윈도우 EFS 기능 활용한 미래의 랜섬웨어, 현재에 미리 막혔다

윈도우에 탑재된 파일 암호화 기능, 랜섬웨어에 활용할 경우 공격 성공 확률 높아져
연구를 진행한 보안 업체, “이제 미래의 랜섬웨어를 막아야 하는 시점에 이르렀다”

윈도우의 암호화 파일 시스템(Encypting File System, EFS)을 활용한 새로운 랜섬웨어 공격 기법이 등장했다. 여러 방어 솔루션들이 뚫렸고, 이에 여러 보안 업체들이 부랴부랴 패치를 내놓고 있는 상황이다.

세이프브리치 랩스

이 새로운 공격법을 처음 발견한 건 보안 업체 세이프브리치 랩스(SafeBreach Labs)였다. CTO인 이트직 코틀러(Itzik Kotler)는 “공자들이 어떤 새로운 방식을 들고 나타날지 연구해야 미리 대처할 수 있다”며 “현대의 방어법으로 대처할 수 없는 공격 방법을 찾아내는 연구를 지속적으로 진행하고 있다”고 설명했다.

WINDOW EFS_파일 암호화

EFS는 윈도우 2000부터 도입된 기능으로, 윈도우의 기업 고객들을 위해 MS가 만든 것이다. 특정 폴더나 파일을 암호화 할 수 있게 해주는 것이며, NTFS 드라이버에서 암호화와 복호화를 모두 진행하는 게 가능하다. 암호화 키의 일부는 사용자가 접근 가능한 파일 내에 저장되고, 다른 일부는 계정 비밀번호와 연계되어 계산된다. EFS는 전체 디스크 암호화 기능인 비트로커(BitLocker)와는 별개의 것이다.

세이프브리치 측은 실험실 환경에서 자신들이 만든 ‘콘셉트 랜섬웨어’를 실험했다. 최대한 많은 백신을 우회하도록 만들어진 랜섬웨어였다. “EFS 기능을 활용하도록 만들어진 랜섬웨어였습니다. 일반 랜섬웨어들은 기존 파일을 덮어쓰는 전략을 활용하는데, 그것과는 큰 차이가 있죠. 따라서 이 랜섬웨어가 사용하는 시스템 호출들도 전부 다릅니다.”

보안 연구 부문 부회장인 아밋 클레인(Amit Klein)은 “랜섬웨어를 개발하면서도 현존하는 백신들을 대부분 우회할 것이라고 예상했고, 완성을 시키고 실험을 진행했을 때 우리 예상이 틀리지 않았음을 확인했다”고 말한다.

세이프브리치의 랜섬웨어는 제일 먼저 EFS에서 사용될 수 있는 키를 생성한다. 동시에 그 키에 적용되는 인증서도 만든다. 이 인증서는 개인 인증서 저장소에 추가된다. 그런 후에는 현재의 EFS 키를 설정해 랜섬웨어가 생성한 인증서에 추가한다. 이제 이 키는 특정 파일이나 폴더를 암호화 할 때 사용할 수 있다. 키 파일들은 메모리에 저장되고, 두 개의 폴더에서는 삭제된다.

그런 후 랜섬웨어는 EFS 데이터를 메모리에서 삭제하고, 암호화 된 파일들에 피해자가 접근할 수 없도록 만든다. “파일 암호화는 커널의 깊은 층위에서 이뤄집니다. 그러므로 파일 시스템의 필터링 드라이버들이 탐지하지 못합니다. 또한 관리자 권한이 필요하다거나 피해자의 잘못된 클릭 등의 행위가 필요한 것도 아닙니다.”

세이프브리치에 의하면 이 EFS 랜섬웨어는 윈도우 10 64비트 버전 1803, 1809, 1903에서 실험됐다고 한다. “윈도우 32비트에서도 작동되는 게 이론상 맞고, 10보다 일찍 출시된 윈도우 8.x, 윈도우 7, 윈도우 비스타 등 옛 윈도우들에서도 작동할 것이라고 추측하고 있습니다.”

세이프브리치가 실험해본 보안 업체는 다음과 같다.
1) 이셋(ESET) : 인터넷 시큐리티 12.1.34.0
2) 카스퍼스키(Kaspersky) : 안티랜섬웨어 툴 4.0.0.861a
3) 마이크로소프트(윈도우 10 64비트 1809, 빌드 17763
세 가지 솔루션 및 환경 모두 위 랜섬웨어 탐지에 실패했다.

세이프브리치는 17개의 안티멀웨어 및 안티랜섬웨어 제조사들에게 연락해 자신들의 실험 결과를 알리고 개념증명까지 발송했다. 클레인은 “다가올 미래에 사용될 가능성이 높은 공격법을 미리 알림으로써 여러 사용자와 기업들이 좀 더 안전할 수 있도록 하기 위해 이런 방향의 연구를 진행했다”고 설명했다. 이런 일이 진행된 건 2019년 7월이었고, 6개월 이상의 시간이 지나고 대중에게 공개한 것이다.

“어떤 제조사들은 이러한 연구 내용을 적극 받아들이고 빠르게 패치를 발표하기도 했습니다. 하지만 문제 해결에 시간이 걸리는 기업들도 일부 있었습니다. 지금은 거의 대부분이 픽스가 포함된 업데이트를 발표한 상태고, 따라서 랜섬웨어 공격자들은 EFS를 활용한 공격을 할 수 없게 되었습니다.”

자신의 솔루션을 패치할 수 없는 사용자라면 EFS 기능 자체를 비활성화시킴으로써 시스템을 안전하게 만들 수 있다. 다만 관리자 권한이 필요하다. “EFS를 대단히 많이 사용하지 않는다면, 이것도 괜찮은 방법입니다.” 클레인의 설명이다.

세이프브리치는 “랜섬웨어 공격이 심화되고 있기 때문에 보안 업계가 한 발 더 앞에서 방어 전략을 펼쳐야 한다”고 주장한다. “지금은 공격자들을 뒤따라가는 형국이죠. 그렇게만 해서는 안 되는 때가 되었습니다. 미래로 가서 공격을 막아야 합니다.”

3줄 요약
1. 윈도우의 EFS를 활용한 랜섬웨어, 보안 업체 실험실에서 개발됨.
2. 현존하는 솔루션 대부분 막지 못했음. 벤더사들에 결과 알려 패치하게 함.
3. 이제 ‘미래의 랜섬웨어’ 막아야 하는 시대가 되었는지도

 

출처 : https://www.boannews.com/media/view.asp?idx=85979&kind=

윈도우 EFS 기능 활용한 미래의 랜섬웨어, 현재에 미리 막혔다

 

개인적인 생각

랜섬웨어가 세상에 활성화 된지 시간이 많이 흘렀는데도 불구하고 현재와 미래에도 많이 사용될 공격기법이다.

하지만 랜섬웨어는 기본적으로 멀웨어로서 외부에서 파일을 다운로드 받고 실행이안되면 공격이 이루어지지않는다.

최소한 출처가 불분명한 제 3자의 첨부파일 다운로드만 피해도 랜섬웨어에 걸릴 확률이 낮다.

기업에서는 DBD 공격에 유의하여 알려지지 않은 사이트 접속 및 P2P의 사용을 하지 않는 것을 권고한다.