2016. 10. 30. 17:32

마스터 부트 레코드(MBR) 공격하는 페트야 멀웨어 무료 차단

시스코 탈로스, 마스터 부트 레코드 공격하는 멀웨어 차단법 개발
MBR필터, 간단한 작동원리로 루트키트도 차단... 무료로 배포 중

보안 전문업체인 체크포인트(Check Point)는 ‘세계 Top 3 멀웨어 목록(Top Three Global Malware List)’을 발표하며 랜섬웨어가 최초로 이 목록에 들어갔다는 점을 강조하기도 했었다. 특히 록키(Locky) 랜섬웨어가 기승을 부리는 것으로 나타났으며, 9월 한달 동안 전 세계에서 발견된 공격의 6%나 차지하는 것으로 나타났다.

한편 시스코 탈로스 랩스(Cisco Talos Labs)의 보안 전문가들은 기승을 부리는 랜섬웨어에 대한 한 가지 해결책을 내놓았다. 바로 무료 오픈소스 툴로 이름은 MBR필터(MBR Filter)라고 한다. 이는 특히나 페트야(Petya) 혹은 그와 유사한 변종들을 차단하는 데에 효과적이라고 한다.

페트야는 핀란드의 보안 전문업체인 에프시큐어(F-Secure)가 지난 4월 처음 발견해 보고한 것으로, 다른 랜섬웨어들이 파일들을 암호화하는 것과는 조금 다른 전략으로 피해자들을 공격한다. 에프시큐어에 따르면 페트야는 시스템의 마스터 부트 레코드(Master Boot Record)를 덮어쓰기해서 시스템이 리부트 되도록 강제한다.

그리고, 실제 리부트가 되었을 때 멀웨어는 하드 드라이브의 마스터 파일 테이블(Master File Table) 자체를 암호화한다. 이렇게 하니 다른 랜섬웨어가 파일 하나하나를 암호화하는 것보다 훨씬 빠르게 일이 진행된다. 그래서 사용자가 설사 문제를 일찍 파악했다고 하더라도 손쓸 시간을 거의 주지 않을 수 있다.


<근데 왜 커피 사진이?>

MBR필터는 이런 페트야의 작동원리를 아주 영리하게 공략한다. MBR(마스터 부트 레코드)을 읽기 전용 모드로 만들어버리는 드라이버 역할을 하는 것. 그러므로 페트야처럼 부트 레코드 자체를 공격하는 랜섬웨어는 덮어쓰기를 아예 할 수가 없게 되고, 그러므로 무용지물이 된다.

탈로스의 수석 기술 책임자인 크레이그 윌리엄스(Craig Williams)는 “항상 취약점과 익스플로잇을 연구하고 멀웨어들을 분석해 가장 효과적인 방어법을 연구하는 탈로스팀이 이룬 가장 최신의 성과”라고 MBR 필터를 자랑했다. “하지만 록키 등 다른 종류의 랜섬웨어에 MBR 필터가 통하지는 않습니다.”

그렇다고 MBR필터가 페트야 한정 솔루션인 것만은 아니다. “마스터 부트 레코드를 공격하는 모든 종류의 멀웨어, 특히 루트키트(rootkit)들을 거의 다 차단하는 게 가능합니다. 페트야를 막으려다가 루트키트도 방어할 수 있게 된 것이죠.” 이는 “문제에 대한 정직한 해결 노력이 또 다른 부산물을 낳을 수 있다”는 비바리퍼블리카의 신용석 CISO의 말과 일치하는 부분이다.

MBR필터는 간단한 디스크 필터로 MS의 diskperf와 classpnp 드라이버들을 기초로 하고 있다. 시스코의 탈로스 랩스는 “MBR필터를 도입하기 전에 꼼꼼히 검토해보라”고 권장한다. 왜냐하면 한 번 적용하면 삭제하기가 매우 어렵도록 설계되어 있기 때문이다. MBR필터는 여기서 다운로드가 가능하다.

보안뉴스 / 문가용 기자
http://www.boannews.com/media/view.asp?idx=52110