check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

크랙 버전 윈도우 사용자들, 이터널 블루 익스플로잇 코드에 감염돼

hsk 기자 mkgil@dailysecu.com 2018년 09월 19일 수요일

code-820275_640.jpg
이터널 블루(Eternal Blue)는 워너크라이 공격에서 DOUBLEPULSAR로 헤드라인을 만든 것으로 추정되는 NSA의 익스플로잇이다. 이 악성코드는 새도우 브로커스(Shadow Brokers) 해킹 그룹이 NSA와 관련된 Equation 그룹으로부터 훔쳐 온라인에 공개되었다.

이터널 블루는 포트 445에서 SMBv1(Server Message Block) 프로토콜을 타깃으로 하고, 윈도우 7 및 XP 시스템을 대상으로 하는 멀웨어 개발자 커뮤니티에서 광범위하게 배포되었다.

마이크로소프트는 MS17-0101을 통해 해당 결함을 해결했고, 워너크라이 랜섬웨어 공격에 대응해 윈도우 XP와 Server 2003에 대한 긴급 패치를 릴리즈했다.

아비라(Avira)가 게시한 블로그에 따르면, 패치되지 않은 시스템이 여전히 사이버 공격에 노출되어 있고, 위협 요소에 의해 연속적으로 감염되었다고 한다. 아비라 프로텍션 랩 선임 바이러스 분석가인 Mikel Echevarria-Lizarraga는 “워너크라이 및 페트야의 대규모 공격 이후 1년이 넘는 기간동안 반복적으로 감염된 기기들이 상당수 존재한다”고 설명했다.

또한 “우리 연구는 이를 NSA 이터널 블루 익스플로잇에 대해 업데이트되지 않은 많은 윈도우 기기들이 여전히 멀웨어 공격 대상이 되고 있다고 연결지었다”고 덧붙였다.

온라인에 노출된, 패치되지 않은 시스템들은 엄청나게 많고 전문가들은 이들 대부분이 여러 번 감염되었으며 크랙 버전의 윈도우가 설치되어 있음을 발견했다. 또한 이것이 바로 2018년 3월에 있었던 긴급 패치 등 마이크로소프트의 보안 업데이트가 적용되기 어려웠던 이유라고 지적했다.

전문가들은 30만대에 가까운 컴퓨터들이 해당 이슈에 노출되어 있고, 약 1만4천대의 컴퓨터에서 SMB1 프로토콜을 비활성화하고 있다고 언급했다. 감염된 기기가 많은 상위 10개 국가는 인도네시아, 대만, 베트남, 태국, 이집트, 러시아, 중국, 필리핀, 인도, 터키 순이다.

북미와 유럽 이외 지역에 감염된 기기가 압도적으로 많은 것은 허가 받지 않은 소프트웨어 사용률이 높다는 것을 의미한다. 해당 연구에 따르면 허가되지 않은 소프트웨어 비용은 미국과 유럽 연합 이외 지역에서 평균 약 52~60%였고, 위 국가들에서는 16~28%였다. 라이선스가 없는 소프트웨어는 이터널 블루와 같은 취약점에 대한 최신 패치를 얻을 수 없다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록