본문 바로가기

Security_News/해외보안소식

EternalRomance Exploit를 사용한 Bad Rabbit 랜섬웨어

728x90

개요

 

Cisco社 보안 연구원, Bad Rabbit 랜섬웨어가 EternalRomance을 사용한 것을 발견

 

주요내용

 

EternalRomance는 올해 4월 Shadow Brokers에 의해 유출 된 NSA의 해킹 도구 중 하나로, Microsoft社의 SMB 원격 코드 실행 취약점(CVE-2017-0145)을 악용

※ SMB 원격 코드 실행 취약점(CVE-2017-0145)은 패치 완료(3.14)되어 KrCert 홈페이지에 게시(3.15)

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25303

글로벌 랜섬웨어가 NSA 해킹 도구를 악용한 것은 WannaCry를 시작으로 세 번째

Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 익스플로잇을 이용한 것으로 나타남

 

 

Bad Rabbit 특징

 

Bad Rabbit은 러시아 미디어 사이트에서 가짜 Flash Player 설치 파일로 위장하여 배포

Bad Rabbit이 설치되면 Mimikatz 암호 추출 도구를 통해 감염 된 PC의 메모리를 덤프하고, 내부 네트워크에서 열린 SMB 공유를 검색

이후, 네트워크의 다른 Windows 시스템에서도 하드코딩 된 크리덴셜을 사용하여 원격으로 악성코드를 실행

<그림1. Bad Rabbit 감염 PC 화면>
Oops! your files have been encrypted. if you see this text, your files are no longer accessible.

시사점

 

Bad Rabbit 예방을 위해 윈도우 사용자들은 WMI 서비스를 사용하지 않도록 설정하여 악성코드가 네트워크를 통해 확산되지 않도록 주의

또한, 대부분 랜섬웨어는 전자 메일, 웹 사이트의 프로그램을 통해 감염됨으로 출처가 명확한 프로그램만 다운받을 것을 권고





[출처]

1. The Hacker News, "Bad Rabbit Ransomware Uses Leaked 'EternalRomance' NSA Exploit to Spread", 2017.10.26.

2. Threatpost,, "EternalRomance Exploit Found in Bad Rabbit Ransomware", 2017.10.26

728x90