다르마(Dharam) 랜섬웨어에 대해

▶랜섬노트

 

1. 다르마(Dharam) 랜섬웨어란?

사용자가 해당 가짜 설치파일을 실행하면 랜섬웨어에 즉시 감염되어 사용자 PC내 파일이 암호화되고 사용자 PC에 설정된 '윈도우 시스템 복원 지점'을 삭제해 사용자의 시스템 복구를 방해한다.

이후 파일 복구 대가로 비트코인을 요구하는 화면(랜섬노트)이 나타난다. 공격자는 이 랜섬노트에 '언제 연락하는 지에 따라 금액이 변한다'고 적어 가격흥정도 시도한다.

 

 

2. 유포방식

공격자는 파일 생성 날짜, 속성 등을 변경.관리하기 위한 특정 외산 프로그램(프리웨어)의 실행파일을 위장해 이메일, 파일공유 사이트(P2P)등으로 다르마 랜섬웨어를 유포한다.

 

3. 최근 '이란 아마추어 해커'들이 다르마 랜섬웨어를 이용한 방식

처음에는 APT 공격자들이 주로 사용해 왔으나, 2020년 3월 소스코드가 공개되면서 이란 공격자들도 이 소스코들르 확보하여 사용했다.

 

①특정 범위의 IP주소를 스캔해서 취약한 RDP포트가 호스팅 되어 있는 곳을 찾아낸다.

->이때 스캔 소프트웨어인 매스캔(Massca)을 사용

 

②취약한 호스트가 나타나면 NL브루트(Brute)라는 Brute Force공격 애플리케이션을 사용해 공격을 실시한다.

->이를 통해 네트워크 접근을 성공하고, 작동이 되는 크리덴셜도 확보한다.

 

③여러 공격을 시도한 공격자들은 최종적으로 다르마라는 랜섬웨어를 심어 모든 파일을 암호화했다.

 

4. 대응방안

①디폴트 RDP포트인 3398를 닫거나 철저히 관리해야 한다.

②실패한 로그인 시도를 모니터링하고 비밀번호 입력 횟수 제한을 시켜야 한다.

 

참고:

blog.naver.com/voltheeone/221403668311

www.boannews.com/media/view.asp?idx=90673&kind=1&search=title&find=%B7