EternalRomance Exploit를 사용한 Bad Rabbit 랜섬웨어

개요

 

Cisco社 보안 연구원, Bad Rabbit 랜섬웨어가 EternalRomance을 사용한 것을 발견

 

주요내용

 

EternalRomance는 올해 4월 Shadow Brokers에 의해 유출 된 NSA의 해킹 도구 중 하나로, Microsoft社의 SMB 원격 코드 실행 취약점(CVE-2017-0145)을 악용

※ SMB 원격 코드 실행 취약점(CVE-2017-0145)은 패치 완료(3.14)되어 KrCert 홈페이지에 게시(3.15)

https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25303

글로벌 랜섬웨어가 NSA 해킹 도구를 악용한 것은 WannaCry를 시작으로 세 번째

Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 익스플로잇을 이용한 것으로 나타남

 

 

Bad Rabbit 특징

 

Bad Rabbit은 러시아 미디어 사이트에서 가짜 Flash Player 설치 파일로 위장하여 배포

Bad Rabbit이 설치되면 Mimikatz 암호 추출 도구를 통해 감염 된 PC의 메모리를 덤프하고, 내부 네트워크에서 열린 SMB 공유를 검색

이후, 네트워크의 다른 Windows 시스템에서도 하드코딩 된 크리덴셜을 사용하여 원격으로 악성코드를 실행

<그림1. Bad Rabbit 감염 PC 화면>

시사점

 

Bad Rabbit 예방을 위해 윈도우 사용자들은 WMI 서비스를 사용하지 않도록 설정하여 악성코드가 네트워크를 통해 확산되지 않도록 주의

또한, 대부분 랜섬웨어는 전자 메일, 웹 사이트의 프로그램을 통해 감염됨으로 출처가 명확한 프로그램만 다운받을 것을 권고

[출처]

1. The Hacker News, "Bad Rabbit Ransomware Uses Leaked 'EternalRomance' NSA Exploit to Spread", 2017.10.26.

2. Threatpost,, "EternalRomance Exploit Found in Bad Rabbit Ransomware", 2017.10.26