IT 이야기/보안 이슈

랜섬웨어 'CERBER' 새로운 기능 비트코인 절취주의 - 일본서버호스팅 제이피서버

KDSVPN 2017. 9. 21. 14:38
반응형

 

 

 일본서버호스팅

 

 일본서버호스팅

 일본서버호스팅

랜섬웨어 'CERBER'는 계속해서 새로운 기능을 추가하는 랜섬웨어 제품군으로 알려져 있습니다.

2017년 5월 기사에서는 버전 1에서 6으로 새로운 기술을 도입하면서 업데이트를 반복하는 CERBER의

변천을 설명했습니다.  일본서버호스팅

그리고 몇달 후 현재 CERBER는 다시 업데이트된 것 같습니다.  일본서버호스팅

이번 업데이트에는 가상통화 절취 기능이 추가되어 있습니다.  일본서버호스팅

공격자는 사이트에 대한 몸값과는 별도로 비트코인도 절취하는 일석이조의 효과를 노릴 수 있습니다.

 일본서버호스팅

감염 경로는 기존의 CERBER과 마찬가지로 이메일의 첨부 파일입니다.

"JS_NEMUCOD.SMGF2B"로 감지되는 JavaScript 첨부파일로 침입해, "RANSOM_HPCERBER.SMALY5A"로

감지되는 CERBER의 변종으로 다운로드됩니다. 일본서버호스팅

이 변종의 움직임은 2017년 5월에 확인된 버전과 거의 동일하지만, 비트코인 지갑을 노린다는 새로운 기능이

추가되어 있습니다. 일본서버호스팅

 일본서버호스팅

공격 기술은 비교적 단순하고 공식 지갑 'Bitcoin Core', 타사 지갑 'Electrum' 및 'Multbit' 이러한 3개의

소프트웨어 파일을 노립니다.  일본서버호스팅

그리고 각각의 소프트웨어에 관련된 다음 파일을 절취합니다.

 일본서버호스팅

     일본서버호스팅
  • “wallet.dat” (Bitcoin Core)
  • “*.wallet” (Multibit)
  • “electrum.dat” (Electrum)

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 

 

<첨부파일로 침입하는 'CERBER'>

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

그러나 위의 파일을 절취해도, 그것만으로는 지갑에 저장된 비트코인을 절취할 수 없습니다.

공격자는 지갑의 보호 암호를 알아내야 비트코인을 절취할 수 있습니다.

또한 Electrum는 2013년 후반부터 'electrum.dat' 는 사용되지 않습니다.

 일본서버호스팅

따라서 새로운 CERBER 변종은 지갑의 파일을 절취할 뿐만 아니라 IE (Internet Explorer), Google Chrome,

Mozilla Firefox에 저장되어 있는 암호도 수집합니다.

이러한 정보 수집은 파일의 암호화 전에 실행되는 것도 중요한 포인트입니다.

수집된 지갑 및 암호는 명령 및 제어 (C&C) 서버를 통해 공격자에게 전송됩니다.

지갑 파일이 C&C 서버로 전송되면 감염된 PC에서 지갑 파일이 삭제됩니다.

이로 인해 사용자의 피해는 더욱 심각해집니다.

 일본서버호스팅

공격자는 이 새로운 기능의 추가에서 알 수 있듯이, 랜섬웨어의 새로운 수익 방법을 시도하고 있습니다.

사용자의 비트 코인까지 노림으로써 잠재적인 수익 확대를 기대하고 있는 것으로 생각됩니다.

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

 

 일본서버호스팅

 일본서버호스팅

■ 트렌드 마이크로의 대책

 일본서버호스팅
스팸메일을 이용하는 CERBER의 감염 경로는 이전과 변함이 없습니다. 

따라서 지금까지 권장되는 감염방지 사례는 계속 유효합니다.

알수없는 발신자 이메일의 첨부 파일을 열지 않도록 주의하면 감염 위험을 줄일 수 있습니다.

시스템 관리자는 악성 첨부 파일을 필터링하는 이메일 방지 정책도 검토해야 합니다.

 일본서버호스팅

또한 엔드 포인트 제품은 악성 파일과 스팸을 탐지하고 모든 관련 악성 URL을 차단함으로써 이러한

위협으로부터 기업과 개인 사용자를 보호합니다.

메일 탐지 및 차단 제품 'Deep Discovery Email Inspector'는 CERBER 공격에 이용되는 악성 파일이 첨부된

스팸파일을 탐지하고 차단할 수 있는 고급 악성프로그램 탐지 엔진을 갖추고 있습니다.

 일본서버호스팅

'바이러스 버스터™ 기업판 XG'는 크로스 제너레이션 (XGen) 보안 방식에 의해, 글로벌 위협 인텔리전스를

기반으로 다양한 고급 보안 기술 외에도 차세대 AI 기술의 하나인 첨단 기계 학습형 검색을 활용해,

실행 전,후 모두 지원하는 독특한 접근 방식으로 알수없는 파일이 위협되는지 여부를 판별합니다.

 일본서버호스팅

 일본서버호스팅

침입의 흔적 (Indicators of Compromise, IoCs)
이번 사례에 대한 참고사항 (SHA256)은 다음과 같습니다.

  • 6c9f7b72c39ae7d11f12dd5dc3fb70eb6c2263eaefea1ff06aa88945875daf27
    「RANSOM_HPCERBER.SMALY5A」로 검출
       일본서버호스팅
       일본서버호스팅

     일본서버호스팅

     일본서버호스팅

    반응형
    저작자표시