랜섬웨어 감염경로 3가지를 알아봅시다

랜섬웨어 감염경로 3가지를 알아보는 포스팅을 하겠습니다. 랜섬웨어는 블랙 햇 해커들에게 돈벌이 수단입니다. 다른 해킹들보다 돈을 벌기 훨씬 수월한 방식입니다. 그래서 돈에 욕심 있는 블랙 햇 해커들은 랜섬웨어를 파고드는 경향도 있습니다. 또 인터넷 쇼핑몰처럼 아예 랜섬웨어 악성코드를 판매하는 곳도 있는 상황입니다. 기업 입장에서도 중요한 업무 문서들을 전부 사용할 수 없게 되면 치명적일 수 있습니다. 이렇게 요즘 해킹 시장에서 뜨거운 이슈인 랜섬웨어 감염경로 3가지를 살펴보겠습니다.

 

 

위의 스샷은 Shodan 모습입니다.

랜섬웨어 감염경로 1. RDP 공격

RDP는 Remote Desktop Protocol입니다. 원격 데스크톱 프로토콜입니다. 컴퓨터를 원격 조종할 수 있게 도와주는 프로토콜입니다. 마이크로소프트사가 개발한 프로토콜이며 다른 PC에 그래픽 사용자 인터페이스를 제공합니다. 원격으로 컴퓨터 조종할 수 있는 프로그램인 팀 뷰어나, MSTSC 등이 바로 이 RDP 프로토콜로 작동하는 것입니다.

 

 

RDP 공격은 Shodan과 같은 사이트를 이용해 외부에 공개된 RDP 서비스를 목표로 공격하는 것입니다. 원격 접속으로 외부에 잘못 노출된 서버에 연결한 후, 내부의 Active Directory 서버 등을 통해 내부 전체 시스템을 대상으로 대규모 악성코드 전파를 수행하는 사례가 발생하고 있습니다.

 

그래서 컴퓨터 주인이 컴퓨터로 이상한 거 안 하더라도 해커가 혼자 알아서 랜섬웨어를 다른 사람 컴퓨터에 전염시키기도 합니다.

 

웹 서비스를 제공하기 위한 웹 서버 중 외부로 노출된 RDP 와 SSH 서비스는 Shodan과 같은 사이트를 통해 쉽게 확인할 수 있어 내부 시스템의 침투를 통한 악성코드의 전파 통로로 활용되고 있습니다.

 

위의 그림의 Shodan 인텔리전스를 통해 나타난 정보를 보면, 전 세계 3백만 대 이상의 RDP 서비스가 대외적으로 노출되어 있으며, 해커들은 이런 시스템에 자격증명 대입 공격을 통해 시스템에 접속합니다.

 

해커 그룹들은 다크웹 마켓에서 최신 VPN 접속 정보와 RDP 접속 정보를 판매하고 있으며, RaaS 이용자들은 구매한 정보를 이용해 기업 내부 네트워크에 침투하고 있습니다.

 

랜섬웨어 감염경로 2. 이메일 공격

이메일 내 첨부 문서 또는 악성 링크를 통한 랜섬웨어 감염 또한 주요 랜섬웨어 감염경로입니다. 해외 보안회사의 설문 조사를 보면 랜섬웨어 감염경로의 가장 주요한 요인으로 이메일 공격을 꼽고 있으며, 다음으로는 직원의 보안 의식 부족과 악성 웹 사이트를 꼽았습니다.

 

 

위의 스샷이 랜섬웨어 감염경로에 어떤 것이 있는지 물은 설문 조사 결과입니다.

 

 

해커들은 사용자를 기만하기 위해 국내에서는 한컴오피스의 취약점을 이용한 공격이 유행하고 있고, 해외에서는 Office와 PDF를 통한 공격이 주로 발생하고 있습니다.

 

한컴오피스를 이용한 감염방식은 아래입니다.

O 한컴오피스의 취약점을 통해 숨겨진 사용자 알림 없이 자바스크립트를 호출하는 공격방식.

O 문서 내 숨겨진 객체를 사용자가 클릭하면 실행하게 만드는 공격방식.

O 계약 서명 관리 클라우드 시스템 문서로 위장해 사용자 매크로 실행을 유도하는 공격방식.

매크로 실행 시 PowerShell 기반의 공격이 발생함

O 입사지원서 파일을 가장한 링크 파일을 통해 파워쉘 또는 자바스크립트를 호출하는 공격방식.

O 송장 유형으로 전송되어 사용자가 내용을 보기 위해 매크로를 실행하도록 유도하는 공격방식.

O 송장 유형으로 전송한 엑셀 파일, 문서 잠금 해제를 위해 매크로 실행을 유도하는 공격방식.

 

이외에도 사용자에게 브라우저와 웹 애플리케이션 업데이트를 요청하는 악성 URL을 통해 악성코드 다운로드 및 실행유도를 하는 방식이 있습니다.

 

랜섬웨어 감염경로 3. 소프트웨어 취약점 공격

2019년 말부터 코로나 19로 인해 재택근무가 늘어나고 됐고, 이러한 환경의 변화에서 VPN 소프트웨어의 사용이 급격히 늘어났으며, 이로 인해 VPN 취약점을 이용한 대규모 랜섬웨어 공격이 늘어나고 있습니다. 2019년 여름 이후 Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks 및 F5를 비롯한 글로벌 VPN 장비들로부터 다양한 취약점이 공개됐습니다. 이러한 취약점은 재택근무를 지원하는 기업의 랜섬웨어 감염경로로 활발히 활용되고 있습니다.

 

해커들은 취약점을 보유하고 있는 VPN 접속 정보를 다크웹 마켓을 통해 구매하고 취약한 패스워드가 설정된 RDP 접속을 통해 내부 시스템을 침입하는 방법을 사용하고 있습니다.

 

이상 랜섬웨어 감염경로 3가지를 알아보는 포스팅을 하고 있습니다. 해킹 공부가 매력적이긴 한데 까딱하다가는 교도소에 들어가기 딱 좋은 공부라서 위험하죠. 불법을 저지르지 않는 정보보안 전문가를 향해 나아가야겠습니다. 행복하세요!!

 

반응형
그리드형

댓글

Designed by JB FACTORY