KISA, ‘Masscan 랜섬웨어 침해사고 기술보고서’ 발표

6월말 첫 감염 사례 발생 이후 7월 기점으로 급속도로 확산 중

랜섬웨어 실행 후 공격에 사용한 정보수집 도구 스스로 삭제하는 교묘함도 보여

[보안뉴스 김영명 기자] 데이터베이스(DB) 서버를 대상으로 하는 데이터 탈취 등 해킹 사고가 빈번하게 발생했다. 여기에 최근에는 암호화폐 등장과 다크웹 및 서비스형 랜섬웨어(RaaS)의 유행으로 다양한 DB서버를 대상으로 하는 랜섬웨어(Globeimposter, mallox, 520, 360 등) 공격도 급증하고 있다.

특히, 지난 6월 말, 국내에서 처음 감염사례가 발생한 Masscan 랜섬웨어는 7월을 기점으로 급속히 확산되고 있다. 이와 관련 한국인터넷진흥원(KISA)은 Masscan 랜섬웨어 기술보고서를 발표했다.

[이미지=utoimage]

KISA에 따르면, DB 서버를 대상으로 한 랜섬웨어로는 △Globeimposter △mallox △520 △360 등이 있으며, 지난해부터 올해 상반기까지는 그중에서도 Globeimposter 랜섬웨어가 가장 많이 발견했다. Globeimposter 랜섬웨어의 경우 DB 무작위 대입 공격뿐만 아니라 원격 데스크톱이 열려 있는 서버를 대상으로 무작위 대입 공격을 통해 침투하기도 했으며, 올해 초에는 비슷한 공격 방식으로 mallox, 360 랜섬웨어가 발견됐다.

▲Masscan 랜섬웨어 감염화면[이미지=KISA]

Masscan 랜섬웨어는 다른 DB 타깃 랜섬웨어와 마찬가지로 외부에 공개돼 있는 DB에 무작위 대입 공격을 통해 침투해 랜섬웨어를 유포하고 있다. Masscan 랜섬웨어는 지난 7월에 10건, 8월에는 18건, 9월에는 9건으로 꾸준히 신고 건수가 늘어나고 있다.

Masscan 랜섬웨어의 감염된 파일은 확장자가 masscan-{대문자 한 글자}-{GUID 8자리}로 변경된다. 랜섬웨어 및 확장자를 통해 분석한 결과, 현재 버전 3(F, R, G 버전 등)까지 나온 것으로 추정된다.

공격자는 외부에 노출된 기업의 데이터베이스(MS-SQL, 1433 포트) 서버를 스캔해 공격 대상을 찾는다. 추가적으로 Shodan, Criminal IP 등 OSINT(Open Source Intelligence)를 통해 정보를 수집한다. OSINT의 대표적인 사이트 쇼단(Shodan)을 활용한 정보수집 건수는 2019년 중반부터 급격하게 늘어나고 있는 것을 알 수 있다.

▲Masscan 랜섬웨어 공격 방식[이미지=KISA]

Masscan 랜섬웨어 감염 초기에는 타깃된 데이터베이스 서버에 브루트포싱 공격이 감행된다. 그 이후 sa 계정과 admin, administrator, administrators 등과 같이 ERP 서버에서 사용하는 관리자 계정 등 자주 사용하는 계정을 타깃으로 브루트포싱 공격을 해 계정정보를 수집한다.

수집된 데이터베이스 계정정보를 이용해서 xp_cmdshell을 활성화하는 쿼리를 보낸다. 그 이후 xp_cmdshell을 활성화시킨 후, xp_cmdshell을 통해 스크립트 파일을 생성하거나 파워셸을 실행시킨다. xp_cmdshell을 통해 파워셸 스크립트를 사용하는 주 목적은 공격자가 사용할 계정을 생성하거나 악성도구를 다운로드하는 데 있다. 주로 다운로드 받는 악성도구로는 원격접속 프로그램(anydesk) 및 계정탈취 도구(mimikatz), 네트워크 스캔 도구 등이다.

▲Shodan을 활용한 정보수집(국내 MS-SQL 현황)[이미지=KISA]

공격자는 xp_cmdshell 또는 파워셸을 이용해 원격접속 프로그램(anydesk)을 설치하고 공격자 PC에 원격접속을 한다. anydesk의 경우 CLI 환경에서 명령어로 설치 및 패스워드를 설정할 수 있다.

공격자는 계정정보를 획득하기 위해 계정탈취 도구(mimikatz, NLBrute)를 사용해 계정정보를 수집한다. 공격자는 계정수집 도구로 관리자 계정을 획득해 관리자 계정으로 로그인 혹은 원격접속해 윈도우 디펜더 및 백신을 중지시키고, 모니터링 도구를 이용해 프로세스 확인 후 종료시킨다. 공격자는 관리자 계정으로 접속한 후, 방화벽에서의 차단을 막기 위해 원격접속(netsh)을 허용한다. 이후 공격자는 내부 이동을 위해 네트워크 스캔 도구 및 SQL 툴을 사용해 네트워크 정보를 수집한다.

▲공격자가 사용하는 랜섬웨어 도구들[이미지=KISA]

공격자는 이전에 수집한 정보를 이용, 다른 서버로 원격접속해 내부 이동한다. 내부 이동을 할 때는 위에서 사용한 RDP 정보수집 도구 및 네트워크 스캔 도구를 통해 추가 서버를 찾으며, 가장 많은 정보를 보유하고 있는 서버를 거점으로 삼아 랜섬웨어 공격준비를 한다. 이때 대체로 백업 서버가 모든 서버와 연결되는 서버라 공격자가 거점으로 많이 선택한다.

공격자는 거점 서버를 통해 다른 서버에 접속하고 랜섬웨어를 실행한다. Masscan 랜섬웨어의 경우 RunExe.exe 파일과 EnCrypt.exe 파일을 사용한다. RunExe.exe의 경우 VSS(VolumShadowCopy Service)를 삭제하고 디렉터리내 exe 파일을 실행시킨다. RunExe.exe를 통해 실제 파일을 암호화하는 EnCrypt.exe이 실행돼 파일을 암호화시킨다. 랜섬웨어에 감염된 후, 각 폴더에는 아래와 같은 랜섬노트(RECOVERY INFORMATION !!!.txt)가 생성된다.

▲Masscan 랜섬웨어가 남긴 랜섬노트[이미지=KISA]

공격자는 랜섬웨어를 실행시키고 공격 흔적을 지우기 위해서 이벤트로그(Security, System)와 함께 공격에 사용한 정보수집 도구를 삭제한다. 이밖에도 공격 계정과 악성코드, 이벤트로그 등 공격 흔적을 모두 지운 뒤 서버를 재부팅시킨 후 원격접속을 해제한다.

한국인터넷진흥원 측은 Masscan 랜섬웨어에 대응하기 위해서는 외부접속 관리 강화, 계정관리 강화, 백업관리 강화 등과 함께 최신 운영체제 업그레이드 및 최신 패치 적용, 백신 설치와 랜섬웨어 차단 기능 활성화 등이 필요하다고 설명했다.