QNAP NAS를 대상을 공격하는 랜섬웨어-eCh0raix Ransomware

꿈을꾸는 파랑새

오늘은 QNAP NAS를 대상을 공격하는 랜섬웨어인 eCh0raix Ransomware에 대해 알아보겠습니다. 일단 해당 랜섬웨어는 QNAP NAS를 대상으로 공격하는 랜섬웨어 입니다. 일단 기본적으로 나스 라는 것은 Network Attached Storage 네트워크 결합 스토리지이라고 부르고 다르게 이야기하며 LAN으로 연결하는 외장 하드디스크이라고 합니다. 컴퓨터에 직접 연결하지 않고 네트워크를 통해 데이터를 주고받는 저장장치이라고 할 수가 있을 것입니다.
NAS의 초기 목적은 여러 사람이 데이터를 쉽게 공유를 할 수가 있으며 윈도우 등 PC 운영 체제에서도 공유 폴더 설정이나 파일 서버를 꾸미는 등을 통해 같은 기능을 제공하며 공유 폴더 기능은 PC를 계속 켜 놓아야 하고 리소스를 쓰게 만들어 작업을 느리게 만들며 파일 서버는 성능이 좋은 대신 전력 소비량이 많고 구매 비용도 비싸며 관리에도 손이 많이 들며 NAS는 간단한 초기 설정만 거치면 대부분의 운영체제, 컴퓨터에서 쉽게 데이터를 공유할 수 있어서 비용 대비 효율성이 좋으며 저장장치를 가지고 다닐 필요가 없으며
NAS는 내부 네트워크와 인터넷에 연결할 수 있어 외부에서 인터넷을 통해 NAS의 데이터를 읽고 기록할 수 있으며 인터넷 회선의 성능에 따라서 데이터 전송 속도는 제한받기는 하지만 외장 하드디스크나 USB 메모리의 필요성이 상대적으로 줄어드는 것이 장점이라고 할 수가 있을 것입니다. 여기서 큐냅(QNAP) 시놀로지와 같은 대만회사입니다. 해당 랜섬웨어는 약한 자격 증명을 강요하고 표적 공격의 알려진 취약점을 악용했습니다. 기본적으로 AES 암호화를 사용하여 NAS의 대상 파일 확장자를 암호화하고 암호화된 파일에. encrypt 확장자를 추가하는 것이 특징입니다.
랜섬웨어가 만드는 랜섬노트는 다음과 같습니다.


All your data has been locked(crypted).
​How to unclock(decrypt) instruction located in this TOR website: http://sg3dwqfpnr4sl5hh.onion/order/xxxxxxxxxxx
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to
Do NOT remove this file and NOT remove last line in this file!
입니다.랜섬노트는 보면 영어에 익숙하지 않은 사람이 만든 것을 볼 수가 있습니다. 오타가 있습니다. 랜섬웨어는 Go 프로그래밍 언어로 작성되고 컴파일로 돼 있습니다. 그리고 이미 암호화되어 있는지 확인하고 시스템을 탐색하여 암호화해 나서 파일을 암호화하며 몸값을 생성을 진행합니다. 악성코드는 실행 시 악성 프로그램은 URL http://192.99.?0?.61/d.php? s=started에서 암호화 프로세스가 시작되었음을 명령 및 제어 (C2)에 알립니다. 그리고 SOCKS5 Tor 프록시 (192.99?206?61 65000)를 통해 토르와 연결을 합니다. 그리고 AES-256 키를 만들려고 배열 abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!@ # $ % ^ & * ( )_+에서 32자 무작위 문자열을 사용해서 문자열을 만들고 유효키 공간은 192비트를 사용합니다. 랜섬웨어는 파일을 암호화하기 전에\ 다음 프로세스 목록을 삭제합니다. 프로세스는 service stop % s또는 systemctl stop % s명령을 실행하여 감염된 NAS에서 중지가 됩니다.
apache2
httpd
nginx
mysqld
MySQL
PHP-FFM
php5-fpm
postgresql
그리고 다음 부분은 암호화에서 제외합니다.
/proc
/boot/
/sys/
/run/
/dev/
/etc/
/home/httpd
/mnt/ext/opt
.system/thumbnail
.system/opt
.config
.qpkg
그리고 암호화하는 파일 목록은 다음과 같습니다.
.dat.db0.dba.dbf.dbm.dbx.dcr.der.dll.dml.dmp.dng.doc.dot.dwg.dwk.dwt.dxf.dxg.ece.eml.epk.eps

.erf.esm.ewp.far.fdb.fit.flv.fmp.fos.fpk.fsh.fwp.gdb.gho.gif.gne.gpg.gsp.gxk.hdm.hkx.htc.htm.htx

.hxs.idc.idx.ifx.iqy.iso.itl.itm.iwd.iwi.jcz.jpe.jpg.jsp.jss.jst.jvs.jws.kdb.kdc.key.kit.ksd.lbc.lbf.lrf.ltx.

lvl.lzh.m3u.m4a.map.max.mdb.mdf.mef.mht.mjs.mlx.mov.moz.mp3.mpd.mpp.mvc.mvr.myo.nba.nbf

.ncf.ngc.nod.nrw.nsf.ntl.nv2.nxg.nzb.oam.odb.odc.odm.odp.ods.odt.ofx.olp.orf.oth.p12.p7b.p7c.pac

.pak.pdb.pdd.pdf.pef.pem.pfx.pgp.php.png.pot.ppj.pps.ppt.prf.pro.psd.psk.psp.pst.psw.ptw.ptx.pub.qba.qbb.qbo.qbw.qbx.qdf.qfx
그리고 암호화가 완료되면 다음 주소로 암호화 명령을 내려 줍니다.
http://192.99.206.61/d.p??p?s=done
예방을 하려고 하면 QNAP NAS 장치에 대한 외부 액세스를 제한 및 보안 패치가 최신이고 강력한 자격 증명이 사용되는지 확인해야 합니다. 오늘은 간단하게 eCh0raix Ransomware에 대해 적어 보았습니다.

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

  1. Favicon of https://prolite.tistory.com IT세레스 2019.07.22 01:12 신고

    NAS 도 만만치 않게 조심해야겠네요.!
    백업을 둔다해도 그래도 혹시 모르니 꾸준한 보안 관련 세팅이나 업데이트가 필요한거 같아요.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.07.23 01:11 신고

      외장하드디스크 쪽에 백업을 이중삼중으로 해두는것이 안전 할것 이고 그리고 기본적인 보안 수칙을 지킨다고 하면 이런 악성코드에 감염이 되는것을 최소화 할수가 있을것입니다.

  2. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.07.22 06:58 신고

    QNAP NAS 랜섬웨어에 대해 알아 갑니다.
    즐거운 한주 시작하시기 바랍니다.^^

  3. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.07.22 07:59 신고

    랜섬웨어는 늘 조심해야 할 거 같아요 덕분에 잘 알고 갑니다

  4. Favicon of https://kangdante.tistory.com kangdante 2019.07.22 08:18 신고

    어렵지만 렌셈웨어에 대해 어렴풋이 알고 갑니다
    새로운 한주를 여유롭게 시작하세요.. ^^

  5. Favicon of https://blime.tistory.com ilime 2019.07.22 17:19 신고

    오늘도 랜섬웨어에 관한 정보 잘 알아갑니다. 항상 조심해야겠네요. 잘보고 갑니다 :)

  6. Favicon of https://dldduxhrl.tistory.com 잉여토기 2019.07.22 21:53 신고

    랜섬웨어 만드는 사람들 끔찍해요.
    왜 이런 걸 만드는 걸까요.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.07.23 01:16 신고

      기본적으로 돈 떄문이죠!가상화폐 인기가 떨어졌어도 가상화폐 가 사용이 되니까 이런 금전적인 부분을 노리는것 같습니다.어떯게든 비용을 감염 된것을 복구를 할려면 가상화폐를 구매를 하거나 해야 되고 결국은 돈과 직결 되니까 계속 이런 악성코드를 만드는 것이죠.

  7. Favicon of https://www.neoearly.net 라디오키즈 2019.07.24 19:23 신고

    NAS 사용자가 많아지는 만큼 NAS만 공략하는 녀석들도 등장하는군요.-_- 하아...