러시아어 키보드가 설치된 경우 많은 랜섬웨어가 실행을 중단함(2021)

 (krebsonsecurity.com)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 대부분의 랜섬웨어는 감염 목표 시스템에 러시아어 또는 우크라이나어 등 CIS 국가 언어 키보드가 설치되어 있으면 실행을 중단함
  • 이러한 우회 기법은 범죄 단체가 자국 내 기관이나 개인을 피해자로 만들지 않게 해 현지 수사기관의 관심에서 벗어나는 목적임
  • 단순히 키보드 언어만 변경하는 것만으로 모든 악성코드의 방어는 불가능하며, 근본적으로 다양한 보안 수칙 준수가 필요함
  • 키보드 언어 추가는 손쉽고 무료로 실행할 수 있으나 부작용은 거의 없음
  • 러시아 해커들이 이를 우회하더라도 법적 위험이 커지므로, 방어책으로 어느 정도 효과가 있음

러시아/우크라이나 키보드 설치 시 랜섬웨어 감염 차단 효과

키보드 언어 감지와 랜섬웨어의 실행 중단

  • 최근 랜섬웨어 공격 관련 Twitter 논의에서, 매우 많은 랜섬웨어가 Microsoft Windows러시아어나 우크라이나어 등 가상 키보드가 설치된 경우 실행을 중단하는 내장 안전장치가 있다는 사실이 언급됨
  • 이는 주로 동유럽 출신의 악성코드가 많이 사용하는 방식임
  • 예를 들어 다수의 랜섬웨어는 CIS(독립국가연합) 국가 언어가 설치된 경우, 해당 시스템에서 감염을 하지 않음
  • 주요 목적은 이들 범죄자 집단이 본인 국가 내에서 법적 수사를 피하기 위함임

Colonial Pipeline 사례와 DarkSide 그룹

  • 이 내용은 Colonial Pipeline 랜섬웨어 공격 논의 중 부각됨
  • 해당 공격은 DarkSide라는 랜섬웨어 서비스형 그룹이 대기업만을 주요 목표로 삼아 진행함
  • 러시아 기반 범죄 조직들은 우크라이나, 러시아 등 동유럽 국가를 감염 대상으로 두지 못하도록 내부적으로 금지해 왔음
  • 이 정책은 현지 정부의 조사 및 간섭을 피하기 위함임

러시아 및 동유럽 내 법적 구조

  • 러시아에서는 자국민이 피해자인 경우에만 사이버 범죄 수사가 공식적으로 시작됨
  • 따라서 범죄자 본인이 자국 시스템에 피해를 주지 않는 것이 가장 안전한 방법
  • 실제로 DarkSide와 REvil 등, 여러 랜섬웨어 그룹이 이러한 정책을 엄격하게 지킴

코드 내 하드코딩된 언어 감지

  • DarkSide와 다른 여러 악성코드는 CIS 국가 언어를 하드코딩된 목록에 넣고, 시스템에 해당 언어가 설치되어 있으면 실행하지 않음
  • 실제로 무수히 많은 악성코드가 시스템 언어를 확인해 실행 여부를 결정함

우회 방법의 한계 및 실제 효과

  • 단순히 러시아어 등 CIS 국가 키보드를 설치하면 일부 랜섬웨어에 대한 예방 효과가 있음
  • 하지만 전체 악성코드에 대응되는 것은 아니며, 다중 방어 전략이 필수적임
  • 언어를 변경해 발생하는 부작용도 크지 않음. 실수로 언어가 바뀌어도 Windows+Spacebar로 쉽게 전환 가능함

향후 공격자 전략 변화 가능성

  • 일부 전문가들은 공격자가 언어 확인 절차를 생략할 수도 있다고 분석함
  • 실제로 최근 Mandiant가 분석한 DarkSide 버전에서는 언어 체크가 생략되었음
  • 그러나 이렇게 할 경우 범죄자의 법적 위험도가 상당히 증가함

전문가 코멘트 및 '백신 효과'

  • Unit221BAllison Nixon은 러시아 해커들이 이러한 언어 체크를 활용해 법적 보호를 받는다고 설명함
  • 해당 언어 및 키보드를 추가하면, 일종의 '러시아 악성코드 백신' 역할이 될 수 있음
  • 이러한 방법이 대규모로 사용되면, 범죄자는 법적 보호와 수익 간 선택의 딜레마에 직면함
  • 범죄자는 서방 보안 담당자와 마찬가지로, 시스템이 진짜 현지 시스템인지 구분하기 어려워짐

가상머신 환경 탐지 우회

  • 일부 트위터 이용자는 가상머신임을 명시하는 레지스트리 항목 추가도 제안함
  • 과거에는 효과적이었으나, 오늘날 많은 조직에서 일상적으로 가상머신을 사용해 해당 기법은 더이상 신뢰하지 않음

언어 추가를 쉽게 하는 방법

  • Unit221BLance James는 러시아어 키보드가 설치된 것처럼 보이게 하는 2줄짜리 Windows 배치 스크립트를 제작해 배포함
  • 이 스크립트는 실제 러시아어 라이브러리를 다운로드하지 않고도, 감염 회피 효과를 얻을 수 있음
  • 전통적인 방법으로도 '설정 → 시간 및 언어 → 언어 추가'를 통해 간단히 키보드 언어를 추가할 수 있음
  • 혹시라도 언어 설정을 바꾸어 메뉴가 러시아어로 나타날 경우, Windows+Spacebar 조합으로 언어 전환이 가능함
GN⁺ 2일전  [-]
Hacker News 의견

  • 내 컴퓨터를 악성코드 분석 샌드박스처럼 보이게 만들면, 악성코드 대부분이 분석을 피하기 위해 종료한다는 이야기인데, 이런 건 고양이와 쥐의 게임이라는 느낌

    • 요즘 윈도우 서버는 대부분 가상화 환경에서 돌아가기 때문에 예전만큼 효과적이지 않을 수도 있다는 생각, 그래도 다른 지표를 고려할 수도 있다는 이야기
    • 펌웨어에 VirtualBox 문자열을 넣는 장난스러운 제안
    • 이 내용은 예전 다른 Hacker News 글에서도 언급된 적이 있는데, 여기 링크에서 나왔다는 이야기
    • 이제 각 워크스테이션에 Ghidra를 설치해야 하지 않겠냐는 농담
    • ‘내 컴퓨터를 샌드박스로 위장하면 많은 악성코드가 분석을 피하기 위해 종료한다’는 주장에 대해, 이건 완전히 다른 걱정이라는 반박. 러시아어 입력기가 설치돼 있으면, 악성코드가 법적 위험을 피하려고 종료한다는 점을 강조

  • 랜섬웨어 Patya나 Fancy Bear, Cozy Bear, Conti 같은 그룹에 대해 이런 방식(러시아 키보드 감지)이 실제로 효과가 있었다는 증거가 많다는 의견, 러시아 정부가 자국민을 겨냥하지 않는 한 면책을 보장한다는 점이 큰 이유
    또, 공격자들에게 자신이 러시아인이거나 러시아어로 대화하면 시스템을 무료로 복호화해주는 경우도 있다는 이야기

    • ‘러시아인임을 밝히면 무료 복호화’가 AI 번역 시대에 어떻게 적용되는지 궁금함을 표현, 과거 러시아 쉐어웨어 개발자가 러시아인에게 무료로 라이선스를 주던 사례도 떠오른다는 코멘트
    • 러시아 해커 그룹은 ‘자기 집안에 피해 주지 않기(don’t piss inside the tent)’ 정책을 매우 잘 알고 있고 모두가 이해하고 있다는 점 강조
    • 현실은 그렇게 간단치 않을 수 있다는 지적, 러시아인은 어디에나 있고 피해 기업에도 근무할 수 있는데, 몸값이 수백만 달러일 경우 단순히 러시아인이라고 해서 풀어주지는 않을 것이라는 생각, 진짜 러시아 소유임을 설득하거나 ‘우리 아버지가 FSB에 근무한다’ 등 증거가 필요하다는 이야기

  • 00년대 후반 기술에 약한 친구들의 컴퓨터에서 ‘winlocker’를 지우던 러시아인이 직접 겪은 경험을 공유, 이 악성코드들은 단순히 파일을 암호화하지 않고 닫을 수 없는 창을 띄워 돈을 요구했으며, ‘성인 웹사이트 퀵 액세스 위젯 감사합니다’처럼 우스운 문구도 있었다는 흥미로운 추억

  • 키릴 키보드를 활성화한 시스템만을 노리는 악성코드가 당연히 있을 것 같다며, 러시아어 환경 여부도 공격자가 체크하는 포인트임을 암시

  • 윈도우에서 최고의 안티멀웨어 방법은 일상적으로 쓰는 기본 계정을 관리자 권한이 아닌 일반 계정으로 만드는 것이라는 팁 공유 별도로 로컬 관리자 계정을 만들고 다른 비밀번호를 사용해야 하며, 소프트웨어 설치나 powershell 실행 등 관리 작업이 필요하면 별도의 관리자 인증이 필요해서 suspicious한 팝업이 뜨면 뭔가 잘못됐다는 신호가 된다는 설명 일반 계정은 평범한(하지만 짧지 않은) 비밀번호를 쓸 수 있고, 관리자 계정엔 복잡한 비밀번호를 쓸 수 있어 특히 IT 지식이 없는 가족들에게 추천한다는 의견

    • 관리자 권한이 없어도 악성코드는 많은 일을 할 수 있고, 사용자가 가진 파일시스템에 접근하거나 인터넷 연결하는 데는 별다른 제약이 없기 때문에, 이런 권한 분리가 데이터 유출, 랜섬웨어, 데이터 파괴 등을 막아주지는 못한다는 지적
    • 2000년대 초부터 2012년까지는 동의하지만, 비스타 이후 UAC에 맞춰 악성코드가 진화해서 일반 계정으로도 충분히 동작하게 됐으므로 관리자 권한이 없다고 해서 데이터 보호에 도움이 되지는 않는다는 설명, 가장 민감한 작업(주로 금융)을 별도의 물리적 컴퓨터에서 하거나 Windows에서 사용자 계정 분리로 데이터 격리를 시도할 수 있다는 사례 공유, Qubes OS 같은 강력한 격리형 OS를 쓰고 싶지만 아직 배우지 못했다는 개인적 의견
    • 결국 사용자의 설명은 Windows Vista 이후 User Account Control(UAC)이 기본적으로 적용해온 방식과 동일하다는 요약
    • 조직 범죄의 랜섬웨어 공격은 대부분 민간인보다는 기업체가 주 표적이기 때문에, 개인이 아닌 기업 환경에서 랜섬웨어를 더 많이 접하게 된다는 의견. Petya 랜섬웨어를 예시로 들며, 일반 사용자 권한만 있어도 내부적으로 네트워크 내의 관리자 세션을 탈취하거나 도메인 관리자 권한을 획득할 수 있는 시나리오 언급, 관리자 권한 없이도 데이터를 삭제·암호화하거나 악성코드를 숨길 수 있으며, 소프트웨어에 번들로 포함된 악성코드는 사용자가 직접 설치할 수 있다는 여러 현실적인 접근 방법 설명
    • xkcd 1200 만화 링크와 함께, 여러 사람이 쓰는 컴퓨터에서는 계정 분리가 의미 있지만 대부분 단일 사용자인 경우에는 관리자 권한 분리의 실효성이 제한적이라는 요지, 현실적으로 개인 PC에서 관리 권한 분리는 해킹 방지에 큰 도움을 주지 않는다는 결론

  • 2021년 Brian Krebs가 이 내용을 공개한 뒤에도 여전히 이런 방식이 통하는지 궁금증

    • 러시아와 북한은 랜섬웨어를 합법적 경제 활동으로 간주하고 있으며, 하이브리드 전쟁 전략의 일부로 계속 이어질 것이라는 주장
    • 기본적으로 법적·수사상의 문제이다 보니 러시아 정부를 건드리지 않으면 서로 건드리지 않는다는 룰이 있다는 설명, 러시아보다 미국이 훨씬 더 약탈의 표적이 되는 시장임을 강조, 미국 내 비즈니스 이메일 사기(BEC)가 2024년에만 27억 달러 피해를 냈다는 FBI 통계와, 자신이 담당한 케이스에서 중국 위협 행위자가 미국 회사에 직원을 위장해 입사하고 수만 달러 상당의 내부 직원 할인 혜택을 가로채 100만 달러 손실을 낸 사례를 공유
    • FBI 2024 인터넷 범죄 보고서 링크 첨부

  • 제목 자체가 웃기다는 한마디, 대부분의 랜섬웨어가 러시아발이라는 전제가 자연스럽게 느껴진다는 뉘앙스

  • 러시아 키보드가 존재하면 NSA 악성코드한테 더 매력적일 수도 있다는 생각

    • 러시아, 중국 등은 민감한 정부·군사 기관에서 Windows를 금지하고, 자체 리눅스 배포판을 사용한다는 트리비아 정보

  • 2021이라는 단어만 남긴 짧은 메시지

    • 우크라이나가 제외 대상에서 제거됐는지 궁금하며, 키보드 배열이 러시아와 다르다는 사실에 주목

  • 키보드 레이아웃뿐 아니라, 시간이 바뀌면 타임존이나 다양한 정보도 함께 체크할지 궁금증

답변달기