소만사, '레빌 랜섬웨어' 분석 보고서 발간

소만사가 레빌 랜섬웨어 분석 보고서를 발간했다. 소만사 제공
소만사가 레빌 랜섬웨어 분석 보고서를 발간했다. 소만사 제공

소만사가 최근 카세야 해킹으로 유포된 '레빌 랜섬웨어' 샘플을 확보, 분석 보고서를 발간했다.

소만사는 엔드포인트탐지대응(EDR) 솔루션 '프라이버시-i EDR'을 통해 레빌 랜섬웨어를 탐지했다. 앞서 레빌 랜섬웨어 공격자는 미국 보안 소프트웨어(SW) 관리 기업 카세야의 제품 중앙배포시스템을 해킹해 레빌 랜섬웨어를 배포, 세계 약 1000개 기업 100만개 시스템을 감염시킨 것으로 알려졌다.

보고서에는 레빌 랜섬웨어 공격 방법과 행위 등이 상세히 기술됐다. 레빌 랜섬웨어 감염을 예방·차단할 수 있도록 보안 취약점과 특성도 서술됐다.

보고서에 따르면 레빌 랜섬웨어 행위는 크게 네 단계로 진행됐다. 첫째 카세야 제품 중앙배포시스템 해킹을 통해 드로퍼가 각 개인용컴퓨터(PC)에 배포됐다. 이 과정에서 파워셸 명령이 수행돼 시스템 보안을 무력화했다. 둘째 배포된 드로퍼는 인증서 파일로 위장돼 생성됐으며 이는 시스템 유틸리티를 통해 디코딩됐다. 셋째 드로퍼는 취약한 버전의 윈도 디펜더 실행파일과 레빌 랜섬웨어 동적링크라이브러리(DLL)를 생성했다. 마지막으로 레빌 랜섬웨어 DLL은 윈도 디펜더 실행파일에 의해 로드돼 이용자 PC를 암호화하고 시스템을 마비시켰다.

이 같은 분석 결과는 현재 소만사 유지관리 고객을 대상으로 배포되고 있다. 소만사는 추후 자사 공식 블로그를 통해 보고서를 공개할 예정이다.

오다인기자 ohdain@etnews.com