[아이티비즈] 파이어아이(지사장 전수홍)가 지난 27일 미국, 아시아 및 유럽 지역의 10개 국가를 강타한 페트야 랜섬웨어에 대한 정보를 제공했다.
파이어아이는 이번 페트야 렌섬웨어를 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지했다고 밝혔다.
현재까지 알려진 초기 정보에 의하면, 주범인 페트야 랜섬웨어의 변종은 지난달 발생한 워너크라이(WannaCry) 공격에 사용됐던 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.
최초의 감염 벡터는 우크라이나의 많은 기업들이 사용하고 있는 소프트웨어 패키지 메독(MeDoc) 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치하는데, 이 타이밍은 파이어아이가 10:12(UTC)경에 한 피해자의 네트워크에서 발견한 PSExec을 통한 내부 확산과도 관련이 있다. 또한, 현재 메독 회사 홈페이지에는 “자사 서버가 바이러스 공격을 받고 있으며, 불편을 드려 죄송합니다”는 내용의 메시지가 표시되어 있다.
파이어아이는 피해자의 네트워크에서 얻은 증거물과 네트워크 트래픽을 분석한 결과, 이터널블루 SMB 익스플로잇의 수정된 버전이 적어도 부분적으로 이 공격에 사용됐으며, 이와 함께 WMI 명령어, MimiKatz 및 PSExec가 다른 내부 시스템들로 측면 유포되는데 사용됐다고 밝혔다. 파이어아이는 이 공격과 관련된 증거를 현재 분석 중이며, 새로운 정보가 나오는 대로 파이어아이 블로그에 업데이트할 예정이다.
파이어아이는 ▲71b6a493388e7d0b40c83ce903bc6b04 ▲e285b6ce047015943e685e6638bd837e 두 MD5과 공격과 관련됐다고 밝혔다.
현재 파이어아이는 커뮤니티 보호령(Community Protection Event)를 발동 중이며 보고된 내용 및 이 사고와 관련된 위협 활동에 대해 지속적으로 조사할 것이라고 밝혔다. 서비스로형 파이어아이(FaaS)는 고객의 환경을 적극적으로 모니터링하고 있다.
파이어아이는 공격자 행위와 동원한 기법 분석을 마친 후 곧바로 변종 랜섬웨어에 대응하기 위한 YARA규칙을 생성했다. 이 룰을 통해 현재 환경에 침투한 멀웨어를 찾거나 미래 활동을 탐지 할 수 있다. 파이어아이는 SMB 드라이브 사용량, 보상금 요구에 사용된 언어, 기본 기능 및 API, 측면 확산에 사용되는 시스템 유틸리티 등 멀웨어 공격에 핵심이 되는 악성 공격자 기법에 중점을 두었다. YARA 룰은 조직의 필요에 따라 다음 부분에서 임계 값을 수정할 수 있다.
파이어아이는 CVE-2017-0199를 악용한 감염 문서 또는 링크가 첨부된 미끼 이메일로 멀웨어가 확산되고 있다는 내용의 보고서와는 달리, 이 문서는 지금 발생한 공격과는 관련이 없으며 이번 공격이 CVE-2017-0199와 관련이 있다는 다른 흔적도 발견할 수 없었다고 밝혔다. 파이어아이는 이러한 공격들을 탐지했지만, 알려진 페트야 공격의 피해자들간에 상관 관계를 발견하지는 못했다.
파이어아이 대변인은 “큰 피해를 주고 있는 페트야 랜섬웨어 사건과 관련된 위협 활동에 대해 계속 조사하고 있다”며 “파이어아이 초기 분석을 바탕으로, 이번 캠페인에 사용된 랜섬웨어는 페트야와 일정 부분 유사하며, MBR 재부팅 페이지는 동일하다. 하지만 이번 랜섬웨에서 주목할 만한 사항은 전파 방식을 포함해 확산을 위한 파일 암호화 시간 지연이다. 파이어아이는 이번 공격에서 사용된 하나의 감염 경로가 우크라이나에서 세무 회계목적으로 사용되는 메독소프트웨어라고 판단하고 있다. 또한 공격과 관련된 악성코드는 자체적으로 확산을 시도하는 행위를 보이고 있으며 다른 초기 감염 벡터도 포함됐을 가능성도 있다”고 밝혔다.
파이어아이코리아 전수홍 지사장은 “이번 페트야 사태는 다시 한번 사이버 공격을 방어하기 위해서는 선제적인 대응이 필요하다는 것을 잘 보여준다”며 “강력한 백업 전략, 적절한 네트워크 세분화 및 망 분리(air gapping) 및 랜섬웨어에 대한 기타 보안 조치는 랜섬웨어로부터 조직을 방어하고, 신속하게 피해를 복구하는 데 도움을 줄 수 있다. 또한 사이버 전장에는 국경도 지역적 제약도 없다. 대부분의 조직들은 잘못된 안정감을 제공하는 지역적으로 국한된 인텔리전스 혹은 낙후된 시그니처 기반 인텔리전스에 의존하지만, 사이버 공격자들이 더 이상 특정지역이 아닌 전 세계를 공격대상으로 삼음에 따라 글로벌 인텔리전스가 그 어느 때 보다 중요하다. 파이어아이는 사람이 분석한 정보를 머신 기반 인텔리전스 플랫폼과 결합하여 공격자, 피해자 및 전 세계의 네트워크에 대한 독보적인 통찰력을 제공하며, 초기 정찰 단계부터 목표달성까지, 사이버 공격 전체 라이프사이클에 대한 가시성을 제공한다”고 말했다.
