|
취약한 MS DB 서버를 노리는 Masscan Ransomware 분석팀 2022.10.14 |
|
|
최근, DB 서버를 대상으로한 Ransomware 공격이 활발하게 이뤄지고 있다. KISA 는 "주로 취약한 MS DB 서버를 노리고 있으며 masscan, Globeimposter, mallox 등과 같은 Ransomware 를 감염시키고 있다. 특히, 올해 6월 Masscan을 시작으로 7월까지 급속히 확산되고 있다." 고 언급했으며 관련 분석 보고서를 공개하기도 했다.
Masscan Ransomware는 동일한 경로에 설정파일(.config) 이 함께 존재해야만 실행되며 내용에는 여러 설정 값이 존재한다.
각 필드별 역할은 아래와 같으며, 설정이 모두 끝나게 되면 설정파일을(.config) 삭제, 파일 암호화가 시작된다. - RECOVERY INFORMATION !!! : 랜섬노트 내용 - publicKey : 파일 암호화에 사용된 AESkey 암호화(RSA 알고리즘 사용) - settingKey : 파일 암호화에 사용된 AESkey 암호화(AES 알고리즘 사용) - Extension : 암호화된 파일에 추가될 확장자 - ID : Ransomware 고유 식별 번호
Masscan Ransomware는 특정 경로(Microsoft, Windows) 및 확장자(exe, dll)를 제외하고 모든 파일을 암호화 한다. 암호화는 AES256 ECB 알고리즘을 이용하며, 랜덤하게 생성된 GUID 를 Key 값으로 설정한다.
암호화된 파일 끝에는 확장자가 추가되며({고유확장자}-F-{GUID Hex값 8자리} ), 접근했던 모든 경로에는 랜섬노트(RECOVERY INFORMATION !!!)가 생성된다.
Ransomware의 경우 보안 정도가 약한 설정(기본 MS DB 포트 사용, 기본 Password, 길이가 짧은 Password 등), 또는 취약점을 통해 침투될 수 있다. 따라서 최신 보안 업데이트 적용, 복잡한 비밀번호 설정 등의 보안 조치를 통해 사고를 예방할 수 있도록 해야한다.
참조: https://kisa-irteam.notion.site/Masscan-bca2eff1e838469faeaa47479c6bd06e |