본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
EternalRomance Exploit를 사용한 Bad Rabbit 랜섬웨어2017.11.06
개요
 
  1. Cisco社 보안 연구원, Bad Rabbit 랜섬웨어가 EternalRomance을 사용한 것을 발견
     

  

주요내용

 

  1. 글로벌 랜섬웨어가 NSA 해킹 도구를 악용한 것은 WannaCry를 시작으로 세 번째
  2. Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 익스플로잇을 이용한 것으로 나타남
     
 

Bad Rabbit 특징

 

  • Bad Rabbit은 러시아 미디어 사이트에서 가짜 Flash Player 설치 파일로 위장하여 배포
  • Bad Rabbit이 설치되면 Mimikatz 암호 추출 도구를 통해 감염 된 PC의 메모리를 덤프하고, 내부 네트워크에서 열린 SMB 공유를 검색
  • 이후, 네트워크의 다른 Windows 시스템에서도 하드코딩 된 크리덴셜을 사용하여 원격으로 악성코드를 실행
<그림1. Bad Rabbit 감염 PC 화면>
Oops! your files have been encrypted. if you see this text, your files are no longer accessible.


 

시사점

 

  • Bad Rabbit 예방을 위해 윈도우 사용자들은 WMI 서비스를 사용하지 않도록 설정하여 악성코드가 네트워크를 통해 확산되지 않도록 주의
  • 또한, 대부분 랜섬웨어는 전자 메일, 웹 사이트의 프로그램을 통해 감염됨으로 출처가 명확한 프로그램만 다운받을 것을 권고




[출처]
1. The Hacker News, "Bad Rabbit Ransomware Uses Leaked 'EternalRomance' NSA Exploit to Spread", 2017.10.26.
2. Threatpost,, "EternalRomance Exploit Found in Bad Rabbit Ransomware", 2017.10.26



작성 : 침해사고분석단 취약점분석팀
키워드 bad rabbit , 랜섬웨어