최근 국내 기업을 타깃으로 유포되는 클롭(CLOP) 랜섬웨어의 변종이 잇따라 나타나면서 피해가 확산되고 있다. 안랩 시큐리티대응센터(이하 ASEC)에 따르면 클롭 랜섬웨어는 올해 초 이메일에 실행 파일(.exe), 워드(.doc)나 엑셀(.xls) 파일을 첨부해 유포되었으며, 5월말 경부터 스크립트(HTML)을 첨부하는 방식으로 변화했다.

다양한 산업 분야에서 클롭 랜섬웨어 피해가 확인됐다. 공격자는 Ammyy 해킹툴을 이용해 기업 내부의 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템을 클롭 랜섬웨어에 감염시킨다. 또한 Ammyy 해킹툴은 침투 후 내부 시스템의 OS 정보, 권한, 사용자 이름, 컴퓨터 이름 등 기본 정보를 획득해 해당 시스템에 대한 원격 제어를 할 수 있으며, 이를 통해 지속적으로 기업 내부 시스템을 침해할 가능성이 높다.

또한, 지난 2017년 전 세계적인 피해를 입혔던 워너크라이(워너크립터) 랜섬웨어 유포에 이용된 바 있는 SMB 취약점(MS17-010)을 이용한 마이너(Miner) 악성코드와 클롭 랜섬웨어가 함께 발견된 사례도 있었다. 따라서 기업 내 사용 중인 공유폴더와 주요 OS 및 소프트웨어의 패치 관리에 더욱 각별한 주의가 필요하다.

이와 관련해 안랩은 다음과 같은 대응 조치를 권고하고 있다.

[V3 제품의 랜섬웨어 대응 기능 활성화]
1. V3 엔진을 항상 최신 버전으로 유지 및 주기적인 정밀 검사 실시
2. 실시간 감시 기능 활성화(On)
3. ‘네트워크 침입 차단’ 기능 활성화(On) - SMB 취약점 패킷 차단 룰이 적용되어 있음
4. ‘유해 사이트 차단’ 기능 활성화(On) – 피싱 사이트, 악성 사이트, 불필요한 사이트 등에 대한 접근 차단
5. ‘행위 기반 진단’ 기능 활성화(On) - 디코이(Decoy) 기술을 이용한 랜섬웨어 진단
6. ‘랜섬웨어 보안 폴더’ 기능 이용 – 사용자가 허용한 프로세스 외에는 해당 폴더 내 파일에 대한 쓰기/수정 등 불가

[AhnLab MDS 제품을 활용한 랜섬웨어 대응]

7. AhnLab MDS(MTA)의 ‘악성 이메일 자동 격리’ 기능 활성화 – 스피어 피싱 등 악성 메일 차단 
- 관련 기능 설정
① 관리>탐지/대응>대응 기본 설정 > 악성 메일 탐지 시 위험도별 ‘메일 차단’ 설정
② 실행 파일, 문서 파일 외에 html, htm 등의 첨부 파일에 대한 동적 분석을 위해 추가 옵션 활성화 - CLI를 이용해 관련 옵션 활성화 가능(*제품 도움말 문서 참고)​

8. AhnLab MDS 에이전트(Agent)의 ‘실행 보류(Execution Holding)’ 기능 활성화 – 랜섬웨어 악성 파일 실행 방지 가능
- 관련 기능 설정

① 관리 > 탐지/대응 > 대응 기본 설정 > '자동 대응' 항목에서 ‘악성 파일 탐지 시’ 위험도별 ‘파일 삭제’ 항목 설정
② 관리 > 에이전트 > 에이전트 정책 > ‘정책 수정’을 통한 ‘파일 실행 보류’설정 ​​

[공유폴더 조치]
9. ‘ADMIN$’ 공유폴더를 비롯한 관리 목적의 공유폴더 사용을 지양할 것을 권장함
- 불가피하게 공유폴더를 사용해야 할 경우, 각별한 주의 요망

[AD/계정관리]
10. AD(Active Directory) 환경의 관리자 계정 보호 및 운영 방안을 참고하여 기술적 보호 대책 마련 권고
- AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례
11. 감염된 시스템(PC 및 서버)의 계정 및 패스워드를 반드시 변경

[보안 패치 관리]
12. 주요 보안 취약점 발견 시 즉각적인 패치 적용 프로세스 및 관리 방안 수립•적용
- 주요 보안 취약점 발견 시, 패치 적용 및 현황 모니터링 체계 수립
- 서버 예방을 위한 정비 주기(Pre-Maintenance) 단축 및 패치 적용 체계 수립
13. MS에서 제공하는 SMB 취약점(MS17-010) 관련 패치 적용
- 일부 클롭 랜섬웨어와 함께 SMB 취약점(MS17-010)을 이용한 악성코드가 함께 발견됨
- 추가 피해 예방 위해 Microsoft의 윈도우(Windows) SMB 취약점 패치 적용 필수
- MS의 SMB 취약점 패치 다운로드 페이지

[이메일 관리]
14. 이메일에 첨부된 파일이 실행 가능한 .exe 파일인 경우, 업무 관련 파일인지 재확인 후 실행
15. 이메일에 첨부된 파일이 doc, pdf, xls 등 문서 파일 또는 html 파일인 경우, 업무 관련 파일인지 재확인 후 실행

[네트워크 연결 차단]
16. 클롭 랜섬웨어 감염 및 확산에 사용되는 아래 IP에 대한 네트워크 연결 차단

<Cobalt Strike Beacon 업로드 IP 리스트>

194.68.27.18 
194.165.16.228

185.17.121.188

89.144.25.19

89.144.25.20

89.144.25.21

89.144.25.22

89.144.25.23

89.144.25.25

89.144.25.27

89.144.25.92

89.144.25.94

89.144.25.95

89.144.25.96

89.144.25.97

89.144.25.99

89.144.25.165

89.144.25.170

89.144.25.171

89.144.25.172

89.144.25.173

89.144.25.174
89.144.25.176

45.227.252.54

105.201.1.186

105.201.1.249​

안랩 시큐리티대응센터(ASEC)는 지속적으로 클롭 랜섬웨어를 모니터링 및 대응하고 있으며, ASEC 블로그를 통해 신속하게 상세한 내용을 공유하고 있다.

[관련 자료 – ASEC블로그]

- 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 (2019.02.14)
- 해킹툴 Ammyy를 이용한 CLOP 랜섬웨어 유포(?) (2019.03.07)
- 기업 사용자를 타켓하여 설치되는 해킹툴 Ammyy (CLOP 랜섬웨어) (2019.03.08)
- [주의] 국내에서 확산되고 있는 SMB취약점(MS17-010) 공격 시도 (2019.03.26)
- [주의] 국내 기업을 대상으로 대량 유포되는 엑셀 파일 분석 - Ammyy 원격제어 백도어와 CLOP 랜섬웨어 유포 (2019.05.29)
- [주의] 국세청 사칭 악성 메일 대량 유포 (Ammyy, CLOP) (2019.05.30)
- 다양한 형태로 유포되는 CLOP 랜섬웨어 (2019.06.27)
- 3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 (2019.07.02)