랜섬웨어 감염 리눅스 서버, 어떤 일 생기나
(지디넷코리아=임민철 기자)인터넷나야나 리눅스 서버 153대를 감염시킨 랜섬웨어 에레버스 또는 에레보스(Erebus)는 어떤 동작을 할까.
이 랜섬웨어는 32비트와 64비트 리눅스 운영체제(OS)를 모두 감염시킬 수 있다. 감염시킨 시스템의 네트워크 연결 상태와 무관하게 암호화 작업을 수행해, 시스템 주요 경로의 다양한 압축파일, 문서 및 그림 파일을 망가뜨린다. 암호화 대상이 되는 확장자는 433종에 달한다.
정보보안회사 안랩이 지난 12일 오후 ASEC 블로그를 통해 공개한 에레버스 분석 결과다. 해당 내용을 일부 소개한다. [☞원문 바로가기]
■ 32비트-64비트 리눅스 모두 감염 가능성 있다
분석에 따르면 현재까지 파일 형태로 확인된 에레버스 악성코드는 2종이다. 각각 32비트, 64비트 OS 환경에서 동작하는 리눅스용 ELF 파일이다. EFL는 프로그램 구성요소를 바이너리 형태로 나열한 포맷으로, 윈도 시스템의 PE 파일 또는 맥OS의 Mach-O 파일과 비슷한 성격을 띤다.
![[사진=Pixabay]](https://img1.daumcdn.net/thumb/R658x0.q70/?fname=http://t1.daumcdn.net/news/201705/17/ZDNetKorea/20170517103857999hfii.jpg)
에레버스 악성코드로 파악된 EFL 파일이 32비트와 64비트 환경에서 동작하는 2가지라면, 이 랜섬웨어는 리눅스가 32비트 시스템이든 64비트 시스템이든 감염시킬 가능성을 갖고 있단 뜻이 된다.
에레버스가 어떤 리눅스 배포판이나 커널 버전에서 돌아가는지, 특정 구성요소와 맞물려 동작하는지는 확인되지 않은 듯하다. 따라서 오래전 구형 하드웨어로 구축된 32비트 리눅스 시스템이든 비교적 최근 구축된 64비트 리눅스 시스템이든 일단 감염 피해에 대비할 필요가 있다.
![에레버스 랜섬웨어 파일 바이너리 내용 [자료=안랩 ASEC 블로그]](https://img3.daumcdn.net/thumb/R658x0.q70/?fname=http://t1.daumcdn.net/news/201706/13/ZDNetKorea/20170613104803674qjiu.jpg)
감염 직후 확인되는 증상은 2가지다. 첫째, 암호화 대상 파일명이 '(알파벳·숫자조합).ecrypt'으로 바뀐다. 둘째, '_DECRYPT_FILE.txt'와 '_DECRYPT_FILE.html', 2개 파일을 생성한다. 생성된 파일은 피해자에게 감염 사실을 통보하고 비트코인 결제를 요구하는 내용이다.
■ OS 주요 경로 433가지 확장자 파일 암호화
특정 확장자 파일이 OS의 주요 경로에 위치하면 에레버스 랜섬웨어의 암호화 대상이 된다. 안랩 측은 /bin, /boot, /dev, /etc, /lib, /lib64, /proc, /run, /sbin, /srv, /sys, /tmp, /usr, /var, /.gem, /.bundle, /.nvm, /.npm 등을 주요 경로로 예시했다.
어떤 확장자가 암호화 대상이 될까. 압축파일(TAR, GZ)을 비롯해 이미지(JPG)와 오피스 문서(DOCX, XLSX)를 포함한다. 웹페이지(HTML), 동영상(MPEG, MKV) 음원(WAV, MP3, OGG), 메일 데이터(EML)도 아우른다. 일일이 열거하기 여러울 정도로 많다. 다 해서 433가지다.
![에레버스 랜섬웨어가 암호화 대상으로 삼는 파일 확장자 종류. [자료=안랩 ASEC 블로그]](https://img2.daumcdn.net/thumb/R658x0.q70/?fname=http://t1.daumcdn.net/news/201706/13/ZDNetKorea/20170613104803947fpyb.jpg)
에레버스 랜섬웨어가 동일한 키로 암호화한 파일은, 그 안의 원본 파일 데이터에 해당하는 위치 앞부분에 동일한 암호화 키 정보, 사용자 고유번호 등을 포함한 바이너리를 품는 것으로 파악됐다.
■명령제어서버 통신 없이도 암호화 수행 가능
그리고 이 랜섬웨어는 실행 직후 네트워크 접속에 의존하지 않고 암호화 동작을 해버린다. 암호화 도중엔 명령제어서버와 통신할 필요가 없게 만들어졌다는 얘기다. 이는 일단 감염된 시스템의 인터넷을 끊어도 암호화 피해를 막을 수 없다는 것을 뜻한다.
![에레버스 랜섬웨어가 네트워크 접속이 되지 않을때(위)와 접속이 가능할 때 각각 암호화된 파일 바이너리 비교 [자료=안랩 ASEC 블로그]](https://img1.daumcdn.net/thumb/R658x0.q70/?fname=http://t1.daumcdn.net/news/201706/13/ZDNetKorea/20170613104804270jgmq.jpg)
랜섬웨어 파일에 존재하는 명령제어서버 주소는 토르(Tor) 네트워크를 이용하고 있다. 문자열 '7fv4vg4n26cxleel' 또는 'qzjordhlw5mqhcn7'로 생성된 어니언(onion) 도메인으로 접속된다.
악성코드가 감염된 시스템에서 다른 시스템으로 스스로 전파하는 기능을 갖췄다면, 네트워크에 부정기적으로 연결되거나 일반적으로 연결되지 않는 시스템도 랜섬웨어에 감염당할 가능성을 무시할 수 없다. 다만 안랩 측은 에러버스가 이런 기능을 갖췄는지 언급하진 않았다.
이날 안랩 측은 공지를 통해 고객사에 에레버스 대응 조치를 권고하기도 했다. 리눅스용 V3 엔진을 최신 버전으로 업데이트 후 시스템 전체 정밀검사를 수행하고 주요 데이터 백업과 시스템 점검을 하라는 내용이었다. 다만 랜섬웨어의 감염 또는 침투 경로 차단 등 유입을 막을 수 있는 방법은 다뤄지지 않았다.
임민철 기자(imc@zdnet.co.kr)
Copyright © 지디넷코리아. 무단전재 및 재배포 금지.