최종편집 : 2017.11.24 금 17:14
아이티비즈
> 기획 > 이슈분석
파이어아이, 페트야 랜섬웨어 정보 제공호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인 등 10개 국가에서 탐지
김문구 기자  |  mgkim@it-b.co.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.06.28  16:36:49
트위터 페이스북 미투데이 요즘 네이버 구글 msn

[아이티비즈] 파이어아이(지사장 전수홍)가 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 페트야 랜섬웨어에 대한 정보를 제공했다.

파이어아이는 이번 페트야 렌섬웨어를 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지했다고 밝혔다.

현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용됐던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.

최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 PSExec을 통한 내부 확산과도 관련이 있다. 또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시되어 있다.

파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다. 파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.

파이어아이는 ▲71b6a493388e7d0b40c83ce903bc6b04 ▲e285b6ce047015943e685e6638bd837e 두 MD5과 공격과 관련됐다고 밝혔다.

현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.

파이어아이는 공격자 행위와 동원한 기법 분석을 마친 후 곧바로 변종 랜섬웨어에 대응하기 위한 YARA규칙을 생성했다. 이 룰을 통해 현재 환경에 침투한 멀웨어를 찾거나 미래 활동을 탐지 할 수 있다. 파이어아이는 SMB 드라이브 사용량, 보상금 요구에 사용된 언어, 기본 기능 및 API, 측면 확산에 사용되는 시스템 유틸리티 등 멀웨어 공격에 핵심이 되는 악성 공격자 기법에 중점을 두었다. YARA 룰은 조직의 필요에 따라 다음 부분에서 임계 값을 수정할 수 있다.

▲ 변종 랜섬웨어에 대응하기 위한 YARA 룰

파이어아이는 CVE-2017-0199를 악용한 감염 문서 또는 링크가 첨부된 미끼 이메일로 멀웨어가 확산되고 있다는 내용의 보고서와는 달리, 이 문서는 지금 발생한 공격과는 관련이 없으며 이번 공격이 CVE-2017-0199와 관련이 있다는 다른 흔적도 발견할 수 없었다고 밝혔다. 파이어아이는 이러한 공격들을 탐지했지만, 알려진 페트야 공격의 피해자들간에 상관 관계를 발견하지는 못했다.

파이어아이 대변인은 “큰 피해를 주고 있는 페트야 랜섬웨어 사건과 관련된 위협 활동에 대해 계속 조사하고 있다”며 “파이어아이 초기 분석을 바탕으로, 이번 캠페인에 사용된 랜섬웨어는 페트야와 일정 부분 유사하며, MBR 재부팅 페이지는 동일하다. 하지만 이번 랜섬웨에서 주목할 만한 사항은 전파 방식을 포함해 확산을 위한 파일 암호화 시간 지연이다. 파이어아이는 이번 공격에서 사용된 하나의 감염 경로가 우크라이나에서 세무 회계목적으로 사용되는 메독소프트웨어라고 판단하고 있다. 또한 공격과 관련된 악성코드는 자체적으로 확산을 시도하는 행위를 보이고 있으며 다른 초기 감염 벡터도 포함됐을 가능성도 있다”고 밝혔다.

파이어아이코리아 전수홍 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다. 또한 사이버 전장에는 국경도 지역적 제약도 없다. 대부분의 조직들은 잘못된 안정감을 제공하는 지역적으로 국한된 인텔리전스 혹은 낙후된 시그니처 기반 인텔리전스에 의존하지만, 사이버 공격자들이 더 이상 특정지역이 아닌 전 세계를 공격대상으로 삼음에 따라 글로벌 인텔리전스가 그 어느 때 보다 중요하다. 파이어아이는 사람이 분석한 정보를 머신 기반 인텔리전스 플랫폼과 결합하여 공격자, 피해자 및 전 세계의 네트워크에 대한 독보적인 통찰력을 제공하며, 초기 정찰 단계부터 목표달성까지, 사이버 공격 전체 라이프사이클에 대한 가시성을 제공한다”고 말했다.

[관련기사]

김문구 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
이통3사, 아이폰 8 출시 행사 통해 고객몰이 ‘경쟁’…잘 팔릴까?
2
마이크로소프트, 윈도우 혼합현실 국내 시장 공략 나섰다
3
네이버 vs 구글…네이버 “세금 제대로 내고 이익에 합당하게 고용해야”
4
이통3사, 아이폰X 17일 사전예약ㆍ24일 출시…어떤 혜택 있나
5
특별한 수능선물 찾는다면? 고디바에서 참다한홍삼까지 프로모션 다양
6
삼성SDS-성균관대, 4차 산업혁명 핵심 인재 양성한다
7
[인사] 삼성SDS, 홍원표 신임 대표 내정
8
락플레이스-호튼웍스, 빅 데이터 시장진출 본격화
9
'클라우드로 보안 책임진다'…KT텔레캅, 플랫폼 기반 보안서비스 선보여
10
LG유플러스, 인천국제공항 고객만족도 로밍서비스 부문 7년 연속 1위
하이라이트
베스트 리뷰

KT, ‘기가지니 패밀리’ 선보여…"인공지능 대중화 이끌겠다"

KT, ‘기가지니 패밀리’ 선보여…
[아이티비즈 김문구 기자] 올해 초 기가지니를 출시하며 홈 인공지능 시대...

어드밴텍, 3.5인치 싱글보드 컴퓨터 출시

어드밴텍, 3.5인치 싱글보드 컴퓨터 출시
[아이티비즈 김문구 기자] 어드밴텍(정준교 지사장)은 3.5인치 팬리스 ...

맥심, ‘칩DNA’ 기술 기반 ‘DS28E38’ 보안 인증장치 발표

맥심, ‘칩DNA’ 기술 기반 ‘DS28E38’ 보안 인증장치 발표
[아이티비즈 박채균 기자] 맥심인터그레이티드코리아(대표 최헌정)가 21일...
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
회사명 : 아이티비즈랩  |  등록번호 : 서울, 아02297  |  등록일자 : 2012년 10월 18일  |  제호 : 아이티비즈  |  발행인·편집인 : 박미숙
주소 : 서울시 성북구 북악산로1길 21, 102호  |  발행일자 : 2012년 10월 18일  |  대표전화 02-919-8363  |  청소년보호책임자 : 김건우
Copyright © 2013 아이티비즈. All rights reserved. mail to news@it-b.co.kr