01. 서론

사용자PC에 저장되어 있는 파일(그림, 음악, 기타 문서자료 등)을 암호화하여 비트코인과 같은 금전을 요구하는 공격 방법인 랜섬웨어(Ransomware)인 Crypt0L0cker가 발견된 이후로 사용자에게 음성으로 감염 사실을 알려주는 랜섬웨어 등 최근까지도 새로운 공격 유형의 랜섬웨어가 지속적으로 발견되어왔다.

랜섬웨어 공격자들은 피해자들의 개인PC나 서버를 감염시키기 위해 다양한 방법으로 공격을 시도하고 있다. 홈페이지나 이메일에 첨부된 신뢰되지 않은 파일 다운로드 및 실행으로 인한 감염, 드라이브 바이 다운로드(Driver-by Download)를 통한 감염 등이 존재하며 최근에는 과거 알려진 취약점(Known Vulnerability)을 이용한 공격 사례도 발견되고 있다.

최근 보안 업체인 리스크센서(RiskSense)가 발표한 보고서(Ransomware - Through the Lens of Threat and Vulnerability Management)에 따르면 2019년에 발견된 19개 종의 랜섬웨어가 57개의 취약점들을 악용하였으며 2020년에는 125개 종의 랜섬웨어가 223개의 취약점을 악용한 것으로 통계하였다. 

[그림 1] 다양한 취약점을 이용한 랜섬웨어 공격(출처:RskSense –” Ransomware - Through the Lens of Threat and Vulnerability Management”

사용된 223개의 취약점들은 2020년에 발견된 10개의 취약점을 제외한 나머지는 2007년 발견된 취약점부터 2019년까지 발견된 취약점들을 사용하고 있었으며, 단순히 감염 대상을 찾기 위한 스캔성 취약점부터 원격에서 로그인하지 않고 코드를 실행할 수 있는 취약점까지 다양한 취약점이 랜섬웨어 공격에 사용되고 있다. 이를 보면 공격자들은 사용자들에게 피해를 주기 위해 다양한 방법의 취약점을 악용하여 공격을 시도한 것으로 추측할 수 있다. 

이처럼 최근까지도 발견된 랜섬웨어들이 사용자PC를 감염시키기 위한 다양한 방법 중에서도 가장 많이 사용된 취약점들은 다음과 같다. 오픈 소스 웹 플랫폼의 취약점과 JAVA나 Adobe Flash Player 취약점, 그리고 SMB 취약점이 랜섬웨어 공격에 사용되고 있으며 이 밖에도 알려진 수 많은 취약점들을 악용하는 등 지속적으로 취약점들을 이용한 공격이 발생하고 있다.

이번 호에서는 랜섬웨어 공격자들이 사용자의 PC를 감염시키기 위하여 주로 사용되는 공격방법 중에 Adobe Flash Player 취약점과 SMB 취약점에 대해 살펴보고자 한다.

[표 1] 랜섬웨어 공격에 사용된 취약점 Top 10(출처:RiskSense)

02. Adobe Flash Player Vulnerability

[그림 2] Adobe Flash Player vulnerabilities(출처:CVE Details)

Adobe Flash Player는 1996년 처음으로 소개되었으며 벡터 기반의 웹 사이트를 제작할 수 있는 웹 제작 도구이자 소프트웨어 플랫폼이다. 이 도구를 통해서 다양한 브라우저에서 동영상, GIF 파일 등을 재생할 수 있었지만 사이버 공격자들의 공격 창구로 악용되어 지속적으로 보안 취약점이 발견되었다.

 그 중 대표적인 Adobe Flash Player 취약점을 악용한 랜섬웨어 공격 방식은 다음과 같다.

[그림 3] Adobe Flash Player 취약점을 악용한 공격 시나리오

공격자는 불특정 다수의 PC를 감염시키기 위한 수단으로 사용자가 손쉽게 접할 수 있고 웹 브라우저 어디서든 사용 가능한 소프트웨어 플랫폼인 Adobe Flash Player 취약점을 악용한 공격 방법이다.

사용자들은 홈페이지를 방문하였을 때 해당 홈페이지의 정상유무를 육안으로 확인할 수 있는 방법이 없을 것이다. 이 때 홈페이지 안에 삽입된 SWF가 자동으로 실행됨으로써 사용자가 브라우저를 종료하기 전까지 악성 스크립트로 인하여 PC 내부의 파일들이 암호화가 진행된다.

[그림 4] 홈페이지 방문으로 자동으로 실행되는 악성SWF 파일(출처: It Chosun)

이렇게 Adobe Flash Player 취약점을 통해서 랜섬웨어 감염이 이루어졌다면 시스템 로그를 통해서는 감염에 사용된 파일이나 로그를 찾을 수가 없다. 로컬이나 원격접속을 통해 시스템에서 직접 악성파일을 실행하지 않았기 때문에 흔적이 남지 않기 때문이다.

이를 확인하기 위해서는 사용자가 사용한 웹 브라우저에서 Cache, History, Cookie, Download 파일 정보를 종합 분석하여 사용자가 사이트에 직접 접속하였거나 링크를 통해 사용자 모르게 방문한 사이트에서 악성 SWF 파일이 실행한 흔적을 찾을 수 있다. 

1) Cache

Cache 파일은 사용자가 방문한 페이지의 데이터를 다운받아 저장하고 있으며 URL 정보, 이미지 파일, XML파일, SWF 파일. JS 파일 등 웹 사이트에서 열람한 문서들의 정보를 담고 있다. 해당 파일에서는 시간 흐름 상 홈페이지에서 열람한 특이한 파일이 있는지 확인해야 한다.

[그림 5] Cache 파일에 저장되어 있는 정보

2) History

History 파일은 사용자가 URL 입력 창에 직접 주소를 입력하거나 링크를 통해 방문한 웹 사이트의 접속 정보(방문 시간, 횟수, URL정보 등)를 확인할 수 있다. 해당 파일에서도 마찬가지로 시간 흐름 상 특이한 홈페이지 방문 기록 및 링크 연결된 기록이 있는지 확인해야 한다.

[그림 6] History 파일에 저장되어 있는 정보

3) Download

Download 파일은 사용자가 직접 선택해서 자신의 컴퓨터로 다운로드 받은 파일에 대한 정보(저장 경로, 시간, 크기 등)을 확인할 수 있다. 사용자가 직접 다운로드 받지 않은 파일이 있는지 확인해야 한다.

[그림 7] Download 파일에 저장되어 있는 정보

4) Cookie

Cookie 파일은 웹 사이트를 이용한 사용자에 관한 데이터로 사용자가 접속한 홈페이지, 마지막 접속 시간 등의 정보를 확인할 수 있다.

[그림 8] Cookie 파일에 저장되어 있는 정보

03. SMB(Server Message Block) Vulnerability

[그림 9] Server Message Blocak (출처:BinaryEdge - Science and Technology)

SMB(Server Message Block)는 윈도우 시스템이 다른 시스템의 디스크나 프린터와 같은 자원을 공유할 수 있도록 하기 위해 개발된 프로토콜로 일반적으로 공유폴더라고 불려지는 서비스이다. 윈도우 사용자들은 파일을 주고받기 위해 별도의 소프트웨어 설치 없이 운영체제에서 자체적으로 구성할 수 있는 SMB 서비스를 이용하게 된다. 

2017년도에 발표된 SMB 원격코드실행 취약점(MS17-010, 17.3.14 패치발표)을 악용한 랜섬웨어인 WannaCry가 발견된 이후로 랜섬웨어들은 공통적으로 내부 감염전파를 위해 SMB 취약점을 악용하고 있다.

이러한 공격 예시로 SMB 취약점을 이용한 공격 시나리오는 다음과 같다. 

[그림 10] SMB 취약점을 악용한 공격 시나리오

공격자는 알려진 취약점이나 Drive-by Download와 같은 공격으로 내부에 있는 사용자 PC를 감염시켰을 경우에 SMB 취약점을 이용한 감염 전파가 시작된다. 1차로 감염된 PC에서 동작 중인 랜섬웨어는 내부 IP 대역을 랜덤하게 스캔하여 취약한 SMB 프로토콜이 실행되고 있는 PC들을 확인할 수 있고 해당 PC들이 2차, 3차 감염대상으로 발생하면서 지속적으로 내부 PC들을 감염시켜 나가는 공격 방법이다. 

취약한 SMB 프로토콜을 스캔하여 취약한 SMB 보안 취약점을 악용하는 방법 이 외에도 감염된 PC과 연결이 가능한 PC들에 존재하는 공유폴더에 접근하여 랜섬웨어를 감염시키는 방법이 존재한다. SMB 취약점(MS17-010)을 악용하여 랜섬웨어를 감염시키는 방법은 시스템 로그로 확인할 수 없지만 공유폴더에 접근하여 감염시키는 방법은 시스템 로그로 확인이 가능하다. 이런 흔적들은 윈도우 이벤트인 Security 로그에서 로그인 성공(Event ID : 4624), 실패(Event ID : 4625) 흔적을 확인할 수 있다. 

[그림 11] Windows Event Log (Security - Event ID: 4624)

또한 해당 이벤트 값에는 로그인 유형(Logon Type)을 분석하면 네트워크를 통한 원격 로그인 이벤트인 “로그온 유형 3”의 로그를 활용하여 분석을 진행할 수 있다. 위 이벤트를 확인할 때는 평소 공유폴더에 접근하지 않은 대상이 접근하였거나 짧은 시간에 로그온 시도가 많은 대상을 확인할 수 있다.

[그림 12] Windows Event Log Detail Description

04. 마무리

지금까지 Adobe Flash Player 취약점과 SMB 취약점을 이용한 공격 시나리오와 이를 확인하기 위한 방법을 확인하였다. 최근까지도 많은 종류의 랜섬웨어들이 발견되고 있지만 공격에 사용되고 있는 취약점들과 이 후 다른 사용자들을 2차, 3차 감염시키기 위한 방법은 비슷한 형태를 보이고 있다. 

게다가 최근까지 브라우저에서 지원되고 있었던 Adobe Flash Player는 2020년 12월 31일 이후로 지원이 중단되어 이 후 발생하는 취약점들에 대하여 보안패치 지원이 제공되지 않는다. 랜섬웨어 공격자들은 보안패치가 더 이상 이루어지지 않은 소프트웨어와 손쉽게 내부로 전파가 쉬운 취약점을 중심으로 공격 창구로 이용하게 될 것이며 더욱 활발하게 공격 활동을 행할 것으로 예측되기 때문에 이를 방지하기 위해서는 지원이 종료된 프로그램은 사용하지 않거나 삭제하여 사이버 공격에 대한 피해를 방지해야 할 것이다.

1) Flash Player 제거 방법

① Adobe 사에서 제공되는 삭제 프로그램 다운로드 받아 실행 후 제거

[그림 13] Flash Player 삭제 프로그램(출처:Adobe - “Uninstall Flash Player”)

② 명령어 입력창(CMD)에 winver 입력하여 윈도우 버전 확인 후 Microsoft Update 카탈로그 페이지에서 해당하는 버전의 파일을 다운로드 후 제거 진행

[그림 14] 윈도우 업데이트를 통한 삭제(출처:Microsoft - “Microfost Update 카탈로그”)

2) SMB 취약점 대응 방법

① 프로그램 제거 → Windows 기능 켜기/끄기  → SMB 1.0/CIFS 파일 공유 지원 체크 해제

[그림 15] SMB 1.0/CIFS 파일 공유 지원 해제

② 정기적으로 Windows 보안 업데이트 진행

[그림 16] Windows Update

05. 참고자료

[1] Ransomware - Through the Lens of Threat and Vulnerability Management

https://f.hubspotusercontent20.net/hubfs/5840026/2021%20Ransomware%20Report/Spotlight_Ransomware2021_RiskSenseCSW.pdf

[2] 랜섬웨어 공격자들, SaaS와 원격 접근 도구들로 눈길을 돌렸다

https://www.boannews.com/media/view.asp?idx=94898&page=1&kind=1&fbclid=IwAR2bNmlLt7vlApFUnZZvRRN7TLPD0BpKplVnQmuMLmtZ9wspMa-418bdBgs

[3] CVE Datails – Adobe Flash Player

https://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6761/Adobe-Flash-Player.html

[4] [2021 사이버 보안 전망③] 진화하는 랜섬웨어 

http://www.datanet.co.kr/news/articleView.html?idxno=156072&fbclid=IwAR1lX5aP0BGV45X0qrWbpVflBYiIytq22bcHSDSsmSw-Sy_fFwU-dNDypBM

[5] 윈도우 SMB 프로토콜에서 발견된 취약점, SM블리드

https://www.boannews.com/media/view.asp?idx=88897

[6] "추억의 플래시, 이제는 보안구멍"…삭제 안하면 악성코드 통로

https://www.news1.kr/articles/?4171061