개요
Cisco社 보안 연구원, Bad Rabbit 랜섬웨어가 EternalRomance을 사용한 것을 발견
주요내용
EternalRomance는 올해 4월 Shadow Brokers에 의해 유출 된 NSA의 해킹 도구 중 하나로, Microsoft社의 SMB 원격 코드 실행 취약점(CVE-2017-0145)을 악용
※ SMB 원격 코드 실행 취약점(CVE-2017-0145)은 패치 완료(3.14)되어 KrCert 홈페이지에 게시(3.15)
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25303
글로벌 랜섬웨어가 NSA 해킹 도구를 악용한 것은 WannaCry를 시작으로 세 번째
Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 익스플로잇을 이용한 것으로 나타남
Bad Rabbit 특징
Bad Rabbit은 러시아 미디어 사이트에서 가짜 Flash Player 설치 파일로 위장하여 배포
Bad Rabbit이 설치되면 Mimikatz 암호 추출 도구를 통해 감염 된 PC의 메모리를 덤프하고, 내부 네트워크에서 열린 SMB 공유를 검색
이후, 네트워크의 다른 Windows 시스템에서도 하드코딩 된 크리덴셜을 사용하여 원격으로 악성코드를 실행
<그림1. Bad Rabbit 감염 PC 화면>
시사점
Bad Rabbit 예방을 위해 윈도우 사용자들은 WMI 서비스를 사용하지 않도록 설정하여 악성코드가 네트워크를 통해 확산되지 않도록 주의
또한, 대부분 랜섬웨어는 전자 메일, 웹 사이트의 프로그램을 통해 감염됨으로 출처가 명확한 프로그램만 다운받을 것을 권고
[출처]
1. The Hacker News, "Bad Rabbit Ransomware Uses Leaked 'EternalRomance' NSA Exploit to Spread", 2017.10.26.
2. Threatpost,, "EternalRomance Exploit Found in Bad Rabbit Ransomware", 2017.10.26
'Security_News > 해외보안소식' 카테고리의 다른 글
| Linux, USB 드라이버 보안 문제 발견 (0) | 2017.11.08 |
|---|---|
| 美 Accenture 社, 고객의 민감 데이터 노출 (0) | 2017.11.06 |
| 해외 인가 애니메이션 사이트 멀웨어 유포를 위해 악용 (0) | 2017.11.06 |
| 안드로이드 백만 사용자, 가짜 WhatsApp 애플리케이션 다운로드 (0) | 2017.11.06 |
| Tor 브라우저 사용자 IP 주소 노출 취약점 발견 (0) | 2017.11.06 |