기업을 대상으로 하는 사이버 공격이 날이갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 국내 유명 배달 플랫폼 기업도 랜섬웨어 공격을 받아 수만개의 점포와 라이더들이 피해를 입었다.
과학기술정보통신부가 보도한 자료[1]에 따르면 <최근 3년간 국내 랜섬웨어 신고 현황>은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐를 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스 운영 재개를 해야하는 입장인 기업을 대상으로 공격이 증가하고 있는 것이다.

악성코드 기능에서도 기업 대상 공격이 증가하는 정황을 확인할 수 있다. 일반 개인 사용자와 기업을 확인하여 다른 기능이 동작되도록 하였다. 다수의 사용자가 있는 기업 특성상, 시스템이 AD(Active Directory) 환경으로 구성된 도메인에 속해 있는 경우가 대다수이다. 악성코드는 도메인 존재 여부를 기업 판단 기준으로 삼았다. 도메인에 가입된 시스템일 경우 계정 탈취와 내부 전파를 위해 해킹툴을 설치하거나 추가 악성코드를 다운로드 받는다. 악성코드는 기업 정보를 탈취하고 최종적으로는 랜섬웨어를 실행한다.
그동안 안랩이 분석하여 공개한 악성코드 중 기업을 타깃으로 한 악성코드로는 다음 사례가 있다. 참고로 백도어나 다운로더류 악성코드는 랜섬웨어를 직접적으로 생성 및 실행하는 것이 아닌, 해킹툴로 제어하기 위한 백도어을 추가 설치하고 기업 시스템을 장악한다. 이후 공격자는 해킹툴을 이용해 시스템에 랜섬웨어를 실행하게 된다. 현재까지 확인된 공격은 모두 코발트 스트라이크(Cobalt Strike) 해킹툴을 이용하였다.
- BazarLoader, BazarBackdoor
- Ryuk Ransomware
- Hancitor Downloader
- BlueCrab Downloader
- Snake Ransomware
- FlawedAmmyy Downloader
바자로더(BazarLoader)가 다운로드하는 바자백도어(BazarBackdoor)는 사용자 PC 정보 및 기업 환경 정보를 수집한다. 공격자와의 C&C 통신을 통해 전달되는 데이터 중에는 연결 도메인 명, 연결된 도메인 자원(컴퓨터 이름) 목록, 도메인 트러스트 목록, Administrators 그룹에 속한 멤버 목록, 도메인 관리자 계정 결과 등이 있다. 기업으로 확인 된 경우 다른 악성코드를 다운받는 다운로더 기능을 수행한다. 해외 감염 사례를 토대로 보았을 때 코발트 스트라이크(CobaltStrike) 이용해 류크(Ryuk) 랜섬웨어나 콘티(Conti) 랜섬웨어를 기업 시스템에서 실행한다. 상세 내용은 안랩 TIP 보고서에 공개되어 있다.[2]
류크(Ryuk) 랜섬웨어는 국내 모 기업에서도 피해가 있었던 랜섬웨어로, 기업의 도메인 컨트롤러를 탈취한 뒤 유포되었다. 랜섬웨어 자체에서도 내부 네트워크를 스캔하여 SMB 공유폴더에 접근하여 전파되는 기능이 있다. 상세 내용은 안랩 TIP 보고서에 공개되어 있다.[2]

한시터(Hancitor)는 스팸 메일 첨부 파일로 유포되는 다운로더로서, 추가 악성코드를 다운로드한다. 과거에는 정보 유출형 악성코드를 다운로드 하였지만, 최근에는 FickerStealer 정보유출형 악성코드를 다운로드한다. 이 때 시스템이 도메인에 속해있을 경우에는 다음과 같이 도메인 정보가 전달되고 FickerStealer 대신 코발트 스트라이크를 설치한다. 상세 내용은 안랩 TIP 보고서와 ASEC블로그에 공개되어 있다.[3]

블루크랩(BlueCrab) 랜섬웨어 유포 과정에서 도메인 환경변수를 통해 기업 여부를 확인하는 기능이 있다. 기업이 아니라면 블루크랩 랜섬웨어가 설치 및 실행되지만, 기업이라면 코발트 스트라이크 해킹툴이 설치된다. C&C 서버 접속 전에 사용자 시스템의 %USERDNSDOMAIN% 환경변수 존재 여부를 확인하는 것으로 검사한다. 상세 내용은 안랩 TIP 보고서와 ASEC블로그에 공개되어 있다.[4]

현재는 나타나지 않지만 2020년 6월 나타난 스네이크(Snake) 랜섬웨어는 IP 등 네트워크 쿼리를 통해 기업 여부를 확인하였다. 소수의 특정 기업만을 대상으로 한 특이한 케이스로, 당시 Honda 등이 표적 기업이었다. 상세 내용은 ASEC블로그에 공개되어 있다.[5]

아미(FlawedAmmyy) 백도어를 다운받은 악성코드는 기업 여부에 따라 기능 동작을 달리하는 대표적인 사례이다. ‘cmd.exe /c net user /domain’ 명령으로 확인된 결과에 따라 기업 여부를 확인한다. 일반적인 개인 사용자는 기본 설정 이름 WORKGROUP이 출력되지만, 기업은 도메인명이 출력된다. 이후 기능은 기업 조건에 해당되었을 때만 동작한다. 상세 내용은 안랩 TIP 보고서와 ASEC블로그에 공개되어 있다.[6]

위와 같은 기업 대상 공격은 대부분 사회공학기법을 이용한 이메일 첨부파일 또는 피싱 웹사이트로 시작된다. 실제 국내 기업 피해 사례도 대규모로 유포된 이메일로부터 시작되었다. 기업 내 직원 한 명이라도 악성 파일을 실행하게 되면 대형 사고로 이어질 수 있는 것이다. 개인 사용자의 주의 뿐만 아니라 기업 인프라 관점에서도 철저한 관리가 필요하다. 주요 계정 관리나 서버 보안, 접근 정책 제어 등 피해 사고를 예방하거나 위협을 경감시킬 수 있는 노력을 기울여야 한다.
[1] https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=112&pageIndex=&bbsSeqNo=94&nttSeqNo=3180261&searchOpt=ALL&searchTxt=
[2] BazarLoader(BazarBackdoor) 악성코드 분석 보고서
[3] 기업 AD 환경에서 CobaltStrike 해킹툴 설치하는 Hancitor 워드문서, https://asec.ahnlab.com/ko/22651/
[4] CobaltStrike를 유포하는 BlueCrab 랜섬웨어 분석보고서, https://asec.ahnlab.com/ko/19860/
[5] https://asec.ahnlab.com/ko/1335/
[6] CLOP 랜섬웨어 공격 보고서 기업 공격 사례를 중심으로, https://asec.ahnlab.com/ko/1208/
Categories:악성코드 정보