> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“공격자가 직접 악성코드 설치하는 ‘소딘’ 랜섬웨어”
카스퍼스키랩 “취약한 서버 권한 획득해 공격자가 직접 소딘 랜섬웨어 설치…32비트 OS에서 64비트 코드 실행해 보안 탐지 무력화”
2019년 08월 19일 10:29:04 김선애 기자 iyamm@datanet.co.kr

[데이터넷] 윈도우 취약점과 정상 컴퓨터 프로세스를 이용해 보안 탐지를 지능적으로 우회하는 새로운 랜섬웨어 ‘소딘(Sodin)’이 발견됐다. 서비스형 랜섬웨어(RaaS)로 유포되는 이 공격은 여러 단계의 보안 탐지 우회 기능을 탑재하고 있을 뿐 아니라 악성코드 개발자가 직접 공격을 통제하는 기능도 포함하고 있다.

카스퍼스키랩에 따르면 소딘은 윈도우 제로데이 취약점을 악용해 감염된 시스템의 관리자 권한을 확보한 후 CPU 아키텍처를 교묘히 활용해 보안 탐지를 우회한다. 카스퍼스키랩은 소딘이 ‘천국의 문(Heaven’s Gate)’ 기법을 이용한다고 설명하는데, 악성 프로그램이 32비트 운영 체제에서 64비트 코드를 실행할 수 있다.

보통 랜섬웨어는 사용자가 악성코드를 다운받아 실행해야 한다. 소딘 공격자는 최신 제로데이 취약점(CVE-2018-8453)을 악용해 관리자 권한을 획득, 취약점이 있는 서버에 직접 악성코드를 심기도 했다.

소딘 악성코드 개발자가 악성코드에 백도어를 심어, 악성코드 구매자들도 모르게 파일을 복호화 할 수 있다. 개발자가 마스터키를 갖고 있는 셈으로, 공격자가 피해자로부터 돈을 받은 후 데이터를 복구할 때, 개발자가 마스터키로 조작해 데이터 복구가 불가능하게 만들 수 있고, 일부 유포자의 악성코드를 쓸모 없게 만들기도 한다.

   

▲소딘 랜섬웨어가 한국에서도 많은 피해를 일으키고 있다. 

소딘 랜섬웨어 공격은 아시아에 집중됐다. 공격의 17.6%가 대만, 9.8%가 홍콩, 8.8%가 대한민국에서 일어났다. 유럽, 북미, 남미 등지에서도 소딘 랜섬웨어가 관찰되었다. 랜섬웨어에 감염된 PC에는 2500달러에 상당하는 비트코인을 요구하는 메시지가 남아 있다.

이창훈 카스퍼스키코리아 지사장은 “CPU 아키텍처를 이용해 감시망을 피하는 것은 암호화 악성코드에서 흔히 볼 수 없는 방식이다. 이러한 악성코드를 제작하는 데에는 상당한 리소스가 투입되므로 앞으로 소딘 랜섬웨어가 사용한 수법을 활용한 공격이 늘어날 것으로 보인다. 이 악성코드 개발에 참여한 범죄자들은 꽤 높은 수익을 기대하고 있을 것”이라고 밝혔다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  카스퍼스키랩, 소딘, 지능형 랜섬웨어, 랜섬웨어, RaaS
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr