얼마전 WannaCry Ransomware로 인해 전세계의 많은 서버들이 공격을 받았습니다.
그리고 WannaCry Ransomware의 공포가 가시기도 전에 Petya Ransomware가 등장했습니다.
이번 포스팅은 Petya Ransomware에 대한 포스팅 입니다.

 

RansomwareWannaCry Ransomware 공격에 사용된 것과 같이 동일한

SMB(Server Message Block)취약점으로, 이번 4월에 NSA에서 유출 된 악용 사례 중 하나인

Eternal Blue가 제공한 것으로 보입니다.


처음 시스템이 감염이 되면 깜빡이는 두개골을 표시하고 다음과 같은 잠금 화면이 표시됩니다.

 

 

Ransomware의 경우 전세계적으로 우크라이나 정부, 은행 그리고 전력망 등이 가장 큰 타격을

받았고, 프랑스, 덴마크, 피츠버그, 펜실베니아 등도 공격 받았다고 보고되었습니다.
특히, 감염될 경우 MFT(Master File Table)영역에 대한 암호화 뿐만 아니라 MBR(Master Boot Record)영역을 감염시켜서 시스템 자체를 먹통으로 만듭니다.

 

이번에 유포되고 있는 Petya Ransomware는 WannaCry와 거의 동일하게 네트워크 웜의 기능이

추가 된 것으로 보여지고 있습니다.

 

Petya Ransomware의 전파 경로는 주로 세가지 방식으로 확산되는데, 방식은 다음과 같습니다.

 

- CVE-2017-0199(Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API) : 이메일을 통해 전파되는 클라이언트 기반 벡터(주로 첨부파일 – 초기에 확인된 첨부파일 이름은 Order-20062017.doc)

 

- 멀웨어가 실행된 다음에는, 감염된 컴퓨터가 MS HTA 파일인 200.16.242/myguy.xls연결을 시도하며, 그 결과 French-cooking[.]com에 연결되어 또 다른 실행파일(myguy.exe, saved)을 로컬 시스템에 .exe 라는 이름으로 다운로드합니다.

 

- 감염된 다음에는 RansomwareMS017-010 (Windows SMB Remote Code Execution Vulnerability)을 이용한 두번째 벡터 사용을 시도합니다.
네트워크 기반 벡터로 내부 네트워크에 확산되는 EternalBlue Exploit이며, 최근 WannaCry Ransomware가 사용한 취약점과 동일합니다.

 

- Petya RansomwareWindows WMI(Microsoft Windows Management Interface)를 활용하여
관리자 권한으로 내부 네트워크를 통해 확산되는 것으로 보입니다.

 

위에서 이미 언급했지만 배포 방식은 SMBv1 프로토콜의 EternalBlue 취약점을 이용한 원격 접속 및 감염 방식이며, 주요 탐지명은 Microsoft의 경우 Ransom:Win32/Petya로 탐지됩니다.

 

이러한 Ransomware에 대한 피해를 최소화 할 수 있는 방안으로는 다음과 같습니다.
- 윈도우 보안 업데이트를 최신버전으로 유지합니다.
- 중요한 파일과 데이터는 따로 정기적으로 백업합니다.
- 이메일 등에 포함된 출처를 알 수 없는 첨부파일을 실행하지 않습니다.
- 백신 프로그램의 경우 항상 최신 버전으로 유지합니다.

 

오늘은 Petya Ransomware에 대한 포스팅을 하였습니다.
다음에도 유익한 자료 올릴 수 있도록 하겠습니다.
감사합니다.




Posted by 로버무트

댓글을 달아 주세요