리눅스 랜섬웨어 제작자, 연구자들이 암호화를 다시 해독하면서 세 번째로 불운을 겪다

연구자들이 Linux.Encoder 3 버전이 여전히 결함이 있는 암호화를 사용하고 파일 복구를 허용한다고 발견하다

보안 연구자들의 기쁨과 함께, 악성코드 제작자 그룹이 현재 랜섬웨어에서 암호화 구현을 제대로 하는 데 어려움을 겪고 있다. 이는 한 번이 아니라 세 번 발생했다.

지난 몇 달 동안 사이버 범죄자 그룹은 주로 웹 서버인 리눅스 시스템을 파일 암호화 랜섬웨어 프로그램으로 감염시키려고 시도해왔다. 보안 업계는 이를 Linux.Encoder라고 부른다.

안티바이러스 공급업체인 Bitdefender의 보안 연구자들에 따르면, Linux.Encoder의 세 번째 버전은 전 세계적으로 최소 600개의 취약한 서버를 감염시켰다.

좋은 소식은 이 프로그램의 이 버전에도 여전히 랜섬을 지불하지 않고 복호화가 가능하게 하는 결함이 있다는 것이다. 이는 제작자들이 이전의 실패를 해결하려고 시도했음에도 불구하고 발생했다.

Bitdefender의 수석 보안 전략가인 Catalin Cosoi는 “우리가 예상했던 대로, Linux.Encoder의 제작자들은 이전의 버그를 수정하고 새로운 개선된 변형을 만들었다. 피해자들에게는 다행히도, Linux.Encoder의 새로운 변형은 여전히 키 복구 공격에 취약하다”고 말했다.

“이전 버전의 Linux.Encoder 랜섬웨어는 rand() 함수를 호출하여 16바이트 초기화 벡터와 16바이트 AES 키를 생성했다. RNG의 초기 시드는 현재 타임스탬프에서 가져왔으며, 이는 실제로 암호화 후 파일의 수정 시간과 매우 가까웠다.”

Bitdefender가 이전 버전에서 IV와 키를 생성하는 결함 있는 접근 방식을 문서화했을 때, 트위터 커뮤니티는 랜섬웨어 개발자들에게 랜섬웨어 기능을 개선하라는 조롱을 했다.

Cosoi는 “분명히 운영자들은 이러한 권장 사항을 실제로 주목했다. 그 결과, IV는 이제 파일 크기와 파일 이름의 해시에서 생성된다 – rand()에서 32바이트가 8번 해시되고 AES-256 키로 사용된다”고 말했다.

그리고 공격자들은 여전히 초보 수준의 코딩 오류를 범했다. 예를 들어, 랜섬웨어가 더 쉽게 해킹될 수 있는 구형 시스템에서 실행되지 않도록 하는 libc 라이브러리의 정적 링크가 누락되었다.

랜섬웨어 제작자들은 해싱 알고리즘을 선택하지 못했으며, 그 결과 해싱 함수의 출력이 변경되지 않는다. Bitdefender 연구자들은 화요일 블로그 게시물에서 “결과적으로 전체 AES 키가 이제 암호화된 파일에 기록되어 복구가 매우 간단해졌다”고 말했다.

이는 Update 및 Finish 원시 호출이 효과가 없음을 의미한다. 결과적으로 전체 AES 키가 이제 암호화된 파일에 기록되어 복구가 간단한 과정이 된다.

Bitdefender는 이 최신 Linux.Encoder 버전의 영향을 받은 파일을 복호화할 수 있는 새로운 도구를 출시했다.

불행히도, 이 랜섬웨어 프로그램의 배후에 있는 사람들은 꽤 단호해 보이며 실수를 계속할 가능성은 낮다. 그들이 언젠가는 구현을 제대로 할 것이라고 가정하는 것이 안전하며, 그때가 되면 Linux.Encoder에 의해 암호화된 파일은 백업이나 랜섬을 지불하지 않고는 복구할 수 없게 될 것이다.

BitDefender 연구원 Radu Caragea는 마지막 Linux.Encoder 변형을 “가까스로 피한” 반격이라고 부르며, 세 번째 버전의 손아귀에서 벗어난 피해자들은 네 번째 기회를 얻지 못할 수도 있다고 말했다.

“이번이 세 번째 행운의 타격이지만, 복구 후에는 취약한 플랫폼을 업데이트하고 이러한 유형의 공격을 처음부터 차단해야 한다는 것을 확실히 하십시오.”

“다음 번에는 해커들이 실제로 복호화하기 어려운 랜섬웨어의 작동 버전을 만들 수 있다.”