2020-08-14 09:35 (금)
새로운 SMB 웜 ‘이터널락’, NSA 해킹도구 7개 이용…강력한 무기될 수 있어
상태바
새로운 SMB 웜 ‘이터널락’, NSA 해킹도구 7개 이용…강력한 무기될 수 있어
  • 길민권 기자
  • 승인 2017.05.28 14:45
이 기사를 공유합니다

“SMB 포트 인터넷에 노출된 PC에 심각한 위협…즉시 무기화될 수 있어 대비해야”

E.jpg
새로운 SMB 웜 ‘EternalRocks’가 NSA 해킹도구 7개를 사용하는 것으로 분석됐으며 언제든 강력한 사이버무기로 발전할 수 있는 것으로 조사됐다. 시스템 관리자들의 신속한 SMB 관련 취약점 패치가 요구된다.

해외 보안연구원은 워너크라이 랜섬웨어 웜 구성요소는 NSA 해킹도구 2개를 사용한 반면 이번에 새롭게 발견된 SMB를 통해 전파되는 웜 ‘이터널락(EternalRocks)’는 해킹도구 7개를 사용하는 것으로 조사됐다고 밝혔다.

이 웜은 크로아티아 정부 CERT 회원에 의해 발견됐다. 그의 분석에 따르면, ‘이터널락’ 웜은 NSA 해킹도구를 사용해 온라인에 노툴된 SMB 포트가 있는 컴퓨터를 감염시킨다고 전하며 “△SMBTOUCH 및 △ARCHITOUCH는 SMB 정찰 작업에 사용되는 두 가지 NSA 도구이며, △ETERNALBLUE, △ETERNALCHAMPION, △ETERNALROMANCE 및 △ETERNALSYNERGY는 취약한 컴퓨터를 손상시키는 데 사용되는 SMB 공격이다. 또 웜이 감염되면 새로운 NSA 도구인 △DOUBLEPULSAR를 사용해 새로운 취약한 시스템으로 전파하고 있다”고 설명했다.

한편 워너크라이 랜섬웨어는 SMB 웜을 사용해 컴퓨터를 감염시키고 NSA 해킹도구중 △ETERNALBLUE과 △DOUBLEPULSAR를 사용해 전파작업을 실행했다. 하지만 연구원은 이터널락이 워너크라이 랜섬웨어보다 더 복잡하지만 덜 위험하다고 말한다.

이터널락은 감염된 호스트를 발판으로 토르 클라이언트를 다운로드하고 .onion 도메인 인 다크웹에있는 C&C 서버를 탐지한다. 사전 정의 된 시간(현재 24 시간) 후에 만 C&C 서버가 응답한다. 또 이터널락은 워너크라이가 사용했던 킬 스위치 도메인이 포함되어 있지 않다.

초기 휴면 기간이 만료되고 C&C 서버가 응답 한 후 이터널락은 설치 프로세스의 두 번째 단계로 진행하고 두 번째 단계 맬웨어 구성 요소를 ‘shadowbrokers.zip’이라는 아카이브 형태로 다운로드한다. 그런 다음 웜은 빠른 IP 검색 프로세스를 시작하고 임의의 IP 주소에 연결을 시도한다.

한편 연구원은 “이터널락이 취약성이 있는 SMB 포트가 인터넷에 노출된 컴퓨터에 심각한 위협이 될 수 있다. 이 웜은 즉시 무기화될 수 있다. 제작자가 이를 테스트하고 있는 중이며 언제든 본격적인 사이버무기로 활성화될 수 있다”고 경고했다.

이 웜에 감염된 컴퓨터는 C&C 서버 명령을 통해 제어할 수 있으며 웜 소유자는 이 숨겨진 통신 채널을 활용해 이전에 이너털락에 감염된 컴퓨터에 새로운 멀웨어를 보낼 수 있기 때문이다.

또한 백도어 기능이 있는 NSA ‘DOUBLEPULSAR’는 이터널락에 감염된 PC에서 계속 실행된다. 이 웜 작성자는 DOUBLEPULSAR를 보호하기 위한 어떠한 조치도 취하지 않았다. 즉, 다른 위협 요소가 이터널락에 감염된 시스템의 백도어로서 자신의 맬웨어를 PC에 보내어 사용할 수 있음을 의미한다.

시스템관리자는 취약한 PC에 SMB 패치를 적용해야 하고 SMBv1 프로토콜을 비활성화해 이터널락에 감염 될 수 있는 취약한 시스템의 수를 줄여나가야 한다. SMB 포트가 있는 컴퓨터를 대상으로 한 다양한 보안방안을 구축해야 하는 것이다. 웜 제작자들은 취약점 패치가 적용되기 전에 감염시키기 위해 빠르게 움직이고 있다. 감염 PC가 많이 모이면 언제든 강력한 사이버 공격 무기로 활용할 수 있기 때문에 지속적으로 노력하고 있다는 것을 알아야 한다.

★정보보안 대표 미디어 데일리시큐!★