윈도우 환경에 리눅스 랜섬웨어가 침투하는 변종 공격방식이 확인되었습니다.
일명 퀄린(Quilin)으로도 알려진 어젠다(Agenda) 랜섬웨어 그룹이 윈도우 환경에서 리눅스용 바이너리를 실행시키는 변종을 배포하고 있다고 트렌드마이크로(Trend Micro)가 최근 보고서에서 밝혔습니다.
기존 윈도우 OS 환경에서는 쉽게 탐지하기 어려운 방식으로, 보안에 큰 위협이 될 수 있습니다.
ㅇ 방식
① WinSCP이용 'mmh_linux_x86-64' 라는 리눅스용 랜섬웨어 바이너리를 윈도우 서버로 전송
② 스플래시톱 리모트(Splashtop Remote)프로그램의 SR매니저(SRManager.exe)를 통해 실행
※ 공격 과정에서 'exkle.sys'라는 취약 드라이버를 사용하여 보안 솔루션과 EDR 프로세스 종료하여 보안 시스템 회피 후 커널 수준 접근권한 확보
ㅇ 의의
- 리눅스와 윈도우의 경계를 허무는 새로운 형태로, 하이브리드 환경에서 운영되는 원격관리, 백업, 가상화 인프라에 대한 공격 및 정상 관리도구를 통해 침입 흔적 삭제 가능
★ 대책
- 백업 시스템을 격리된 네트워크로 분리하고 계정 권한 최소화 원칙 유지
- 드라이버 서명 검증 강화 및 의심 파일 커널 접근 차단
- 윈도우 환경에서 리눅스 실행 파일 탐지시 즉시 대응
- VM웨어 등 가상화 인프라를 사용하는 조직은 SSH, 원격 관리 로그를 분석해 비정상 행위를 탐지할 수 있는 체계 마련 필요
ㅇ 출처
IT Daily "리눅스 랜섬웨어가 윈도우 환경에 침투?···'퀼린(어젠다)'발 변종 배포 확인" / 정종길 기자