다음 부분에서 임계 값을 수정할 수 있다.

▲ 변종 랜섬웨어에 대응하기 위한 YARA 룰

파이어아이는 CVE-2017-0199를 악용한 감염 문서 또는 링크가 첨부된 미끼 이메일로 멀웨어가 확산되고 있다는 내용의 보고서와는 달리, 이 문서는 지금 발생한 공격과는 관련이 없으며 이번 공격이 CVE-2017-0199와 관련이 있다는 다른 흔적도 발견할 수 없었다고 밝혔다. 파이어아이는 이러한 공격들을 탐지했지만, 알려진 페트야 공격의 피해자들간에 상관 관계를 발견하지는 못했다.

파이어아이 대변인은 “큰 피해를 주고 있는 페트야 랜섬웨어 사건과 관련된 위협 활동에 대해 계속 조사하고 있다”며 “파이어아이 초기 분석을 바탕으로, 이번 캠페인에 사용된 랜섬웨어는 페트야와 일정 부분 유사하며, MBR 재부팅 페이지는 동일하다. 하지만 이번 랜섬웨에서 주목할 만한 사항은 전파 방식을 포함해 확산을 위한 파일 암호화 시간 지연이다. 파이어아이는 이번 공격에서 사용된 하나의 감염 경로가 우크라이나에서 세무 회계목적으로 사용되는 메독소프트웨어라고 판단하고 있다. 또한 공격과 관련된 악성코드는 자체적으로 확산을 시도하는 행위를 보이고 있으며 다른 초기 감염 벡터도 포함됐을 가능성도 있다”고 밝혔다.

파이어아이코리아 전수홍 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다. 또한 사이버 전장에는 국경도 지역적 제약도 없다. 대부분의 조직들은 잘못된 안정감을 제공하는 지역적으로 국한된 인텔리전스 혹은 낙후된 시그니처 기반 인텔리전스에 의존하지만, 사이버 공격자들이 더 이상 특정지역이 아닌 전 세계를 공격대상으로 삼음에 따라 글로벌 인텔리전스가 그 어느 때 보다 중요하다. 파이어아이는 사람이 분석한 정보를 머신 기반 인텔리전스 플랫폼과 결합하여 공격자, 피해자 및 전 세계의 네트워크에 대한 독보적인 통찰력을 제공하며, 초기 정찰 단계부터 목표달성까지, 사이버 공격 전체 라이프사이클에 대한 가시성을 제공한다”고 말했다.

김문구 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
김혁건, 자신의 히트곡 ‘돈 크라이’ 부른 김경현 용서해
2
SK텔레콤, '착한 빅데이터' 공공적 활용 선도
3
인천 강화 숙원사업 ‘강화-서울 고속도로’, 오는 2020년에 만난다
4
미래부-과총, '2017 대한민국과학기술연차대회' 개최
5
지란지교시큐리티, 모비젠·SSR 인수…보안·빅데이터·컨설팅 결합 사업확대
6
파이어아이, 페트야 랜섬웨어 정보 제공
7
SK텔레콤, 3.5GHz 대역서 5G 통신 시연…넓고 빠른 5G에 다가서다
8
"한국기업 99%, API 활용해 비즈니스 성과 도모"
9
SK텔레콤-동양이엔피, LORA기반 태양광 발전 설비관리 사업 협력
10
IT업체들, 4차 산업혁명 핵심기술 '블록체인' 사업 추진 활발
하이라이트
베스트 리뷰

ADI, 20V·20A 모놀리식 동기식 벅 컨버터 출시

ADI, 20V·20A 모놀리식 동기식 벅 컨버터 출시
[아이티비즈] 아나로그디바이스(ADI)는 차동 VOUT 원격 센싱 기능의...

넷기어, 엔터프라이즈용 60베이 랙타입 NAS 출시

넷기어, 엔터프라이즈용 60베이 랙타입 NAS 출시
[아이티비즈] 넷기어(한국지사장 김진겸)는 기본 60베이 및 확장샤시 연...

SK텔레콤, 해외 로밍 지원 ‘T포켓파이R’ 선보여

SK텔레콤, 해외 로밍 지원 ‘T포켓파이R’ 선보여
[아이티비즈] SK텔레콤이 기존 ‘T포켓파이’에 해외 데이터 로밍 기능을...
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
회사명 : 아이티비즈랩  |  등록번호 : 서울, 아02297  |  등록일자 : 2012년 10월 18일  |  제호 : 아이티비즈  |  발행인·편집인 : 박미숙
주소 : 서울시 성북구 북악산로1길 21, 102호  |  발행일자 : 2012년 10월 18일  |  대표전화 02-919-8363  |  청소년보호책임자 : 김건우
Copyright © 2013 아이티비즈. All rights reserved. mail to news@it-b.co.kr