한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상 - 최신정보

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

기타정보 한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상

작성자: 핸섬 조회 수: 43 PC모드

URL 링크 :	https://www.boannews.com/media/view.asp?...amp;kind=1

윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터
분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해

[보안뉴스 문가용 기자] 랜섬웨어가 점점 판을 치고 있는 때에 소딘(Sodin)이라는 새로운 랜섬웨어가 두각을 나타내기 시작했다. 소딘은 최근 보안 업체 카스퍼스키(Kaspersky)가

발견한 것으로, 윈도우에서 발견된 CVE-2018-8453 취약점을 익스플로잇 해

권한을 상승시키는 기능을 탑재하고 있는 것으로 알려져 있다. 이런 식의 공격은 랜섬웨어 사이에서 흔치 않은 것이다.

카스퍼스키에 따르면 소딘은 소디노키비(Sodinokibi)나 레빌(REvil)이라는 이름으로도 알려져 있으며, 지난 4월에 처음 모습을 드러냈다고 한다. 카스퍼스키의 수석 멀웨어 분석가인 페도르 시니친(Fedor Sinitsyn)은 “권한을 상승시키는 독특한 랜섬웨어”라고 소딘을 정의한다. “소딘이 익스플로잇 하는 CVE-2018-8453은, 윈도우에서 발견된 취약점으로 지난 10월 MS가 패치를 발표한 바 있습니다. 프루티아머(FrutyArmor)라는 APT 그룹이 이 취약점을 통해 중동 지역의 몇몇 주요 인물과 단체들을 표적 공격한 바 있습니다.”

CVE-2018-8453은 권한을 상승시켜주는 취약점으로, “랜섬웨어가 이러한 공격을 감행하는 건 흔치 않은 일”이다. 현재 이 독특한 랜섬웨어인 소딘은 아시아, 유럽, 북미, 아프리카 지역에서 출몰하고 있는데, 아태지역에서 가장 많이 나타나고 있다. “특히 대만과 홍콩, 대한민국에서 피해가 심각합니다.”

“소딘은 피해자의 시스템에 침투해 들어간 뒤 제일 먼저 환경설정 내용을 확인해 CVE-2018-8453을 익스플로잇 하는 게 가능한 상태인지를 살핍니다. 가능한 상태라면, 소딘은 다음으로 CPU의 아키텍처를 검사하고, 자신 안에 저장된 셸코드 두 개 중 하나를 실행시킵니다. 이 셸코드는 WinAPI 함수들을 특수한 순서로 호출합니다. 이 때 악의적으로 편집된 아규먼트를 사용해 취약점을 익스플로잇 합니다. 성공할 경우 소딘의 프로세스가 높은

권한을 얻게 되고, 그러므로 보안 솔루션들이 암호화 공격을 방해하지 못하게 됩니다.”

피해자의 시스템 내 파일들을 암호화 하는 부분에서도 여러 가지 방법들이 조합된다.

“암호화 과정이 꽤나 복잡하고, 고차원적인 수준입니다. 비대칭 타원 곡선 암호 기술과

최신 대칭형 암호 방식을 혼합해서 사용하죠. 즉, 소딘의 배후에 있는 자들은 사이버 공격이 무엇인지, 암호화 기술을 어떻게 사용해야 하는지, 현대 컴퓨터 및 네트워크 구조는

어떤 취약점을 가지고 있는지 잘 이해하고 있다고 볼 수 있습니다.”

또 하나 눈에 띄는 건 공격자들이 헤븐즈 게이트(Heaven's Gate)라는 기술을 사용한다는 것이다. 이는 32비트 프로세스로 64비트 코드의 일부를 실행할 수 있게 해주는 기술로, 현존하는 디버거 대부분이 이러한 상황에서 코드 분석을 할 수 없다. 즉 분석을 방해하는 데 사용될 수 있는 고차원적 기술이라는 뜻이다.

시니친은 “헤븐즈 게이트로 분석만 방해받는 게 아니라 일부 보안 툴들의 탐지도 막을 수 있다”고 덧붙였다. 헤븐즈 게이트는 다른 멀웨어 공격에서도 간간히 발견되던 것이다.

하지만 카스퍼스키는 “랜섬웨어 공격이 헤븐즈 게이트와 결합한 건 처음 보는 일”이라고 한다.

소딘은 서비스형 랜섬웨어(RaaS)로서 배포되고 있다. 즉 누구나 돈만 내면 사용이 가능하다는 것이며, 따라서 최초 침투 방식도 가지각색이 될 수 있다는 뜻이다. 이 때문에 시니친은 “앞으로 소딘이 더 공격적으로 퍼져나갈 것”으로 예상하고 있다. “이미 각종 취약한 시스템을 장악하고 있습니다. 서버나 엔드포인트나 할 것 없이요. 또한 피싱 이메일만이 아니라 각종 익스플로잇 키트와 멀버타이징 공격을 통해서도 확산 중입니다.”

3줄 요약
1. 소딘, 대만, 홍콩, 한국에서 특히 공격적으로 퍼지고 있는 랜섬웨어.
2. 랜섬웨어로서는 독특하게 권한 상승 공격까지 하고 있음. 게다가 헤븐즈 게이트 기술까지 활용함.
3. RaaS로 제공되고 있기 때문에 각종 침투 방법을 통해 퍼질 것으로 예상됨.

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

엮인글 :

2019.07.19 17:38
가입일: 2018:02.25
총 게시물수: 50
총 댓글수: 307

좋은 정보 감사합니다

List of Articles

기타정보 [긴급] ‘삼성페이’ 사칭 결제 알림 문자 유포... 보이스피싱 추가 피해 우려 거짓 결제정보 미끼로 개인정보 요구 모바일 결제 서비스 ‘삼성페이’를 사칭한 결제 알림 문자가 유포되고 있어 사용자들의 주의가 요구된다. [캡처=삼성전자] 삼... 작성자: 핸섬 등록일: 2019-07-05	76 VIEWS 2 COMMENTED
IT정보 삼성 내년 1 월 7nm EUV 공정 양산, 5nm 연구 개발 완료 삼성 내년 1 월 7nm EUV 공정 양산, 5nm 연구 개발 완료 자세한 내용은 출처 확인 하세요. 출처 : http://news.mydrivers.com/1/634/634596.htm 작성자: 마라톤 등록일: 2019-07-05	49 VIEWS 1 COMMENTED
No Image IT정보 차세대 Wi-Fi 6 지원, 넷기어 나이트호크 RAX40 AX4 4-Stream AX3000 와이파이 공유기 최근 와이파이 공유기는 10G 인터넷이 출시되면서 이를 지원하기 위해 Wi-Fi 6라 불리는 차세대 규격의 신형 와이파이 공유기 제품을 출시하고 있다. 차세대 와... 작성자: 친정간금자씨 등록일: 2019-07-05	65 VIEWS 2 COMMENTED
No Image 유용정보 “이메일 열람 주의하세요”…정부, 해킹메일 예방 홍보 나서 - ‘만화로 보는 알기 쉬운 해킹메일 대처법’ 발간 ▲ ‘만화로 보는 알기 쉬운 해킹메일 대처법’ 정부는 공공기관이나 기업을 사칭하는 해킹메일로 인한 국... 작성자: 친정간금자씨 등록일: 2019-07-05	27 VIEWS 1 COMMENTED
유용정보 [긴급] ‘삼성페이’ 사칭 결제 알림 문자 유포... 보이스피싱 추가 피해 우려 거짓 결제정보 미끼로 개인정보 요구 모바일 결제 서비스 ‘삼성페이’를 사칭한 결제 알림 문자가 유포되고 있어 사용자들의 주의가 요구된다. [캡처=삼성전자] ... 작성자: 친정간금자씨 등록일: 2019-07-05	66 VIEWS 1 COMMENTED
IT정보 日 아베 때문에 RAM 가격이 오른다?…떨어지던 RAM 가격 반등해 일본 정부가 반도체 제조 과정에 필요한 재료와 부품의 한국 수출을 규제함에 따라 하향세를 이어가던 RAM 가격이 반등할 수 있다는 관측이 나오고 있다. 하지... 작성자: 친정간금자씨 등록일: 2019-07-05	26 VIEWS 1 COMMENTED
No Image 일반정보 애플, 공정위에 '백기'…“자진시정 할테니 법 위반 확정 말아 달라” 요청 애플이 공정거래위원회에 사실상 백기를 들었다. 국내 이동통신 3사에 광고·수리비 등을 떠넘긴 혐의를 받고 있는 애플이 “스스로 문제를 고치겠다”며 공정위에... 작성자: AnalogKid 등록일: 2019-07-05	23 VIEWS 1 COMMENTED
No Image IT정보 [영상] 차기 스마트워치 '갤럭시 워치 액티브2' 이렇게 생겼다 삼성전자가 개발 중인 차기 '갤럭시 워치 액티브' 실물 사진이 해외 매체 샘모바일을 통해 공개됐다. 유출된 갤럭시 워치 액티브2 디자인은 전작과 비슷하지만... 작성자: 놀부네 등록일: 2019-07-05	43 VIEWS 1 COMMENTED
No Image 일반정보 삼성·SK, 반도체 고객사에 서한 "공급차질 없도록 하겠다" 日 소재 수출규제 앞두고 '패닉' 사전 차단…"생산라인 정상 운영" (서울=연합뉴스) 이승관 기자 = 삼성전자와 SK하이닉스가 일본 정부의 대(對)한국 수출 규제 ... 작성자: AnalogKid 등록일: 2019-07-04	42 VIEWS 2 COMMENTED
No Image 일반정보 삼성전자, 日 수출제재로 빨간불…일본 납품업체 계약위반 법적대응 나서나 일본 정부가 반도체·디스플레이 공정에 필요한 품목에 대한 수출 규제를 강화하기로 한 가운데 삼성전자가 일본 원재료 업체의 공급계약 위반 사안이 있는지 법적... 작성자: AnalogKid 등록일: 2019-07-04	39 VIEWS 1 COMMENTED
No Image 기타정보 한국 비롯한 아태지역에 권한 상승 랜섬웨어 ‘소딘’ 비상 윈도우의 CVE-2018-8453 취약점 익스플로잇 해 권한 상승 공격부터 분석과 탐지를 방해하는 고급 기술, 헤븐즈 게이트까지 활용해 [보안뉴스 문가용 기자] 랜섬... 작성자: 핸섬 등록일: 2019-07-04	43 VIEWS 1 COMMENTED
기타정보 HP·델, 中 생산라인 30% 동남아 이전 추진...분쟁 장기화 우려 휴렛 팩커드(HP), 델 등 미국 대형 컴퓨터 제조사가 중국 내 노트북 생산라인 중 최대 30%를 동남아시아로 이전할 것이란 관측이 제기됐다. 닛케이 신문은 "두 업... 작성자: 핸섬 등록일: 2019-07-04	12 VIEWS 1 COMMENTED
IT정보 “헤이 구글, 겨울왕국 책 읽자”…디즈니, 구글 AI스피커로 주제가·효과음 제공 디즈니와 구글이 내놓은 새로운 AI 스피커 활용법 (사진=구글 네스트 유튜브 화면 캡쳐) 디즈니와 구글이 손잡고 인공지능(AI)스피커를 활용하는 새로운 방법... 작성자: 홍다니 등록일: 2019-07-04	71 VIEWS 1 COMMENTED
IT정보 AMD 젠2 3000 시리즈 메인보드 호환성 작성자: 비오는거리 등록일: 2019-07-04	62 VIEWS 1 COMMENTED
No Image IT정보 에어드롭처럼 파일 전송하는 안드로이드의 새 기능 ‘페스트 쉐어’ iOS, 맥 기기 사이에 인터넷 연결 없이도 쉽고 빠르게 파일을 주고받을 수 있는 에어드롭(AirDrop) 기능은 안드로이드 사용자들이 부러워하는 기능 중 하나다.... 작성자: 홍다니 등록일: 2019-07-04	42 VIEWS 1 COMMENTED