2024-03-19 19:15 (화)
합법적 웹사이트에 심어 놓은 갠드크랩 랜섬웨어...공격자들의 발 빠른 진화는 계속
상태바
합법적 웹사이트에 심어 놓은 갠드크랩 랜섬웨어...공격자들의 발 빠른 진화는 계속
  • 길민권 기자
  • 승인 2018.05.15 03:01
이 기사를 공유합니다

coding-1841550_640.jpg
갠드크랩(GandCrab) 랜섬웨어의 페이로드가 해킹 된 합법적인 사이트에 숨어있는 것이 발견되었다. 분석 결과, 해당 웹사이트는 업데이트 되지 않은 소프트웨어로 인한 취약점으로 가득했다.

이 캠페인을 분석하고 보고서를 발표한 연구원들은 “많은 중소기업들이 웹 프레임워크의 새로운 취약점에 대해 알지 못하며 알고 있더라도 소프트웨어를 제때 업데이트 할 수 있는 전문 기술과 시간이 부족하다”며 “하지만 공격자들은 이러한 취약점을 빠르게 악용하고 인터넷을 스캔해 타깃을 찾는다. 공격자가 스팸 캠페인을 위해 해킹 된 사이트들을 악용하는 것은 매우 효과적이다. 지속성을 유지할 필요가 없으며, 시스템을 포인팅할 수 있는 특정 위치로 파일을 복사해 대상을 감염시키는 것 이외에는 딱히 할 일이 많지 않을 정도로 공격이 쉽다”라고 밝혔다.

연구원들은 5월 첫 1주일 동안 거의 동일한 4건의 공격을 탐지했다. 인터넷 쇼핑 미끼를 사용한 이메일은 본문 텍스트와 ZIP 파일 또는 VBScript 파일이 첨부되어 있다. 이 파일을 오픈할 경우, 웹사이트로부터 갠드크랩 랜섬웨어를 받아오게 된다.

한편 연구원들은 이 악성코드가 악성 링크가 아닌 인도의 택배 회사, 약초로 만든 약품을 판매하는 워드프레스 사이트 등 합법적인 웹사이트에서 제공되고 있음을 발견했다.

인도의 해당 웹사이트를 분석한 결과, 문제는 웹사이트의 코드에 있었다. 디폴트 크리덴셜을 사용하고 있었으며, 다수의 MySQL 취약점이 발견되었다. 워드프레스 사이트에서는 1년 이상 지난 구버전 워드프레스 CMS를 사용하고 있었다. 이 사이트 둘 다 웹 프레임워크의 관리 페이지가 공개적으로 노출돼 있었다.

공격자들이 오래 된 소프트웨어를 사용하는 사이트를 악용하는 것은 매우 쉬운 방법이다. 이를 악용하면 도메인 등록, VPS 구매, 파일을 호스팅 하기 위한 웹서버 구성 등 악성 코드를 배포하는 데 드는 시간과 돈을 절약할 수 있다.

또한 웹사이트의 평판을 이용해 악성 사이트를 차단하는 기술들을 우회할 수도 있다.

갠드크랩은 RIG와 그랜드소프트(GrandSoft) 익스플로잇 키트, 이메일 스팸 등을 통해 배포되지만, GandCrab Affiliate Program을 통해서도 배포된다. 연구원들의 최근 연구에서는 이 프로그램에 참여하면 전체적인 기술 지원의 대가로 랜섬머니의 60~70퍼센트를 받을 수 있는 것으로 나타났다. 연구원들은 가장 큰 협력업체가 3월에만 700개의 서로 다른 샘플을 배포한 것을 발견했다.

연구원들은 “갠드크랩은 꾸준히 개발되고 있다. 제작자들은 공격적인 속도로 새로운 버전을 공개하고 있다”며 “이는 파일을 암호화 후 .CRAB 확장자를 붙이고 사용자의 백그라운드를 변경하며 통신을 위해 토르를 사용하는 등 전형적인 랜섬웨어 작업을 수행한다”고 밝혔다.

예를 들면, 이 악성코드는 무료 복호화 툴이 개발 되자 이에 빠르게 대처했다. 지난 2월 비트디펜더와 유로폴 그리고 루마니아 경찰이 이 악성코드의 인프라를 해킹해 피해자들이 무료로 파일을 복호화할 수 있는 툴을 개발해냈다.

하지만 제작자들은 단 한달 만에 복호화 툴을 만들 수 있었던 프로그램의 취약점을 수정한 새 버전을 내놓을 정도다.

악성코드의 트렌드가 가상화폐 마이닝으로 바뀌어가고 있는 추세이지만, 랜섬웨어 분야는 여전히 수 십억 달러를 벌어들이고 있다. 합법적인 사이트를 사용해 페이로드를 숨기는 등의 기술을 사용할 경우 돈을 벌어들이는 작업은 더욱 쉬워질 것이다.

연구원들은 “갠드크랩과 같은 위협은 계속해서 나타날 것이다. 수 천 개의 취약점을 가진 플랫폼들을 아직까지 사용하는 웹 페이지들이 수백만 개나 있다. 이러한 페이지들 중 대부분은 규모가 작은 조직이 만들어 관리하고 있기 때문에 이들은 공개되고 있는 취약점에 대한 지식이나 대처 방법을 모를 가능성이 높다. 따라서 이는 당분간 계속해서 문제가 될 것이다. 공격자들이 합법적인 웹사이트에 악성코드를 숨길 수 있는 한, 웹사이트의 평판은 더 이상 믿을 수 없게 될 것이다”라고 밝혔다. (보안정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★