정의의 사도 사칭한(?) 조로 랜섬웨어 활개

정의의 사도 사칭한(?) 조로 랜섬웨어 활개 AhnLab ASEC 대응팀 l 2018-12-05         최근 윈도우 운영체제의 ‘원격 데스크톱 연결(Remote Desktop Protocol)’ 기능을 악용하는 조로(Zorro) 랜섬웨어가 활발하게 유포되고 있다. 원격 데스크톱 연결은 개인뿐만 아니라 기업에서도 자주 사용하는 기능인만큼 사용자들의 각별한 주의가 필요하다.   [그림 1]은 조로 랜섬웨어의 랜섬 노트 내용으로, 암호화된 파일의 복호화 대가로 비트코인을 요구하고 있다. 상단에서 조로 랜섬웨어(zorro ransomware)라는 이름을 확인할 수 있다.   [그림 1] 조로 랜섬웨어 랜섬 노트   조로 랜섬웨어가 이용한 원격 데스크톱 연결 기능은 윈도우 PC의 정상적인 기능으로, 보통 내부 네트워크에서 사용된다. 그러나 필요에 따라 특정한 포트를 추가로 오픈하여 외부 PC와도 연결하는데, 원격 PC 수리나 외부 근무자 등의 내부 시스템 접속이 필요한 경우가 대표적이다.   공격자는 이 원격 데스크톱 연결 기능을 이용, 특정한 포트로 외부와 연결된 내부 PC에 접근해 랜섬웨어를 설치한다. 조로 랜섬웨어의 감염 과정을 요악하면 [그림 2]와 같다.   [그림 2] 조로 랜섬웨어 감염 과정   정상적으로 원격 데스크톱 연결 기능을 이용하려면 [그림 3]과 같이 상호 연결하는 시스템들의 주소와 비밀번호를 입력하는 인증 과정을 거친다. 악의적인 목적으로 이 기능을 이용하려는 공격자 역시 공격 대상 PC의 비밀번호가 필요하다. 이를 위해 공격자는 비밀번호를 알아내기 위해 가능한 모든 값을 무작위로 대입하는 방식인 무차별 대입 공격(Brute-Force Attack)을 주도 사용한다.   [그림 3] 원격 데스크톱 연결을 위한 인증 과정   이러한 과정을 통해 PC에 설치된 조로 랜섬웨어는 다양한 확장자를 가진 파일을 암호화하고, 확장자명 뒤에 오로라(.aurora)라는 확장자를 추가한다. 이를 통해 조로 랜섬웨어가 지난 5월 멀버타이징 기법을 통해 유포된 오로라(Aurora) 랜섬웨어의 변종임을 알 수 있다.   [그림 4] 암호화된 파일에 추가된 aurora 확장자   파일 암호화와 함께 PC의 바탕화면이 [그림 5]와 같이 변경된다. 파일이 암호화 되었다는 설명과 함께 3개의 텍스트 파일이 생성된다([그림 5]의 빨간색 표시 부분). 이들 텍스트 파일은 모두 랜섬 노트로, [그림 1]과 같이 비트코인을 요구하는 내용을 담고 있다.   [그림 5] 랜섬웨어 감염 후 변경된 바탕 화면 및 생성된 텍스트 파일     V3 제품군에서는 조로 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Malware/Win32.Generic   이번에 확인된 조로 랜섬웨어는 대부분의 랜섬웨어와 달리 오픈된 포트, 즉 정상적인 경로를 통한 원격 데스크톱 연결을 악용해 감염되기 때문에 더 큰 피해가 우려된다. 원격 데스크톱 연결 기능은 가급적 내부 네트워크에서만 활용하고 외부 네트워크 연결은 지양하는 것이 바람직하다. 불가피하게 외부 네트워크와 연결해야 한다면 가상 사설망(VPN)을 이용하는 것이 방법이 될 수 있으며, 이때 비밀번호를 최대한 복잡하게 구성하여 외부인이 쉽게 유추할 수 없도록 해야한다.