[ Clop 랜섬웨어 변종 ]
[ 바이러스/악성코드 활동 접수: Clop 랜섬웨어 변종 ]
랜섬웨어 Clop 변종 형태로 추정되는 침해사고 발생하여
이에 해당 상황에 대한 확인 및 주의보를 다음과 같이 전달 드립니다.
바이러스/악성코드 활동 대상 항목 및 정보
- 확인 일자 2020년 11월 23일 (월)
- 피해 발생 2020년 11월 22일 (일) 발생 해당 그룹 사내 다수 피해 발생 추정
- 운영 체제 윈도우 7 이상 계열 운영체제 예상 일반 PC 및 서버 OS 모두 대상
- 추가 정보 디스크 전체 및 네트워크 공유 자료 공격 진행
- 상세 분석 랜섬웨어 유포 및 시스템 침입 방식/감염 관련 사항 확인/감염 대비 일반 조치 권고 사항
랜섬웨어 유포 및 시스템 침입방식
해당 침해사고에 대한 직접적인 침입 경로 및 유포 방식에 대한 부분은 조사 중으로 명확하게 알려지지는 않은 상황입니다.
기존 Clop 랜섬웨어 공격 사례와 샘플 파일에 대한 분석을 통하여 일반 PC 및 서버 OS 운영 시스템에 대한 예상 침입 방식에 대하여 안내를 드리오니 시스템 보안 패치 및 보안 제품 최신화 운영화 / 관리 및 사용자 보안 관리 수칙 준수 등을 다각적으로 살펴보시기 바랍니다.
[서버 및 PC 공통]
보안 설정 미흡한 상태로 랜섬웨어 감염되어 주요 자료 유출 진행된 상황
- 쉬운 패스워드 사용 및 접근제어 정책 없이 외부에서 널리 알려진 기본 원격 포트(원격제어 3389, ssh 터미널 22)로 접속하는 형태 지속적으로 사용하는 경우 SMB 취약점을 이용한 내부 침입 지점이 될 가능성 높음
- 내부망에 대한 원활한 접근을 위해 구축한 VPN 환경에서 계정관리 및 접속 시스템에 대한 보안 업데이트 미적용으로 보안 취약한 형태로 관리되며 관리자 계정 유출 등으로 인한 내부 시스템 대상 대규모 감염 전파될 가능성 높음
- 지원이 종료되어 보안 업데이트가 적용되지 않은 운영체제 및 소프트웨어 사용으로 보안 취약점 패치를 하지 않은 상태로 시스템 사용 시 사용자 의도와 상관없이 공격자 목적에 기반한 시스템 피해 발생이 될 가능성 높음
[사용자 PC 환경 위주]
시스템 사용 간 보안 수칙에 대한 부분이 잘 지켜지지 않아 악성코드 침입 후 추가적인 랜섬웨어 감염 피해 발생이 되는 경우가 많습니다.
- 공문, 이력서, 견적서 등으로 위장한 악성 이메일의 첨부파일을 확인 없이 실행
- P2P 프로그램을 통해 다운로드 받은 최신 영화 등 불법 위장된 파일을 실행
- 취약한 버전의 브라우저(IE: 인터넷 익스플로러)를 지속적으로 이용 중 악성코드가 은닉되어 있는 웹사이트 방문 만으로도 시스템 내 악성코드(랜섬웨어) 침투 실행
특히 일반 윈도우 7 운영체제 및 윈도우 서버 2008 및 2008 R2 제품의 경우, 2020년 1월 14일 이후로 보안 패치 지원이 종료된 상태이고, 최신 윈도우 10 운영체제 및 윈도우 서버 2019 버전에서도 신규 랜섬웨어가 시스템 취약점을 통하여 유포 및 실행되는 형태가 발생한다면 시스템 감염 및 피해발생이 필연적으로 발생한다고 봅니다.
감염 관련 사항 확인
- Clop 변종 랜섬웨어 악성코드 실행 후 실행 코드를 메모리에 할당
- 자가 삭제 진행 후 주요 코드 실행
- 랜섬웨어 악성코드 자신을 시스템 서비스로 등록 후 실행
- 자기 자신에 대한 중복 실행 여부 체크 및 시스템 권한 획득 시도 후 추가 실행
- 이벤트 로그 삭제 및 로컬 드라이브 전체 확인 후 암호화 시도
- 네트워크 상 연결 접속 시도 가능한 위치를 돌며 암호화 시도
- 시스템 C 드라이브 내 파일 대상 암호화 시도
- 암호화 관련 랜섬노트 (README_README.txt) 생성
- 복구 비용 청구 및 응하지 않는 경우 피해자 자료 유출 협박 추가 진행
감염 대비 일반 조치 권고 사항
- 최신 업데이트가 지원되는 운영체제로 변경을 권장 드립니다.
[서버: 윈도우 서버 2012, 2016, 2019]
[PC: 윈도우 10]
- 운영체제 보안 업데이트 관련 사항 최신 유지해 주십시오.
- 보안 취약점 발생 후 패치가 미흡한 IE 브라우저 사용을 지양해 주십시오.
- 출처 불분명한 자료 다운로드 및 인터넷 통한 동영상 감상/변환을 지양해 주십시오.
화이트디펜더 관련 사항
해당 랜섬웨어 경우 실제 파일이 존재하는 형태와 파일이 존재하지 않는 형태가 혼용되어 유포되는 것으로 보이며, fileless 형태의 랜섬웨어 경우 일반 시그니처 기반 사전 탐지를 수행하는 백신 프로그램으로 차단하기 어려운 특성을 지니고 있습니다.
이에 화이트디펜더 제품과 같이 랜섬웨어 행위 탐지에 특화된 제품을 통하여 최대한 방어를 진행하여야 하며, 보안 취약점에 대한 최신화 업데이트 유지 및 중요 자료에 대한 주기적인 백업 및 시스템 분리 보관하는 보안 수칙을 준용하여야 하겠습니다.