국내 기업 정보 탈취와 랜섬웨어 감염을 동시에 유발하는 클롭(CLOP) 랜섬웨어가 파일 형태를 지속적으로 변경하는 가운데 HTML 파일로 위장한 형태가 증가하고 있다. 이메일에 첨부된 HTML 파일을 클릭할 때 각별한 주의가 필요하다.

더불어 최근에는 클롭 랜섬웨어의 변종이 잇따라 발견됨에 따라 기업 보안 담당자들의 주의가 필요하다.

클롭 랜섬웨어 공격자는 올해 초부터 특정 기관을 사칭해 악성 실행 파일(.exe), 워드(.doc)나 엑셀(.xls) 파일 등을 첨부한 악성 메일을 기업 이메일 계정으로 유포하며 감염을 시도했다.

(사진=안랩)
(사진=안랩)

5월말 경부터는 국세청 등을 사칭해 HTML(스크립트)파일로 첨부파일을 바꾸는 등 지속적으로 기업 대상 감염을 시도하고 있다.

특히 클롭 랜섬웨어는 개인 사용자를 타깃으로 하는 일반 랜섬웨어와 달리 클롭 랜섬웨어 공격자는 특정 해킹툴을 이용해 기업 시스템(기업의 PC 및 서버)의 장악을 먼저 시도한다.

안랩의 분석결과 클롭 랜섬웨어는 ‘Ammyy 해킹툴’로 먼저 타깃 시스템에 침투한 뒤 유포된다. 이 과정에서 ‘Ammyy 해킹툴’은 감염 시스템이 기업에서 자원관리 목적으로 사용하는 ‘액티브디렉토리(AD)서버’에 연결된 시스템인지 여부를 확인한다.

해당 조건(AD서버 연결)이 충족되면 ‘Ammyy 해킹툴’은 시스템에 잠복하며 내부 전파 과정을 거쳐 최종적으로 AD서버의 관리자 권한을 탈취한다.

HTML 첨부 파일을 이용한 클롭 랜섬웨어
HTML 첨부 파일을 이용한 클롭 랜섬웨어

액티브디렉토리(AD)서버는 사용자, 사용자 그룹, 네트워크 등 다수 시스템과 연결되어 해당 자원을 효율적으로 통합 관리할 수 있는 AD(액티브 디렉토리)서비스를 제공하는 서버다. 해당 계정이 탈취될 경우 공격자가 내부 시스템을 장악할 수 있는 권한을 가질 수 있다.

이후 공격자는 권한을 탈취한 AD서버에 연결된 PC나 서버를 클롭 랜섬웨어에 감염시킨다. AD서버 권한 탈취 후에는 연결된 기업 내 PC 및 서버를 원격으로 제어해 정보 유출도 가능하기 때문에 기업 내 주요 정보유출에 대한 각별한 주의가 필요하다.

클롭 랜섬웨어에 의한 피해를 예방하기 위해서 기업 보안 담당자는 다음의 보안수칙을 실행해야 한다.

클롭 랜섬웨어의 HTML 유포 방식 변화
클롭 랜섬웨어의 HTML 유포 방식 변화

◇ V3 제품의 랜섬웨어 대응 기능 활성화

1. V3 엔진을 항상 최신 버전으로 유지 및 주기적인 정밀 검사 실시

2. 실시간 감시 기능 활성화(On)

3. ‘네트워크 침입 차단’ 기능 활성화(On) - SMB 취약점 패킷 차단 룰이 적용되어 있음

4. ‘유해 사이트 차단’ 기능 활성화(On) - 피싱 사이트, 악성 사이트, 불필요한 사이트 등에 대한 접근 차단

5. ‘행위 기반 진단’ 기능 활성화(On) - 디코이(Decoy) 기술을 이용한 랜섬웨어 진단

6. ‘랜섬웨어 보안 폴더’ 기능 이용 - 사용자가 허용한 프로세스 외에는 해당 폴더 내 파일에 대한 쓰기/수정 등 불가

◇안랩 MDS 제품을 활용한 랜섬웨어 대응

7. 안랩 MDS(MTA)의 ‘악성 이메일 자동 격리’ 기능 활성화 - 스피어 피싱 등 악성 메일 차단

- 관련 기능 설정

① 관리>탐지/대응>대응 기본 설정 > 악성 메일 탐지 시 위험도별 ‘메일 차단’ 설정

② 실행 파일, 문서 파일 외에 html, htm 등의 첨부 파일에 대한 동적 분석을 위해 추가 옵션 활성화 - CLI를 이용해 관련 옵션 활성화 가능

8. 안랩 MDS 에이전트(Agent)의 ‘실행 보류(Execution Holding)’ 기능 활성화 - 랜섬웨어 악성 파일 실행 방지 가능

- 관련 기능 설정

① 관리 > 탐지/대응 > 대응 기본 설정 > '자동 대응' 항목에서 ‘악성 파일 탐지 시’ 위험도별 ‘파일 삭제’ 항목 설정

② 관리 > 에이전트 > 에이전트 정책 > ‘정책 수정’을 통한 ‘파일 실행 보류’설정

HTML 문서에 한글로 타이틀을 작성한 클롭 랜섬웨어
HTML 문서에 한글로 타이틀을 작성한 클롭 랜섬웨어

◇ 공유폴더 조치

9. ‘ADMIN$’ 공유폴더를 비롯한 관리 목적의 공유폴더 사용을 지양할 것을 권장함

- 불가피하게 공유폴더를 사용해야 할 경우, 각별한 주의 요망

◇ AD/계정관리

10. AD(Active Directory) 환경의 관리자 계정 보호 및 운영 방안을 참고하여 기술적 보호 대책 마련 권고

- AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례

11. 감염된 시스템(PC 및 서버)의 계정 및 패스워드를 반드시 변경

◇ 보안 패치 관리

12. 주요 보안 취약점 발견 시 즉각적인 패치 적용 프로세스 및 관리 방안 수립·적용

- 주요 보안 취약점 발견시 패치 적용 및 현황 모니터링 체계 수립

- 서버 예방을 위한 정비 주기(Pre-Maintenance) 단축 및 패치 적용 체계 수립

13. MS에서 제공하는 SMB 취약점(MS17-010) 관련 패치 적용

- 일부 클롭 랜섬웨어와 함께 SMB 취약점(MS17-010)을 이용한 악성코드가 함께 발견됨

- 추가 피해 예방 위해 Microsoft의 윈도(Windows) SMB 취약점 패치 적용 필수

- MS의 SMB 취약점 패치 다운로드 페이지

◇ 이메일 관리

14. 이메일에 첨부된 파일이 실행 가능한 .exe 파일인 경우, 업무 관련 파일인지 재확인 후 실행

15. 이메일에 첨부된 파일이 doc, pdf, xls 등 문서 파일 또는 html 파일인 경우, 업무 관련 파일인지 재확인 후 실행

◇ 네트워크 연결 차단

16. 클롭 랜섬웨어 감염 및 확산에 사용되는 아래 IP에 대한 네트워크 연결 차단

◇ 코볼트 스트라이크 비콘(Cobalt Strike Beacon) 업로드 IP 리스트

194.68.27.18

194.165.16.228

184.17.121.188

89.144.25.19

89.144.25.20

89.144.25.21

89.144.25.22

89.144.25.23

89.144.25.25

89.144.25.27

89.144.25.92

89.144.25.94

89.144.25.95

89.144.25.96

89.144.25.97

89.144.25.99

89.144.25.165

89.144.25.170

89.144.25.171

89.144.25.172

89.144.25.173

45.227.252.54

105.201.1.186

105.201.1.249

안랩 시큐리티대응센터(ASEC) 한창규 센터장은 “안랩은 클롭 랜섬웨어를 발견한 직후부터 지속적으로 클롭 랜섬웨어와 Ammyy 백도어에 대응 중”이라며 “특히 AD서버를 사용한다면 그 편의성만큼 권한을 탈취 당했을 때 위험도 크기 때문에 보안 담당자는 보안관리에 더 큰 주의를 기울여야 한다”고 말했다.

저작권자 © 맨즈랩 무단전재 및 재배포 금지