티스토리 뷰

 

 

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅

새로운 암호화형 랜섬웨어 "Bad Rabbit"('RANSOM_BADRABBIT.A'로 검색)가 확인되었고, 러시아 및 동유럽 각국에서 이미 확산 되고 있습니다.

Bad Rabbit를 "TROJ.Win32.TRX.XXPE002FF019"로 검색.

2017년 6월에 유럽 국가에 피해를 끼친 "PETYA" 공격을 시작으로 "PETYA" 변종으로 간주했습니다.

 일본서버호스팅

주요 피해는 우크라이나와 러시아의 수송 시스템과 미디어로 되어 있습니다.

우크라이나 "컴퓨터 비상 대응팀 (CERT-UA)"은 새로운 랜섬웨어 공격에 주의하기 위한 권고를 공개하고 있습니다.

 

트렌드 마이크로 클라우드 기반 차세대 보안 기술 기반 "Smart Protection Network (SPN)"의 통계에서는

24일 동안 Bad Rabbit 추측되는 악성 활동을 러시아 국내에서만 100개 이상 차단하였습니다.

 

 

 

< "Bad Rabbit" 의 감염 프로세스 >

 

 일본서버호스팅

초기 분석에서 Bad Rabbit가 "Watering Hole ttack"에 의해 다운로드되는 가짜 Flash 설치프로그램 "install_flash_player.exe"("RANSOM_BADRABBIT.A"로 검색)을 통해 확산된 것을 확인했습니다.

변조된 Web 사이트에는 "hxxp://1dnscontrol.com/flash_install"로 확인되는 URL이 스크립트로 추가되어 있습니다.

이 URL은 2017년 10월 25일 차단되어 현재 액세스 할 수 없게 되어 있습니다.

이 가짜 Flash 설치를 유도하는 위조 사이트는 덴마크, 아일랜드, 터키, 그리고 러시아에서 확인되고 있습니다.

 일본서버호스팅

 일본서버호스팅

 

< 변조된 Web 사이트에 추가된 스크립트 >

 일본서버호스팅

 

이 가짜 프로그램이 실행되면 정식 프로그램 "rundll32.exe"을 이용하여 파일 "infpub.dat"을 만듭니다. "infpub.dat"암호화 및 복호화 할 파일 "dispci.exe"을 만듭니다.

Bad Rabbit은 인기 TV 드라마 시리즈 "Game of Thrones"에서 이름을 딴 3개의 파일을 이용하여 자신의

불법 활동을 수행합니다.

먼저 "rhaegal.job"가 "dispci.exe"와 "drogon.job"를 실행합니다.

이 두 번째 "drogon.job"는 대상 PC를 종료합니다.

다음은 PC의 파일 암호화를 실행하고 아래와 같은 몸값 요구 문서를 표시합니다.


 일본서버호스팅

 

< "Bad Rabbit" 몸값 요구 문서, 설치키를 확인할 수있다 >

 일본서버호스팅

 일본서버호스팅

세 번째 파일 "viserion_23.job"는 두 번째 재시작때 실행되는 화면을 잠그고, 그림 4와 같이 몸값 요구

문서를 표시합니다.

 일본서버호스팅

 일본서버호스팅

 

< PC 재부팅 후 나타나는 "Bad Rabbit" 몸값 요구 문서 >

 

 일본서버호스팅

네트워크내에서의 웜 활동에 취약한 "EternalBlue"를 이용한 PETYA과 달리 Bad Rabbit는 취약점을

이용하지 않는 점에 유의하십시오.

 

Bad Rabbit은 초기 분석에서 네트워크에 감염시 파일 이름을 사용하여 자신의 복사본을 만들고,

"Windows Management Instrumentation (WMI)"와 "Service Control Manager Remote Protocol"을 이용하여

작성한 자신의 복사본을 실행하여 네트워크의 다른 PC로 확산됩니다.

Service Control Manager Remote Protocol은 사전 공격에 의한 인증 정보의 절취에 사용됩니다.

 

Bad Rabbit에 사용되고 있다고 알려진 툴 중에는 오픈 소스 유틸리티 도구 "Mimikatz"가 있습니다.

이 도구는 인증 정보의 추출에 이용됩니다.

또한 대상 PC의 파일을 암호화 할 때 일반 디스크 암호화 도구 "DiskCryptor"가 이용됩니다.

 일본서버호스팅

 일본서버호스팅

■ Bad Rabbit 대책

 

1. 의심스러운 실행파일 또는 프로그램은 실행하지 말자.

 

정식 프로그램으로 위장한 해당 랜섬웨어의 실행을 방지하기 위해 설치파일은 공식 사이트에서 다운로드

한 것을 확인한 후 사용하십시오.
또한 의심스러운 프로그램 등을 확인하는 경우는 시스템 관리자 등에 문제가 없는지 확인하십시오.

 

2. 의심스러운 이메일의 첨부파일은 개봉 및 링크에 액세스하지 말자.

 

랜섬웨어 감염은 조작된 메일 첨부 파일을 개봉시키는 등의 방법이 이용되는 경우가 있습니다.
의심스러운 이메일을 확인하는 경우는 시스템 관리자 등에 문제가 없는지 확인하십시오.

 

3. 바이러스 백신 소프트웨어를 최신상태로 업데이트 합시다.

 

사용중인 안티 바이러스 소프트웨어를 최신 버전으로 업데이트하십시오.
사용중인 바이러스 백신 소프트웨어가 해당 랜섬웨어를 감지할 것인가에 대해서는 각 공급 업체에

확인하시기 바랍니다.

4. 정기적인 백업을 합시다.

 

랜섬웨어에 감염될 경우에 대비해 중요한 데이터는 정기적으로 백업을 수행하십시오.

백업 데이터를 저장한 장치는 컴퓨터나 네트워크에서 분리하여 보관하십시오.

 일본서버호스팅

 일본서버호스팅

 일본서버호스팅
 일본서버호스팅

 

 

 

 

 

 

 

 

댓글
댓글쓰기 폼