지크의 IT field

새로운 랜섬웨어 '아나토바(Anatova)'의 등장

#탐지를 피해 암호화 시작, 백업 파일은 10번 덮어쓰기로 복구 불가 상태로 만듦

▶새로운 랜섬웨어 아나토바의 등장으로 미록을 비롯한 9개국 이상에서 다수의 피해자 양산

  - 맥아피(McAfee), 난독화 기능이 뛰어나고 네트워크 공유자원까지 감염시킬 수 있는 아나토바의 등장에 대해 경고

  - 모듈 구조, 공격자들이 추가로 기능을 덧붙일 수 있음

▶비밀 P2P에서 처음으로 발견, 사용자들이 의심하지 않고 다운로드 받도록 하기 위해 게임이나 앱 아이콘으로 위장

  - 사전 탐지를 피하기 위해 다양한 행동을 취하며, 감염된 시스템 내에서 최대한 많은 파일을 찾아내 암호화

  - 이후 사용자에게 700달러 상당의 암호화폐를 송금하라는 협박 메시지를 띄움

◆아나토바 동작방식

 1) 샌드박스 환경에서 실행되는 것을 막기 위해 가상 기계 탐지 절차 수행

 2) 특정 국가*에서 피해를 일으키지 않도록 국가 설정 내용 확인

* 시리아, 이라크, 인도 및 이전 소비에트 연방 소속국가 등

 3) 1MB 이하의 파일들과 네트워크 공유 자원을 찾아 암호화

▶아나토바는 랜섬웨어 샘플마다 고유한 키를 가지고 있기 때문에 마스터키가 존재하지 않음

  - 이는 피해자마다 각각 다른 키를 확보 해야만 감염된 파일을 복구할 수 있음을 의미

  - 이후 메모리를 비워 랜섬웨어 정보를 파악할 수 있는 내용을 삭제, 백업파일을 10회 이상 덮어쓰기 하여 복호화 키 없이는 복구할 수 없도록 함

  - 맥아피는 아나토바가 완성형 멀웨어가 아닌 프로토 타입으로 추정 중, 이후 진화한 랜섬웨어 공격이 실행될 것으로 예상

시사점

▶ '18년의 경우 다른 종류의 위협이 늘어나 랜섬웨어의 빈도가 주춤한 것으로 보이지만, 현재도 랜섬웨어 공격은 활발하게 진행중인 것으로 파악됨

▶ 공격 예방을 위해 의심되는 파일 열람 금지 및 오프라인 백업 등의 조치가 필요

샌드박스 환경에서 실행되는 것을 회피할 수 있는 랜섬웨어라니 탐지하는 것도 쉽지 않겠다. 연구해보고는 싶지만 일하면서 마주치고 싶지는 않은 녀석이다 ㅋㅋㅋ

좋은 장비, 뛰어난 보안인력확보이 안전을 보장하지 않는다. 사용자 스스로의 보안 의식이 지킬 수 있다.

위협은 언제나 가장 취약한 곳으로부터 찾아온다는 것을 잊지 말자.