최근에 발견된 웜 EternalRocks에는 킬 스위치가 없으며 전염성이 매우 높습니다. NSA의 유출된 도구를 악용하고 랜섬웨어, 뱅킹 트로이 목마 또는 RAT로 빠르게 무기화할 수 있습니다.
지난 10일 동안 WannaCry에 의해 전 세계적으로 대혼란을 일으킨 다수의 랜섬웨어 공격 이후, 보안 연구원 Miroslav Stampar는 새로운 맬웨어 변종인 "EternalRocks"를 식별했습니다. 수요일에 감염되었을 때 Windows 7 허니팟의 샘플에서 발견했습니다.
원래 이름은 "MicroBotMassiveNet"이고 Stampar는 "DoomsDayWorm"이라고 명명했습니다. EternalRocks는 Taskhost 속성 아래에 제품 이름으로 표시됩니다.
EternalRocks는 WannaCry가 공격에 사용하는 EternalBlue를 포함하여 유출된 모든 SMB 익스플로잇을 사용하여 확산됩니다. EternalRocks는 EternalBlue를 사용할 뿐만 아니라 EternalChampion, EternalRomance, EternalSynergy는 물론 ArchiTouch, SMBTouch 및 DoublePulsar 커널 익스플로잇도 사용합니다.
EternalRocks는 자체 복제 멀웨어이며 WannaCry보다 훨씬 더 많은 위협을 포함하고 더 흉악합니다. 여러 SMB(Server Message Block) 취약점을 통해 확산되며 EtnernalBlue로 알려진 NSA 도구를 사용하여 Windows를 통해 한 컴퓨터에서 다음 컴퓨터로 확산됩니다.
EternalRocks에 대해 알아야 할 몇 가지 중요한 사항:
- 현재 형태에서 'EternalRocks'는 파일을 잠그거나 손상시키지 않으며 감염된 시스템을 사용하여 봇넷을 구축하지 않습니다. 그러나 감염된 컴퓨터는 언제든지 감염을 '무화'할 수 있는 원격 명령에 취약합니다.
- 'EternalRocks'는 허점이나 킬 스위치가 없기 때문에 WannaCry보다 강력합니다. 이러한 허점으로 인해 WannaCry 랜섬웨어가 느려지고 우회되었습니다.
- 'EternalRocks는 컴퓨터를 감염시킨 후 24시간 동안 아무 작업도 하지 않으므로 탐지하기가 더 어렵습니다. 24시간 동안 2단계로 퍼집니다.
허니팟이란 무엇인가요?
허니팟 정보 시스템의 무단 사용을 시도하는 해커를 유인, 감지 및 차단하기 위한 함정 역할을 하도록 설정된 컴퓨터 보안 메커니즘입니다. 사이버 공격자를 의도적으로 참여시키고 속임으로써 인터넷을 통해 수행되는 악의적인 활동을 식별합니다.
방법 이터널록 다음과 다름 워너크라이?
EternalRocks는 Windows 지원 시스템을 감염시키기 위해 동일한 경로와 약점을 사용하지만 NSA에서 유출된 WannaCry에 비해 7개의 해킹 도구를 모두 사용하는 것으로 추정되므로 훨씬 더 위험하다고 합니다.
단 두 개의 NSA 도구를 사용하는 WannaCry 멀웨어는 전 세계 150개 국가와 2,40,000대 이상의 시스템에 영향을 미쳐 재앙을 일으켰습니다. 따라서 우리는 EternalRocks가 7개의 NSA 도구를 사용하여 무엇을 할 수 있는지 상상할 수 있습니다.
"DoomsDayWorm"의 고유한 기능은 백도어를 사용하여 C&C 서버에서 추가 멀웨어를 다운로드하기 전에 24시간 동안 조용히 대기한다는 것입니다. 보안 블로거가 발견한 킬 스위치로 인해 확산이 중단된 WannaCry 랜섬웨어와는 다릅니다.
첫 번째 단계에서 EternalRocks는 TOR를 C&C(Command-and-Control) 통신 채널로 설치합니다. 24시간이 지난 후 C&C 서버가 shadowbrokers.zip으로 응답하면 두 번째 단계가 시작됩니다. 그런 다음 파일의 압축을 풀고 인터넷의 열린 445 SMB 포트에 대한 무작위 스캔을 시작합니다.
토르란 무엇인가요?
보이지 않는 눈을 감아주는 소프트웨어
TOR는 사용자가 익명으로 웹을 검색할 수 있게 해주는 소프트웨어입니다. TOR는 사용자 활동에 대한 정보를 숨기는 데 사용되는 어니언 라우팅이라는 기술을 사용하기 때문에 원래 어니언 라우터라고 불렸습니다. TOR는 식별과 라우팅을 분리하여 인터넷 활동을 추적하기 어렵게 만들고 IP 주소를 포함한 데이터를 암호화합니다.
C&C(Command-and-Control) 통신 채널이란 무엇인가요?
C&C 서버 또는 C2라고도 하는 명령 및 제어 서버는 공격자가 대상 네트워크 내에서 손상된 시스템과 통신을 유지하기 위해 사용하는 컴퓨터입니다.
EternalRocks에서 사용하는 ShadowBrokers가 유출한 7가지 NSA 도구:
EternalBlue — 네트워크에 접속하는 데 사용되는 SMB1 및 SMB2 익스플로잇
EternalRomance — Windows XP, Server 2003, Vista, Windows 7, Windows 8, Server 2008 및 Server 2008 R2를 대상으로 하는 원격 SMB1 네트워크 파일 서버 익스플로잇
EternalChampion - SMBv2 악용 도구
EternalSynergy — 잠재적으로 운영 체제에서 작동하는 SMB3에 대한 원격 코드 실행 악용
위의 4가지 도구는 취약한 Windows 컴퓨터를 손상시키기 위해 설계되었습니다.
SMBTouch — SMB 정찰 도구
ArchTouch — SMB 정찰 도구
위의 2가지 도구는 공용 네트워크에서 열린 SMB 포트를 검색하는 데 사용됩니다.
DoublePulsar — 랜섬웨어 설치에 사용
동일한 네트워크를 통해 한 컴퓨터에서 다른 컴퓨터로 웜을 전파하는 데 도움이 됩니다.
WannaCry 랜섬웨어는 EternalBlue 또는 백도어인 DoublePulsar 익스플로잇을 사용하는 유일한 멀웨어가 아닙니다. 에이 Adylkuzz로 알려진 암호화폐 채굴기가 감염된 시스템에서 가상 화폐를 주조하고 있습니다. 유사한 공격 벡터를 통해 확산되는 또 다른 멀웨어는 UIWIX로 알려져 있습니다.
좋은 점
EternalRock이 무기화되었다는 보고는 없습니다. 랜섬웨어와 같은 악성 페이로드가 보고되지 않습니다.
나쁜 부분
영향 SMB 패치가 나중에 적용되므로 EternalRocks 웜에 감염된 시스템은 DOUBLEPULSAR NSA 도구를 통해 원격으로 액세스할 수 있습니다. EternalRocks가 남긴 백도어 트로이 목마 DOUBLEPULSAR 설치는 항상 해커에게 문을 열어 둡니다.
이러한 공격으로부터 안전하려면 어떻게 해야 합니까?
공용 인터넷의 SMB 포트에 대한 외부 액세스 차단
- 모든 SMB 취약점 패치
- C&C 서버에 대한 액세스 차단 및 Torproject.org에 대한 액세스 차단
- 새로 추가된 예약 작업 모니터링
- Windows OS 업데이트
- 안티바이러스 설치 및 업데이트
- 의심스러운 링크와 시스템 사이의 장벽을 유지하기 위해 시스템 방화벽을 설치하거나 활성화합니다.
- 명백한 설정과 단순한 암호는 피하십시오. 알파벳과 숫자의 조합을 사용해 보세요. 대문자와 소문자를 조합하는 것도 안전한 방법입니다.
사용하지 마십시오. Windows의 불법 복제 버전이 있으면 시스템이 감염되기 쉽습니다. Windows OS 정품을 설치하여 사용하시는 것이 가장 좋습니다.