‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다



1. 개요 


지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다.


‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다.


타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈도우 운영체제뿐만 아니라 리눅스 운영체제에 대해서도 보안에 각별한 주의를 기울여야 할 것이다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Erebus (ELF파일)

파일크기

487,166 Byte / 429,144 Byte

악성동작

파일 암호화, 금전 요구

 

[그림 1] ‘Erebus’ 파일 정보[그림 1] ‘Erebus’ 파일 정보




2-2. 유포 경로

지난 2월 국내에서 처음으로 발견되었으며 복구 비용으로 약 10만원정도의 금액을 요구하여 저렴한 랜섬웨어로 알려져 왔다. 최근 리눅스 서버를 대상으로 공격을 시도 한 변종 ‘Erebus’ 랜섬웨어의 정확한 유포 경로는 밝혀지지 않았다.




2-3. 실행 과정

최근에 발견된 ‘Erebus’ 변종 랜섬웨어에 감염이 되면 해당 PC의 주요 경로들을 탐색하여 대상이 되는 파일에 대하여 암호화 동작을 수행한다. 그리고 원본파일명을 변경한 후 ‘.ecrypt’로 확장자를 덧붙인다. 암호화 된 파일 경로에는 아래와 같이 .html 및 txt형식의 랜섬노트가 생성된다는 것을 확인 할 수 있다.


[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면[그림 2] 랜섬웨어에 감염 된 사용자 바탕화면






3. 악성 동작


3-1. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화를 수행하고 암호화가 완료되면 원본파일명을 변경한다. 또한 암호화된 파일에 대해서 ‘.ecrypt’ 로 변경한다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일




사용자 PC를 탐색하며 대상이 되는 파일을 암호화 한다. 암호화 대상이 되는 파일 확장자는 다음과 같다. 

구분

내용

암호화 대상 파일

확장자

"tar","gz","tgz","taz","bz","tbz","bz2","lz","lzma","lz4","contact","dbx","doc","docx","jnt"

,"jpg","mapimail","msg","oab","ods","pdf","pps","ppsm","ppt","pptm","prf","pst","rar",

"rtf","txt","wab","xls","xlsx","xml","zip","1cd","3ds","3g2","3gp","7z","7zip","accdb","aoi",

"asf","asp","aspx","asx","avi","bak","cer","cfg","class","config","css","csv","db","dds","dwg",

"dxf","flf","flv","html","idx","js","key","kwm","laccdb","ldf","lit","m3u","mbx","md","mdf",

"mid","mlb","mov","mp3","mp4","mpg","obj","odt","pages","php","psd","pwm","rm",

"safe","sav","save","sql","srt","swf","thm","vob","wav","wma","wmv","xlsb","3dm","aac",

"ai","arw","c","cdr","cls","cpi","cpp","cs","db3","docm","dot","dotm","dotx","drw","dxb",

"eps","fla","flac","fxg","java","m","m4v","max","mdb","pcd","pct","pl","potm","potx","ppam",

"ppsm","ppsx","pptm","ps","pspimage","r3d","rw2","sldm","sldx","svg","tga","wps","xla",

"xlam","xlm","xlr","xlsm","xlt","xltm","xltx","xlw","act","adp","al","bkp","blend","cdf","cdx",

"cgm","cr2","crt","dac","dbf","dcr","ddd","design","dtd","fdb","fff","fpx","h","iif","indd"

,"jpeg","mos","nd","nsd","nsf","nsg","nsh","odc","odp","oil","pas","pat","pef","pfx","ptx",

"qbb","qbm","sas7bdat","say","st4","st6","stc","sxc","sxw","tlg","wad","xlk","aiff","bin",

"bmp","cmt","dat","dit","edb","flvv","gif","groups","hdd","hpp","log","m2ts","m4p","mkv",

"mpeg","ndf","nvram","ogg","ost","pab","pdb","pif","png","qed","qcow","qcow2","rvt","st7",

"stm","vbox","vdi","vhd","vhdx","vmdk","vmsd","vmx","vmxf","3fr","3pr","ab4","accde","accdr",

"accdt","ach","acr","adb","ads","agdl","ait","apj","asm","awg","back","backup","backupdb",

"bank","bay","bdb","bgt","bik","bpw","cdr3","cdr4","cdr5","cdr6","cdrw","ce1","ce2","cib",

"craw","crw","csh","csl","db_journal","dc2","dcs","ddoc","ddrw","der","des","dgc","djvu","dng",

"drf","dxg","eml","erbsql","erf","exf","ffd","fh","fhd","gray","grey","gry","hbk","ibank","ibd","ibz",

"iiq","incpas","jpe","kc2","kdbx","kdc","kpdx","lua","mdc","mef","mfw","mmw","mny","moneywell",

"mrw","myd","ndd","nef","nk2","nop","nrw","ns2","ns3","ns4","nwb","nx2","nxl","nyf","odb","odf",

"odg","odm","orf","otg","oth","otp","ots","ott","p12","p7b","p7c","pdd","pem","plus_muhd",

"plc","pot","pptx","psafe3","py","qba","qbr","qbw","qbx","qby","raf","rat","raw","rdb","rwl",

"rwz","s3db","sd0","sda","sdf","sqlite","sqlite3","sqlitedb","sr2","srf","srw","st5","st8","std","sti",

"stw","stx","sxd","sxg","sxi","sxm","tex","wallet","wb2","wpd","x11","x3f","xis","ycbcra","yuv",

"mab","json","ini","sdb","sqlite-shm","sqlite-wal","msf","jar","cdb","srb","abd","qtb","cfn",

"info","info_","flb","def","atb","tbn","tbb","tlx","pml","pmo","pnx","pnc","pmi","pmm","lck",

"pm!","pmr","usr","pnd","pmj","pm","lock","srs","pbf","omg","wmf","sh","war","ascx","tif"

[ 1] 암호화 대상 확장자





3-2. 금전 요구

파일 암호화가 완료되면 ‘Erebus’ 랜섬웨어는 다음과 같이 암호화된 파일에 대하여 금전을 요구하는 랜섬노트를 생성한다. 해당 파일을 열면 복호화 사이트에 접속하는 방법을 안내한다.


[그림 4] 텍스트 형식의 랜섬노트[그림 4] 텍스트 형식의 랜섬노트




해당 페이지에서는 ‘Erebus’ 랜섬웨어 결제 안내페이지를 이용하기 위해 암호화 된 파일에 대한 정보를 기입하도록 유도하고 있다.


[그림 5] Tor 브라우저 접속[그림 5] Tor 브라우저 접속





4. 결론

이번에 확인한 ‘Erebus’ 랜섬웨어를 통해 랜섬웨어가 윈도우 운영체제 외에도 리눅스 운영체제를 대상으로 공격을 시도할 수 있다는 것을 알 수 있다.


또한, 리눅스 운영체제에서 동작할 수 있는 다른 유형의 랜섬웨어 공격이 발생할 여지가 있기 때문에, 리눅스 서버 담당자 및 일반 리눅스 사용자들은 각별히 주의하여 피해가 발생하지 않도록 주의 하여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.




저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect

2017년 5월 악성코드 통계




악성코드 Top20

2017년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 6,818건이 탐지되었다. 

 

순위

진단명

유형

탐지 건수

1

Gen:Trojan.Heur.VP.dv1@a81HrUnG

Trojan

6,818

2

Gen:Variant.Adware.Hebogo.1

Adware

6,175

3

Trojan/XF.Sic

Trojan

5,460

4

Trojan/W32.Agent.174399.B

Trojan

5,303

5

Trojan-Spy/W32.SpyEyes.2147928

Trojan-Spy

3,859

6

Gen:Variant.Razy.38286

Trojan

3,828

7

Win32.VJadtre.3

Virus

3,822

8

Adware/NetworkExpress.W

Adware

3,389

9

Trojan/W32.Agent.3584.MQ

Trojan

2,972

10

Adware/InnerLink.B

Adware

2,664

11

Worm/W32.Agent.249856.AK

Worm

2,519

12

Adware.GenericKD.4936219

Adware

2,513

13

Abuse-Worry/W32.SpyAgent.1694560

Abuse-Worry

2,492

14

Adware/LiveIcon.C

Adware

2,471

15

Adware/HomeCare.L

Adware

2,367

16

Trojan/W32.Agent.413696.UP

Trojan

2,318

17

Adware/SmartAddress.A

Adware

2,261

18

Virus/W32.Sality.D

Virus

2,163

19

Virus/W32.Virut.Gen

Virus

2,121

20

Trojan/W32.Agent.1720320.BN

Trojan

2,083

[] 20175월 악성코드 탐지 Top 20




악성코드 유형 비율

5월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Adware(애드웨어)와 Virus(바이러스)가 각각 47%, 20%로 가장 높은 비중을 차지하였고, Trojan(트로이목마)이 15%, Downloader(다운로더)과 Ransom(랜섬웨어)이 각각 4%씩으로 그 뒤를 따랐다.


[그림] 2017년 5월 악성코드 유형 비율[그림] 2017년 5월 악성코드 유형 비율








악성코드 진단 수 전월 비교

5월에는 악성코드 유형별로 4월과 비교하였을 때 전체적인 진단이 다소 감소하였다.


[그림] 2017년 5월 악성코드 진단 수 전월 비교[그림] 2017년 5월 악성코드 진단 수 전월 비교








주 단위 악성코드 진단 현황

5월 한달 동안 악성코드 진단 현황을 주 단위로 살펴보았을 때 전체적으로 감소한 현상을 보이고 있다.


[그림] 2017년 5월 주 단위 악성코드 진단 현황[그림] 2017년 5월 주 단위 악성코드 진단 현황







저작자 표시 비영리 변경 금지
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Posted by nProtect