참고: 이 블로그 포스트에서는 탈로스가 활발히 진행하고 있는 새로운 위협에 대한 연구에 대해 논의합니다. 이 정보는 예비 정보로서 수시로 업데이트될 수 있습니다.
<Nyetya에 대응하지 못하는 시스템의 스크린샷>
2016년 3월 미국 의료 시설들을 겨냥했던 SamSam 공격 이후, 탈로스(Talos)는 업데이트되지 않은 네트워크의 취약성을 이용하여 랜섬웨어가 확산될 것을 이미 공지한바 있습니다. 2017년 5월, 워너크라이(WannaCry) 랜섬웨어는 SMBv1의 취약점을 이용하여 전 세계에 심각한 영향을 미쳤습니다.
최근 새로운 멀웨어 변종이 등장했는데, 작년에 발생한 Petya 랜섬웨어와 유사한 변종이며, 분석가들에 따라 Petrwrap 또는 GoldenEye 등 다양한 이름으로 부르고 있지만 시스코 탈로스는 이 새로운 멀웨어 변종을 Nyetya로 규정 하였습니다.
현재 진행 중인 탈로스의 연구에 따르면 샘플이 EternalBlue, EternalRomance와 WMI, psEXE를 이용해 공격 받은 네트워크 안에서 확산(Lateral Movement)되는 것으로 확인되고 있습니다. 이런 행위는 WannaCry와 달리 외부 스캐닝 구성요소를 이용하는 것처럼 보이지 않습니다.
초기 감염 경로 식별은 갈수록 어려워지고 있고, 이메일을 이용한 감염에 대한 기존 보고는 아직 확인 된 바가 없습니다. 실제 관찰된 샘플의 행위나 기타 연구 결과 등을 근거로 볼 때, 일부 감염이 MeDoc이라고 하는 우크라이나의 세무 회계 패키지용 소프트웨어 업데이트 시스템과 관련이 있을 수도 있습니다.시스코 탈로스팀은 이 멀웨어의 초기 감염 경로에 대한 연구를 계속 진행 하고 있습니다.
2017년 4월, MS17-010을 부당 이용하려는 시도를 감지하는 스노트 룰(Snort Rules)이 공개되었습니다.
뿐만 아니라, 탈로스는 AMP에서 이 새로운 랜섬웨어 변종의 샘플을 찾아 블랙리스트도 작성했습니다.
멀웨어의기능
탈로스는 이 랜섬웨어 변종에 대한 연구를 통해 공격 받은 시스템들에 이름이 “Perfc.dat”라는 파일을 생성하고, 이 파일은시스템을 한 층 더 훼손할 수 있는 기능과 “#1”이라고 하는 이름 모를 내보내기 기능을 포함하고 있습니다.
이 라이브러리는 Windows API AdjustTokenPrivileges를 통해 현재 사용자에 대한 관리 권한(SeShutdowPrivilege 및 SeDebugPrivilege)을 얻으려고 시도합니다.
Nyetya가 그 시도를 성공하면 Windows 안에 있는 “PhysicalDrive 0”이라고 하는 디스크 드라이브의 마스터 부트 레코드(MBR)를 덮어씁니다.
이 멀웨어가 MBR 덮어쓰기에 성공하든 못하든 관계 없이, 다음에는 schatasks를 통해 예정된 작업을 진행해 감염 후 1시간 뒤에 시스템을 재부팅합니다.
이 멀웨어는 전파 프로세스의 일환으로, NetServerEnum을 통해 네트워크에서 볼 수 있는 모든 시스템을 열거한 다음 개방된 TCP 139 포트를 찾습니다.
이를 위해, 이 포트가 노출되어 공격에 취약한 장치들의 목록을 컴파일링합니다. 이 멀웨어는 일단 한 장치가 감염되면 네가지 메커니즘에 따라 전파됩니다.
- EternalBlue – 워너크라이가 이용하는 것과 동일한 익스플로잇.
- EternalRomance –쉐도우 브레이크스가 유출한 SMBv1 익스플로잇.
- Psexec – 정상적인 Windows 관리 툴.
- WMI – ‘Windows Management Instrumentation’의 약어로 정상적인 Windows 구성요소.
위 메커니즘을 이용해 다른 장치에서 perfc.dat의 설치 및 실행을 시도해 전파 시킵니다.
MS17-010을 적용하지 않은 시스템일 경우, EternalBlue 와 EternalRomance 익스플로잇을 이용해 시스템을 공격합니다.
이에 대한 내용은 WannaCry 보도 자료에 이미 수록한 바 있습니다.
현재 사용자의 Windows 토큰을 이용해 네트워크 연결 장치에 멀웨어를 설치할 때에는 Psexec을 이용해서 다음과 같은 명령(여기서, w.x.y.z는 IP 주소)을 실행합니다.
탈로스는 여전히 시스템에서 “현재 사용자의 Windows 토큰”을 불러오는 방법을 조사하고 있습니다.
위와 동일한 기능을 수행하는 아래의 명령을 실행할 때에는 WMI를 이용하지만 현재 사용자의 사용자 이름과 암호를 사용합니다.
탈로스는 여전히 이 시점에서 시스템 자격증명을 불러오는 방법을 조사하고 있습니다.
일단 이 멀웨어가 시스템 공격에 성공하면 2048비트 RSA 암호화를 이용해 호스트 상의 모든 파일을 암호화합니다.
뿐만 아니라, 이 멀웨어는 아래의 명령을 이용해 공격 당한 장치에서 이벤트 로그를 삭제합니다.
적용 범위
시스코 고객들은 아래의 제품과 서비스를 통해 Nyetya를 차단합니다.
AMP(Advanced Malware Protection)는 이와 같은 위협 행위자들이 이용하는 멀웨어의 실행을 차단하는 데 적합합니다.
NGFW, NGIPS, Meraki MX와 같은 Network Security 어플라이언스는 이런 위협과 연계된 악의적 활동을 탐지할 수 있습니다.
AMP Threat Grid는 악성 바이너리를 식별하고 모든 Cisco 보안 제품에 보호 기능을 구축하는 데 효과적입니다.
아직까지, 이메일과 웹은 공격자 벡터로 확인된 적이 없습니다. 또, 아직까지 이 멀웨어와 관련된 C2 요소들은 밝혀진 것이 없습니다.
Open Source Snort Subscriber Rule Set 고객들은 Snort.org에서최신룰팩을구매해다운로드함으로써최신상태를유지할수있습니다.
NGIPS / 스노트 룰(Snort Rules)
아래의 NGIPS/스노트 룰(Snort Rules)은 각각 해당하는 위협을 감지합니다.
• 42944 – OS-WINDOWS Microsoft Windows SMB 원격코드실행시도
• 42340 – OS-WINDOWS Microsoft Windows SMB 익명세션 IPC 공유액세스시도
아래의 NGIPS / 스노트룰(Snort Rules)은감염트래픽의 indicator이기도합니다.
• 5718 – OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS 시도
• 1917 – INDICATOR-SCAN UPnP 서비스검색시도
• 42231 – FILE-OFFICE RTF url moniker COM 파일다운로드시도
• 5730 – OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS 시도
Threat Grid
Threat Grid는 Nyetya와관련된악성 멀웨어샘플을감지할수있습니다.
IOCs (Indicators of Compromise, 침해지표)
AMP 적용범위
• W32.Ransomware.Nyetya.Talos
SHA256
•027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
이번 포스팅은 시스코 탈로스 팀에서 작성한 New Ransomware Variant “Nyetya” Compromises Systems Worldwide를 바탕으로 준비되었습니다.