아키라 랜섬웨어, SonicWall VPN 악용 넘어 안티바이러스 무력화 시도: 보안 위협 심층 분석

최근 아키라 랜섬웨어가 SonicWall SSL VPN을 악용하여 초기 침투 후 암호화를 수행하는 사례가 급증하면서 보안 업계의 경각심이 높아지고 있습니다. 초기 침투 자체도 심각한 문제지만, 랜섬웨어가 기기를 감염시키려면 안티바이러스나 EDR(Endpoint Detection and Response) 솔루션과 같은 보안 시스템을 우회해야 합니다. 가이드포인트 보안(Guidepoint Security) 연구진은 아키라 랜섬웨어가 이러한 보안 솔루션을 무력화하는 구체적인 방법을 밝혀냈습니다.

BYOD 공격: 취약한 드라이버 활용

가이드포인트 보안 연구진은 아키라 랜섬웨어가 BYOD(Bring Your Own Vulnerable Driver) 공격을 감행하고 있다고 밝혔습니다. 이는 초기 침투 후 두 개의 드라이버를 설치하는 방식으로 이루어집니다. 첫 번째 드라이버인 "rwdrv.sys"는 Intel CPU 성능 튜닝 및 모니터링 유틸리티인 ThrottleStop의 합법적인 드라이버입니다. 이 드라이버는 CPU 스로틀링 메커니즘을 우회하고 성능을 향상시키며 프로세서 동작을 실시간으로 모니터링하는 데 사용됩니다.

악성 드라이버와 Windows Defender 무력화

두 번째 드라이버인 "hlpdrv.sys"는 서비스로 등록되지만, 실행 시 시스템 레지스트리 내에서 Windows Defender의 DisableAntiSpyware 설정을 변경합니다. 연구진은 합법적인 rwdrv.sys 드라이버가 악성 hlpdrv.sys 드라이버의 실행을 활성화하는 데 사용될 수 있다고 추정하지만, 정확한 작동 메커니즘은 아직 밝혀내지 못했습니다.

SonicWall VPN 취약점 악용

여러 연구진은 SonicWall SSL VPN에서 발생하는 공격을 관찰했으며, 일부 인스턴스는 완전히 패치된 상태였습니다. 이에 따라 공격자들이 제로데이 취약점을 악용하고 있을 가능성이 제기되었습니다. 하지만 SonicWall은 공식 성명을 통해 공격자들이 이미 공개된 n-day 취약점 CVE-2024-40766을 악용하고 있다고 밝혔습니다. SonicWall은 영향을 받는 사례가 40건 미만으로 적으며, 이는 Gen 6에서 Gen 7 방화벽으로 마이그레이션하는 동안 레거시 자격 증명을 사용한 것과 관련이 있다고 설명했습니다.

SonicWall의 권고 사항

SonicWall은 자격 증명 변경 및 SonicOS 7.3.0으로 업그레이드하는 단계를 포함하여 업데이트된 지침을 발표했습니다. SonicOS 7.3.0에는 강화된 MFA(Multi-Factor Authentication) 보호 기능이 포함되어 있습니다. 사용자들은 SonicWall의 권고 사항을 준수하여 보안을 강화해야 합니다.

결론

아키라 랜섬웨어는 SonicWall VPN 취약점 악용과 더불어 안티바이러스 무력화라는 새로운 공격 방식을 통해 기업과 개인 사용자 모두에게 심각한 위협을 가하고 있습니다. 이번 사례는 보안 시스템을 우회하는 랜섬웨어의 진화된 공격 기술을 보여주며, 기업은 최신 보안 패치를 적용하고 다중 인증을 사용하는 등 보안 강화에 더욱 힘써야 합니다. 또한, EDR 솔루션 도입과 같은 적극적인 방어 전략을 통해 랜섬웨어 공격에 효과적으로 대응해야 할 것입니다.