한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상 - 최신정보

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

기타정보 한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상

작성자: 핸섬 조회 수: 43 PC모드

URL 링크 :	https://www.boannews.com/media/view.asp?...amp;kind=1

윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터
분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해

[보안뉴스 문가용 기자] 랜섬웨어가 점점 판을 치고 있는 때에 소딘(Sodin)이라는 새로운 랜섬웨어가 두각을 나타내기 시작했다. 소딘은 최근 보안 업체 카스퍼스키(Kaspersky)가

발견한 것으로, 윈도우에서 발견된 CVE-2018-8453 취약점을 익스플로잇 해

권한을 상승시키는 기능을 탑재하고 있는 것으로 알려져 있다. 이런 식의 공격은 랜섬웨어 사이에서 흔치 않은 것이다.

카스퍼스키에 따르면 소딘은 소디노키비(Sodinokibi)나 레빌(REvil)이라는 이름으로도 알려져 있으며, 지난 4월에 처음 모습을 드러냈다고 한다. 카스퍼스키의 수석 멀웨어 분석가인 페도르 시니친(Fedor Sinitsyn)은 “권한을 상승시키는 독특한 랜섬웨어”라고 소딘을 정의한다. “소딘이 익스플로잇 하는 CVE-2018-8453은, 윈도우에서 발견된 취약점으로 지난 10월 MS가 패치를 발표한 바 있습니다. 프루티아머(FrutyArmor)라는 APT 그룹이 이 취약점을 통해 중동 지역의 몇몇 주요 인물과 단체들을 표적 공격한 바 있습니다.”

CVE-2018-8453은 권한을 상승시켜주는 취약점으로, “랜섬웨어가 이러한 공격을 감행하는 건 흔치 않은 일”이다. 현재 이 독특한 랜섬웨어인 소딘은 아시아, 유럽, 북미, 아프리카 지역에서 출몰하고 있는데, 아태지역에서 가장 많이 나타나고 있다. “특히 대만과 홍콩, 대한민국에서 피해가 심각합니다.”

“소딘은 피해자의 시스템에 침투해 들어간 뒤 제일 먼저 환경설정 내용을 확인해 CVE-2018-8453을 익스플로잇 하는 게 가능한 상태인지를 살핍니다. 가능한 상태라면, 소딘은 다음으로 CPU의 아키텍처를 검사하고, 자신 안에 저장된 셸코드 두 개 중 하나를 실행시킵니다. 이 셸코드는 WinAPI 함수들을 특수한 순서로 호출합니다. 이 때 악의적으로 편집된 아규먼트를 사용해 취약점을 익스플로잇 합니다. 성공할 경우 소딘의 프로세스가 높은

권한을 얻게 되고, 그러므로 보안 솔루션들이 암호화 공격을 방해하지 못하게 됩니다.”

피해자의 시스템 내 파일들을 암호화 하는 부분에서도 여러 가지 방법들이 조합된다.

“암호화 과정이 꽤나 복잡하고, 고차원적인 수준입니다. 비대칭 타원 곡선 암호 기술과

최신 대칭형 암호 방식을 혼합해서 사용하죠. 즉, 소딘의 배후에 있는 자들은 사이버 공격이 무엇인지, 암호화 기술을 어떻게 사용해야 하는지, 현대 컴퓨터 및 네트워크 구조는

어떤 취약점을 가지고 있는지 잘 이해하고 있다고 볼 수 있습니다.”

또 하나 눈에 띄는 건 공격자들이 헤븐즈 게이트(Heaven's Gate)라는 기술을 사용한다는 것이다. 이는 32비트 프로세스로 64비트 코드의 일부를 실행할 수 있게 해주는 기술로, 현존하는 디버거 대부분이 이러한 상황에서 코드 분석을 할 수 없다. 즉 분석을 방해하는 데 사용될 수 있는 고차원적 기술이라는 뜻이다.

시니친은 “헤븐즈 게이트로 분석만 방해받는 게 아니라 일부 보안 툴들의 탐지도 막을 수 있다”고 덧붙였다. 헤븐즈 게이트는 다른 멀웨어 공격에서도 간간히 발견되던 것이다.

하지만 카스퍼스키는 “랜섬웨어 공격이 헤븐즈 게이트와 결합한 건 처음 보는 일”이라고 한다.

소딘은 서비스형 랜섬웨어(RaaS)로서 배포되고 있다. 즉 누구나 돈만 내면 사용이 가능하다는 것이며, 따라서 최초 침투 방식도 가지각색이 될 수 있다는 뜻이다. 이 때문에 시니친은 “앞으로 소딘이 더 공격적으로 퍼져나갈 것”으로 예상하고 있다. “이미 각종 취약한 시스템을 장악하고 있습니다. 서버나 엔드포인트나 할 것 없이요. 또한 피싱 이메일만이 아니라 각종 익스플로잇 키트와 멀버타이징 공격을 통해서도 확산 중입니다.”

3줄 요약
1. 소딘, 대만, 홍콩, 한국에서 특히 공격적으로 퍼지고 있는 랜섬웨어.
2. 랜섬웨어로서는 독특하게 권한 상승 공격까지 하고 있음. 게다가 헤븐즈 게이트 기술까지 활용함.
3. RaaS로 제공되고 있기 때문에 각종 침투 방법을 통해 퍼질 것으로 예상됨.

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

엮인글 :

2019.07.19 17:38
가입일: 2018:02.25
총 게시물수: 50
총 댓글수: 307

좋은 정보 감사합니다

List of Articles

IT정보 카카오, B2B 클라우드 사업한다 관련 상표 특허 출원..."사내독립기업 AI랩서 기획" (지디넷코리아=김민선 기자)카카오가 B2B(기업 대 기업) 클라우드 사업을 준비 중인 것으로 확인됐다. 사업 ... 작성자: 천미르 등록일: 2019-07-02	30 VIEWS 1 COMMENTED
IT정보 민관, 작년부터 日 소재 대비책 모색 [사진=게티이미지] 우리 정부와 반도체·디스플레이 업계가 일본 정부의 핵심 소재 수출 규제 가능성을 예상해 대비책을 마련해 온 것으로 파악됐다. 일부 소재는 ... 작성자: 천미르 등록일: 2019-07-02	33 VIEWS 1 COMMENTED
IT정보 SK텔레콤, KT 제쳤다…5월 5G 시장 1위 차지 [디지털데일리 채수웅기자] SK텔레콤이 5월 5세대(5G) 이동전화 시장에서 1위로 올라섰다. 5G 상용화 첫달인 4월 KT가 1위를 차지하는 파란을 일으켰지만 결국 ... 작성자: 천미르 등록일: 2019-07-02	66 VIEWS 3 COMMENTED
윈도정보 MS-Dos Executive, Clock 등의 새로운 Windows 1.0을 소개합니다 !! MS-Dos Executive, Clock 등의 새로운 Windows 1.0을 소개합니다 !! Windows 1.0을 소개 이번에 마소에서 윈도우 1.0을 출시한것 같습니다 윈도우10 아닙니다 자... 작성자: Op 등록일: 2019-07-02	167 VIEWS 2 COMMENTED
No Image 기타정보 국민카드 고객 2000여명 카드번호 유출 조기 적발…‘빈(BIN) 공격’ 받아 KB국민카드 고객 2000여명의 신용카드 번호가 이른바 ‘빈(BIN) 공격’을 받아 유출되는 일이 발생했다. 3일 업계에 따르면 지난달 24일 오후 8시∼25일 오전 8시... 작성자: 친정간금자씨 등록일: 2019-07-03	986 VIEWS 2 COMMENTED
No Image 유용정보 '오지게 안터져서 5G폰' 석달···빵빵하다 사람 많으면 먹통 5G폰 50일 리얼 체험기 4월 3일 밤 11시, 한밤중에 기습적으로 한국에서 세계 첫 5세대(G) 이동통신이 상용화된 지 3일로 석 달이 지났다. 이 기간에 전국의 5G... 작성자: 친정간금자씨 등록일: 2019-07-03	105 VIEWS 1 COMMENTED
No Image 기타정보 北 추정 사이버 공격 조직, 자유한국당 의원실에 해킹메일 발송 해킹조직 '금성121'이 지난 2일 국회 외교통일위원회, 정보위원회, 국방위원회 소속 자유한국당 의원실에 피싱메일을 살포한데 이어, 3일에도 해킹 메일을 발송... 작성자: 친정간금자씨 등록일: 2019-07-03	53 VIEWS 1 COMMENTED
일반정보 '스파이더맨 파 프롬 홈' 쿠키영상이 보여준 마블의 결단 2가지 출처: https://www.huffingtonpost.kr/entry/story_kr_5d1b0c07e4b03d611640e3f6?fbclid=IwAR3L1STp6zgx2BpwEartxMJa1_WsyuCYBKHAAzMw2LpN7amTE-6xvDr7t9Q *‘스... 작성자: 홍다니 등록일: 2019-07-03	94 VIEWS 3 COMMENTED
일반정보 삼성, 패션몰서 '갤럭시M20' 출시…MZ세대 공략 갤럭시M20의 판매가는 22만원이다. 삼성전자는 갤럭시M으로 MZ세대(밀레니얼·Z세대) 소비층을 집중 공략하고 있다. 갤럭시M은 젊은 층의 니즈에 맞춰 주요 멀티미... 작성자: 오리모자 등록일: 2019-07-03	105 VIEWS 1 COMMENTED
IT정보 日 아베 때문에 RAM 가격이 오른다?…떨어지던 RAM 가격 반등해 일본 정부가 반도체 제조 과정에 필요한 재료와 부품의 한국 수출을 규제함에 따라 하향세를 이어가던 RAM 가격이 반등할 수 있다는 관측이 나오고 있다. 하지만... 작성자: 열린이 등록일: 2019-07-04	134 VIEWS 1 COMMENTED
No Image IT정보 에어드롭처럼 파일 전송하는 안드로이드의 새 기능 ‘페스트 쉐어’ iOS, 맥 기기 사이에 인터넷 연결 없이도 쉽고 빠르게 파일을 주고받을 수 있는 에어드롭(AirDrop) 기능은 안드로이드 사용자들이 부러워하는 기능 중 하나다.... 작성자: 홍다니 등록일: 2019-07-04	42 VIEWS 1 COMMENTED
IT정보 AMD 젠2 3000 시리즈 메인보드 호환성 작성자: 비오는거리 등록일: 2019-07-04	62 VIEWS 1 COMMENTED
IT정보 “헤이 구글, 겨울왕국 책 읽자”…디즈니, 구글 AI스피커로 주제가·효과음 제공 디즈니와 구글이 내놓은 새로운 AI 스피커 활용법 (사진=구글 네스트 유튜브 화면 캡쳐) 디즈니와 구글이 손잡고 인공지능(AI)스피커를 활용하는 새로운 방법... 작성자: 홍다니 등록일: 2019-07-04	71 VIEWS 1 COMMENTED
기타정보 HP·델, 中 생산라인 30% 동남아 이전 추진...분쟁 장기화 우려 휴렛 팩커드(HP), 델 등 미국 대형 컴퓨터 제조사가 중국 내 노트북 생산라인 중 최대 30%를 동남아시아로 이전할 것이란 관측이 제기됐다. 닛케이 신문은 "두 업... 작성자: 핸섬 등록일: 2019-07-04	12 VIEWS 1 COMMENTED
No Image 기타정보 한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상 윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터 분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해 [보안뉴스 문가용 기자] 랜섬... 작성자: 핸섬 등록일: 2019-07-04	43 VIEWS 1 COMMENTED