WOL 악용하는 Ryuk 랜섬웨어

네트워크 전체를 노린다

파일을 암호화해서 열지 못하게 만들고, 이를 풀어주는 대가를 요구하는 악성코드 유형인 ransomware가 더 지독하게 변하고 있다. 단순히 암호화만 할 경우, 피해자는 백업본이 있다면 아무런 피해를 입지 않는다. 백업본이 없더라도 해당 파일들을 잃는 것으로 끝난다.

그러나 최근엔 암호화하기 전에 파일을 훔쳐내는 쪽으로 바뀌고 있다. 돈을 주지 않을 경우 유출한 파일을 온세상에 공개해 버리겠다는 것이다. 이것은 개인정보 유출 사건으로 발전되기 때문에, 기업 등 조직 입장에서는 파일 손실보다 훨씬 큰 타격을 받게 된다.

이처럼 랜섬웨어의 주 표적이 조직으로 집중되면서, 네트워크를 얼마나 많이 장악하느냐가 중요해졌다. 근래 활발히 활동하는 Ryuk ransomware는 WOL(Wake On Lan)을 이용해, 잠자는 PC까지 깨워 감염시키려 하고 있다.

류크 랜섬웨어는 WOL 기능을 이용해 절전모드에 들어가 있는 PC들을 깨운다. 그리고 SMB를 통해 이들을 네트워크 드라이브로 마운트하고, 암호화한다.

이 방법이 새로운 취약점을 이용한 것은 아니다. 즉 WOL 기능이 특히 더 위험한 것은 아니다. 해당 네트워크는 이미 해킹됐고, 악성코드는 퍼지고 있다. 절전 모드에 있던 PC들도 감염되는 것은 시간 문제다. 다만 감염 속도를 더 빨리 하는 정도의 효과는 있다.

WOL 설정 방법

WOL(Wake On Lan)은 흔히 magic packet이라 불리는 특수한 신호를 보내, 절전 모드에 있는 PC를 원격으로 깨우는 것이다. 조직의 네트워크 관리자에겐 필수적이다.

웨이크 온 랜 기능을 사용하려면 장치 관리자에서 네트워크 어댑터를 설정해야 한다. 그림은 리얼텍 랜카드의 경우이다. '매직 패킷 웨이크 온'이라는 속성을 사용하고 있는데, 이름은 장치마다 다를 수 있다.



WOL을 활성화한 다음, 전원 설정을 바꿔서 랜카드 자체가 꺼지지 않도록 해야 한다. 랜카드 자체가 꺼지면 매직 패킷조차 받을 수 없기 때문이다. 그림과 같은 상태에서는 WOL이 작동하지 않는다.

"전원을 절약하기 위해 컴퓨터가 이 장치를 끌 수 있음"은 해제하고, "이 장치를 사용하여 컴퓨터의 대기 모드를 종료할 수 있음"은 체크해야 한다.



와이파이에서 WOL 사용

WOL은 무선 네트워크에서도 사용할 수 있다. wifi는 WLAN(wireless LAN)이므로, 무선 WOL은 WOWLAN이라고 부르기도 한다. 그림은 인텔 무선 랜카드의 예이다.



유선에서와 마찬가지로 전원 설정을 조정해서, 무선 랜카드가 꺼지지 않도록 해야 한다. 기본 설정은 그림과 같이 돼 있는데, 이 상태에서는 WOL이 작동하지 않는다.



이제 네트워크 어댑터는 준비가 끝났다. 공유기(라우터)에서 WOL로 관리할 PC를 등록하기만 하면 된다. 공유기의 관리 인터페이스에서 WOL 기능에 들어간다. WOL 기능을 사용할 PC의 MAC 주소를 등록하면 끝. 이곳에서 '절전 모드'에 있는 PC를 원격으로 깨울 수 있다. 물론 완전히 '종료'됐거나 '최대 절전 모드'에 들어간 경우에는 켤 수 없다.




참고 자료
  1. Ryuk Ransomware Uses Wake-on-Lan To Encrypt Offline Devices
  2. WIZARD SPIDER Adds New Features to Ryuk for Targeting Hosts on LAN

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다