Cr1ptT0r Ransomware Infects D-Link NAS Devices, Targets Embedded Systems
임베디드 시스템용으로 제작된 새로운 랜섬웨어인 Cr1ptT0r가 인터넷에 노출된 NAS 장비를 노리는 것으로 나타났습니다.
Cr1ptT0r는 한 사용자가 D-Link DNS-320 장비가 랜섬웨어에 감염된 것을 Bleeping Computer 측에 제보하여 알려졌습니다.
D-Link는 DNS-320 제품을 더 이상 판매하지 않지만, 제품 페이지에는 아직까지 지원되는 것으로 표시되었습니다.
하지만 최신 펌웨어는 2016년에 출시되었으며, 이 장비를 해킹하는데 사용할 수 있는 많은 알려진 버그들이 존재하는 상태입니다. 아직까지 자세한 정보는 밝혀지지 않았지만, 이 랜섬웨어의 공격 벡터는 오래된 펌웨어의 취약점인 것으로 추측됩니다.
Cr1ptT0r 팀 중 한 명은 D-Link DNS-320 NAS 모델에 취약점이 너무나도 많아, 개선을 위해서는 아예 처음부터 새로 만드는 것이 낫다고 밝혔습니다.
DNS-320의 오래된 펌웨어 버전은 원격 코드 실행을 유발하는 버그가 최소 1개 존재하는 것으로 알려졌지만, 2018년 ShareCenter DNS‑320L에서 하드 코딩된 백도어가 발견되었습니다.
Cr1ptT0r에 감염된 사용자들 중 일부는 공격을 받을 당시 오래된 펌웨어 버전을 사용하고 있었으며, 인터넷에 장비가 노출된 상태였다고 시인했습니다.
이 악성코드는 감염된 기기에 일반 텍스트 파일 2개를 드랍합니다. 하나는 랜섬 노트인 "_FILES_ENCRYPTED_README.txt"로 랜섬 머니 지불을 위해 운영자에게 연락하는 방법 등을 제공합니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/cr1ptt0r-ransomware-infects-d-link-nas-devices-targets-embedded-systems/ >
또한 운영자들은 파일 하나를 무료로 복호화하여 자신들이 데이터 복구가 가능하다는 것을 증명합니다.
또 다른 텍스트 파일은 "_cr1ptt0r_support.txt"로 Tor 네트워크 내의 웹사이트 주소를 저장하고 있습니다.
이는 피해자가 사용할 수 있는 지원 URL이며 감염된 기기가 온라인일 경우 원격 쉘을 활성화합니다. Cr1ptT0r 그룹 멤버는 이 URL과 IP 주소는 로깅되지 않기 때문에, 데이터와 피해자 사이에는 아무런 연관성이 없다고 밝혔습니다.
Cr1ptT0r의 일원은 그저 돈을 바라고 있으며 간첩행위는 관심 대상이 아니라고 했지만, 안심할 수는 없습니다.
Synolocker 복호화 키 사용 가능
파일 복호화를 위한 키는 OpenBazaar 마켓에서 0.30672022비트코인(약 $1,200 상당)에 판매되고 있습니다.
또한 OpenBazzar 스토어에는 해당 랜섬웨어의 운영자가 Synolocker 용 복호화 키도 동일한 가격에 판매하기 시작했습니다.
암호화된 파일에 확장자 추가되지 않아
ELF ARM 바이너리인 이 랜섬웨어는 암호화 한 데이터에 아무런 확장자도 추가하지 않습니다.
하지만 보안 연구원인 Michael Gillespie는 이 랜섬웨어가 파일 끝 마커에 "_Cr1ptT0r_"를 추가하는 것을 발견했습니다.
<이미지 출처: https://twitter.com/demonslay335 >
또한 그는 이 랜섬웨어가 Sodium 암호화 라이브러리를 사용하며 비대칭 암호화에 "curve25519xsalsa20poly1305"를 사용하는 것으로 추측했습니다.
데이터를 암호화하는데 사용하는 공개 키(256비트)는 "cr1ptt0r_logs.txt"라는 파일에 저장됩니다. 이는 암호화 한 파일의 목록 또한 저장하고 있습니다.
현재 이 랜섬웨어는 NAS 기기를 공격하는데 주력하는 것으로 보입니다. NAS 기기는 소기업들이 내부 데이터를 저장 및 공유하는데 널리 사용되고 있습니다.
Cr1ptT0r는 랜섬웨어 시장에 새로 등장했지만 꽤 오래 활동할 것으로 보입니다. 운영자는 이 랜섬웨어가 임베디드 기기에 중점을 둔 리눅스 시스템 용으로 제작되었지만, 윈도우에도 사용이 가능할 것이라 밝혔습니다.
현재 알약에서는 해당 악성코드에 대하여 Trojan.Ransom.Linux.Gen으로 탐지중에 있습니다.
---
Title: NAS 장비를 노리는 신종 Cr1ptT0r 랜섬웨어 주의
Author & Source: 이스트시큐리티 알약 블로그 ( https://blog.alyac.co.kr/2150 )
License:
이스트시큐리티 알약 블로그의 이 저작물은 CC BY 4.0에 따라 이용할 수 있습니다.
이용자는 다음의 권리를 갖습니다.
공유 — 복제, 배포, 전시, 공연 및 공중송신 (포맷 변경도 포함)
변경 — 리믹스, 변형, 2차적 저작물의 작성, 영리목적으로도 이용이 가능합니다.
아래 조건을 준수하는 한 이 라이선스는 취소되거나 실효되지 않습니다.
저작자표시 / 추가제한금지
'IT & Security > etc. (악성코드,취약점)' 카테고리의 다른 글
티맥스OS(TmaxOS) 개인용 홈 에디션 출시 (0) | 2019.08.16 |
---|---|
와이파이를 통해 개인 정보를 해킹하라 (1) | 2019.03.14 |
갠드크랩(GandCrab) 랜섬웨어 v5.1 무료 복구 도구 (0) | 2019.02.21 |
자극적인 영상으로 유혹하는 다음(Daum) 피싱 사이트 (0) | 2019.02.04 |
MS Office 2016 크랙 파일, BUT 랜섬웨어 (0) | 2018.10.29 |