전 세계는 지금 <나쁜 토끼> 주의보? 배드래빗 랜섬웨어

전 세계는 지금 <나쁜 토끼> 주의보? 배드래빗 랜섬웨어 AhnLab ASEC / 2017-10-31         지난 10월 25일(현지 시간) 러시아, 우크라이나, 독일 등 유럽 15개 국가의 정부기관, 언론사를 비롯해 공항, 지하철 등 수백 개의 기업 및 기관이 랜섬웨어에 감염되는 사태가 발생했다. 일명 배드래빗(Bad Rabbit, 또는 Diskcoder) 랜섬웨어는 윈도우(Windows) 공유폴더(SMB)를 통해 감염되며, PC 부팅과 관련된 MBR을 변조하고 부트 파티션을 암호화한다.   아직 국내에서는 배드래빗 감염 사례가 보고되지 않았으나(10월 29일 기준), 지난 5월 발생한 워너크라이 랜섬웨어의 경우 해외에서 감염이 확산된 후 며칠 만에 국내로 유입되어 상당한 피해를 입힌 바 있어 더욱 각별한 주의가 필요하다. 특히 V3 엔진 버전 업데이트, OS 및 주요 애플리케이션 보안 업데이트 등 피해 방지를 위한 사전 조치가 강조된다.   [그림 1] 배드래빗 랜섬웨어 감염 화면   이와 관련해 안랩은 현재까지 확인된 배드래빗 랜섬웨어를 상세히 분석해 블로그를 통해 공개하는 한편, 배드래빗 랜섬웨어 관련 시그니처를 V3 등 주요 제품군에 신속히 반영했다. V3 사용자는 엔진 버전을 최신 상태로 유지 또는 업데이트해야 배드래빗 감염 가능성을 최소화할 수 있다.   안랩 시큐리티대응센터(ASEC, AhnLab Security Emergency response Center)의 악성코드 분석가들이 블로그(http://asec.ahnlab.com/)를 통해 공개한 배드래빗 랜섬웨어의 주요 특징을 살펴보자.   배드래빗 또는 디스크코더(Diskcoder)로 불리는 이 랜섬웨어는 어도비 플래시 플레이어(Adobe Flash Player) 설치 파일로 위장해 주로 드라이브-바이-다운로드(Drive By Download) 방식을 통해 유포되었다. 이렇게 사용자 PC에 설치된 악성 파일은 ▲MBR 변조 및 부트 파티션 암호화를 위한 추가 악성 파일 설치(drop) ▲감염 PC 내 파일 암호화 ▲네트워크를 통한 감염 확산 ▲원격 접속을 위한 계정정보 탈취 등의 악의적인 행위를 수행한다. 이 밖에도 페트야(Petya) 랜섬웨어와 유사한 코드를 갖고 있다는 점 등이 특징이다.   사용자가 PC를 재부팅할 때 마다 금전을 요구하는 화면을 노출하기 위해 PC 부팅과 관련 있는 MBR(Master Boot Record) 영역을 변조하고 부트 파티션을 암호화한다. 아래 [그림 2]는 디스크코더(배드래빗) 랜섬웨어에 의해 MBR과 부트 파티션이 변조 및 암호화된 후 재부팅할 때 나타나는 화면이다.   [그림 2] 디스크코더(배드래빗) 랜섬웨어에 의한 부팅 변조   디스크코더(배드래빗) 랜섬웨어가 암호화하는 파일의 확장자명은 다음과 같다.   [표 1] 디스크코더(배드래빗) 랜섬웨어 암호화 대상 파일의 확장자   디스크코더(배드래빗) 랜섬웨어는 감염 확산을 위해 ADMIN$ 공유폴더 및 취약한 SMB를 이용한다. 취약한 SMB를 찾기 위해 특정 포트를 검색하며, IPC$ 연결 시 대입할 계정 이름과 패스워드 리스트를 갖고 있다.   [표 2] 취약한 SMB 계정 정보 리스트 (일부)   [표 2]에서 볼 수 있는 것처럼 디스크코더(배드래빗) 랜섬웨어는 여전히 많은 기업 및 기관에서 허술한 계정 이름과 패스워드를 사용하고 있다는 점을 노리고 있다. 따라서 공유폴더(SMB)를 이용 중인 기업 및 기관에서는 복잡한 패스워드를 설정하고 계정 정보 공유를 최소화하는 등의 조치가 시급하다.   디스크코더(배드래빗) 랜섬웨어에 관한 보다 상세한 분석 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기 http://asec.ahnlab.com/1082   한편, V3 제품 및 지능형 위협 대응 솔루션 AhnLab MDS는 디스크코더(배드래빗) 랜섬웨어를 각각 아래와 같은 진단명으로 탐지 및 차단하고 있다.   <V3 제품군 진단명> - Trojan/Win32.Diskcoder (2017.10.25.04) - Trojan/Win64.WinCred (2017.10.25.04) - Trojan/Win32.WinCred (2017.10.25.04)   <AhnLab MDS 진단명> - Trojan/Win32.Diskcoder (시그니처 기반 진단명) - Malware/MDP.SystemManipulation (행위분석 기반 진단명)