Post

[Korean] 랜섬웨어 첫 경험담: eCh0raix

Posted
By Dongkwan Kim
17 min read
[Korean] 랜섬웨어 첫 경험담: eCh0raix

Read this post in [English].

친구 회사가 eCh0raix 랜섬웨어에 걸려서 간접적으로 분석해보는 기회가 있어서 경험을 공유합니다. 랜섬웨어 정보, 복구업체 모델, 피해회사 입장, 커뮤니티 논쟁거리 등을 다룹니다.

3줄요약

  • 친구 회사가 eCh0raix 랜섬웨어에 걸려서 간접적으로 분석해봄.
  • 복구 업체가 해커랑 직접 협상을 해서 파일을 복구해주기도 하며, 이 협상 비용 또한 견적에 포함되어 있음.
  • 아직도 사회 다양한 분야에서 보안에 대해서 신경을 쓰지 못(안)하는 부분이 많음. (보안 기술을 활용한 이윤 창출의 기회도 많을 듯)

한달 전 쯤 친구로부터 회사의 NAS 서버가 랜섬웨어에 걸린 것 같다는 연락을 받았다. 친구 회사는 IT와 전혀 관계가 없지만, 해당 분야(디자인 관련)에서 나름 규모있는 회사이다.

연락을 받아 바로 친구네 회사로 갔으나, 회사 대표분이 먼저 부르신 복구업체가 NAS 서버를 가져가셔서 실제 악성코드 샘플이나 서버를 볼 수는 없었다. 다만, 친구가 미리 다운 받아둔 암호화된 파일 1개와 해커가 남긴 Readme파일을 받을 수 있었다.

또한, 현장에서 복구업체 분과 잠깐 대화할 기회가 있었고, 많이 노출되어있는 랜섬웨어라 온라인 검색을 통해서 정보를 어느정도 수집할 수 있었다.

1. 어떤 랜섬웨어인가?

  • eCh0raix라는 랜섬웨어로 파일 공유를 위한 NAS 서버(QNAP, Synology)가 주 타겟.
  • 해당 NAS 서버에 존재하는 기존 취약점을 활용하여 서버를 공격하고, 서버 내부의 파일을 암호화.
  • 2019년 초기 버전이 나왔고, 2021년 변종이 나왔음. 이번에 당한건 2021년에 발견된 변종.
  • 이미 분석 글들이 많다.

2. 랜섬웨어 동작

온라인에 공개된 샘플 악성코드를 발견하여 이를 분석해봄. (Go Lang, 난독화 X).

  1. 해커의 서버(C2, SOCKS5 proxy + onion URL)에서 암호화에 사용할 key와 readme파일, 비트코인 지갑 주소를 받아옴.
  2. 특정 확장자(.doc, .xls, .pdf 등 500개이상)를 가진 파일들을 암호화(AES-256 CFB)하고 파일명에 “.encrypted”를 붙임.
  3. 해커의 지시사항이 담긴 텍스트 파일(“README_FOR_DECRYPT.txtt”)을 남김.
  4. 해당 지시사항 안에는 해커의 홈페이지 주소가 적혀있음. (Tor onion URL, 피해자마다 다를 수 있음).
  5. 해당 URL에는 전송할 비트코인 금액(친구네는 0.07 BTC)과 지갑 주소(피해자마다 다름)가 적혀있고, live chat 기능과 상태창(“waiting payment…“)이 존재.

해커가 알려준 URL에 들어가면 eCh0raix라고 적혀있고, 악성코드에도 그 문자열이 들어있어서 eCh0raix로 명명된듯?

3. 해결방법?

  1. 서버에 악성 프로그램이나 로그가 남아있다면 이를 분석하여 C2에 접속하는 URL을 얻고, 직접 접속하여 복호화에 사용할 key를 받을 수 있음. (공개된 샘플에서 URL 확인 완료.) 다만, 사용자마다 주소가 달라서 대상 악성프로그램으로부터 직접 뽑아야함.

  2. 해커에게 돈을 직접 지불하고 복호화 프로그램 받기. 요새는 해커가 신뢰 관계를 형성하기 위해 돈을 보내주면 파일을 복구해주는 경우가 많아졌다고 함. eCh0raix도 해커에게 돈을 보내주면 복구 프로그램을 줬다는 글들이 커뮤니티에 있음!

4. 경과

  • 10.17: 친구네 회사 NAS 서버 랜섬웨어 감염.
  • 10.18: 친구에게 연락받음. 암호화된 파일 1개, readme 파일 전달받음. 복구업체가 NAS 서버 가져감.
  • 10.19: 복구업체가 견적을 요구하고 업무 착수.
  • 10.23: 직접 해커 홈페이지 접속해보니 상태창이 “paid”상태로 바뀌어있고 복호화 프로그램 다운 가능. 프로그램 다운받아 키 추출 후 샘플 파일 복구 가능 확인. 가격이 0.07 BTC에서 0.056 BTC로 변해있음.
  • 10.26: 아직까지 복구 업체에서 연락이 없음.
  • 10.27: 복구업체에서 원본 파일 복구함. 다만 별도의 하드디스크에 담아주었고 NAS 서버는 암호화된 상태 그대로 돌려줌. (NAS도 복구해줘야하는 것 아닌지..)

5. 알게된 점

1) 랜섬웨어 비즈니스 모델

  • 랜섬웨어를 뿌려 돈을 얻는 것이 목적이기 때문에 0-day를 활용한다기보다 쉽게 접근할 수 있는 기존 공개된 취약점, CVE 등을 이용하여 간단히 익스플로잇을 만들고, 이를 통해 PC, 서버를 공격하고 파일을 암호화하는 듯.
  • 이때, 피해자별로 각각 다른 암호화 키, 지갑주소, URI 등을 사용할 수 있음.
  • 피해자의 회사 규모 등을 고려하여 돈을 다르게 요구하는 경우 또한 존재하며, 약간의 협상 가능성이 있다!
    • 복구업체분 말씀으로 지난번 피해자는 10억 요구받았다고 함.
    • 이번에는 0.07 BTC에서 0.056 BTC로 바뀐걸 확인함.
  • 피해자가 돈을 지불하면 복구 방법을 알려주거나 복호화하는 프로그램을 공유해줌.
  • 먹튀의 가능성도 존재하지만, 신뢰 관계를 형성하여 지속적인 사업 모델로 발전시키기 위해 파일 복구를 시켜주기도 함.
  • Ransomware as a Service(RaaS) 등이 활성화되어있는 상황에서 기본 지식만 있으면 개인도 쉽게 구축할 수 있을 것 같음.

2) 복구 업체의 비즈니스 모델

  • 위의 해결방법을 이용하여 파일을 복구해줌. 해커랑 직접 협상해서 돈을 깎는 경우도 있고, 이 협상비용 또한 견적에 포함되어있음!
  • 만약 복구업체가 악성 프로그램을 분석하거나 로그로부터 키를 얻는 등, 해커에게 돈을 지불하지 않고도 복구를 할 수 있다면, 해당 비용을 절감하면서 수익을 더 창출해낼 수도 있음.
  • 복구 업체의 노력과 시간, 비용이 들어갔음에도, 해커가 먹튀하거나, 복구가 제대로 되지 않는 경우에는 돈을 지불받을 수 없는 구조이기 때문에 항상 리스크를 가지고 있음.
  • 복구업체 분이 말씀하시길, 선불제와 후불제가 있는데 후불제의 경우 리스크가 있기 때문에 선불제를 선호하시고 선불제 선택시 할인을 해줌. 업체에서도 많이 고민하시는 부분이라고 하고, 이러한 리스크 때문에 견적 비용이 상당히 쎔.
  • 복구가 주요 업무이기 때문에 이후 사건이 재발하지 않도록 사후처리에 대한 신경을 쓰지 않는 경우가 많음.
  • 네이버 블로그 등에 복구 업체들의 광고 글들이 꽤 있음.

이번 경우에는 원래 요구한 0.07 BTC가 0.056 BTC로 깎여있었고, 돈을 지불한 상태(paid)로 상태가 바뀐것으로 보아 업체가 직접 협상한것으로 보임. (물론 친구 회사에게 제시한 초기 견적을 깎거나 하는 것은 없음.)

3) 피해 회사의 입장, 사후처리의 중요성

  • 공격을 당한 회사의 입장에서 돈을 지불할지, 데이터를 포기할지에 대한 trade-off를 고려하는 것이 매우 어려움.
  • 해커가 먹튀를 할지, 돈을 줬을 때 복구가 제대로 될지 등등 여러한 경우의 수를 고려하여야 하는데, 판단의 근거가 되는 통계자료를 쉽게 구할수가 없음.
  • 피해자는 보통 보안 지식이 없는 사람이기 때문에, 소프트웨어 업데이트나 네트워크 차단을 하지 않을 것이고, 똑같은 공격에 또 당할수밖에 없음.
    • 복구 업체분이 말씀하시길, 같은 피해자가 6개월정도 지난 후에 같은 공격에 당한 사례가 있었다고 하심.
  • 친구 회사도 그냥 복구 업체 맡기고 이후에 복구되면 다시 쓸 생각이었다고 함.

친구에게 기본적으로 NAS 서버에서 지원하는 방화벽과 네트워크 차단, 그리고 관리자 계정 재설정, 펌웨어 및 소프트웨어 업데이트의 필요성을 알려줌.

6. 커뮤니티에서의 논쟁거리

1) 랜섬웨어가 부정적인 효과만 있는가?

  • 랜섬웨어는 타인의 돈을 갈취하는 “공격”. 하지만, 랜섬웨어가 항상 부정적인 기능만 있을까?
  • 랜섬웨어를 당한 보안에 의식이 없는 사람들에게 강제로 보안에 의식을 가지도록 하여 전반적인 보안 수준을 높일 수 있지 않을까?
  • 어떤 관점에서는, 버그 바운티를 간접적으로 주는 효과라고 볼 수도 있지 않을까?
  • 만약 적절한 보상과 사회적 장치를 마련해서 이러한 해커들을 양지로 끌어내고, 사회 전반적인 보안을 점검하게 하는 식으로 활용해볼수 있을까?
  • 너무 긍정적인 의견일수도…

2) 랜섬웨어를 분석하고 해당 글을 공유하는 것이 항상 커뮤니티에 이득이 되는가?

  • 어떤 글에서는 랜섬웨어를 자세히 분석하고 공유한다면 해커 또한 해당 커뮤니티를 모니터링하고 있기 때문에 공부를 하면서 끊임없이 랜섬웨어를 발전시킬 것이라고 함.
  • 끊임없는 공격-방어의 릴레이, 향후 더 어렵고 복잡한 랜섬웨어들이 많이 나오게 되어 이후 분석할 때 더 힘들어질 것이기 때문에 공유하는 것을 부정적으로 생각하기도 함.
  • eCh0raix의 경우 2019년에는 암호화 키를 로컬에서 만들었다면 2021년 버전은 C2서버에서 암호화 키를 받아오도록 설계가 바뀌었음.
  • 분석한 내용을 공유하지 않더라도, 해커 스스로 발전해서 더 복잡하고 어려운 랜섬웨어를 만들 가능성이 있다는 반박 의견이 있음.

3) 해커와 복구업체가 서로 협력을 할 수도 있을까?

  • 복구업체가 여러 피해자들을 해결해주면서 해커와 지속적인 협상을 하다보면 서로의 이해관계가 맞아서 알음알음 해주는 경우도 있지 않을까?
  • 거의 없겠지만, 복구업체=해커 인 경우도 존재할 수 있을 듯.

7. 마무리

  • IoT 봇넷처럼 알려진 취약점을 활용한 랜섬웨어 사업이 상당히 퍼져있는 것 같음.
  • 아직도 사회 다양한 분야에서 보안에 대해서 신경을 쓰지 못(안)하는 부분이 많음. (보안 기술을 활용한 이윤 창출의 기회도 많을 듯)
  • 랜섬웨어 조직을 잡는 수사기관쪽의 경험도 한번쯤 해보고 싶은데, 생명의 위협을 느낄 수도 있을 것 같고, TI 쪽 하시는 분들이 존경스러움.
Blog
ransomware incident-response
This post is licensed under CC BY 4.0 by the author.