섀도브로커즈 해킹 조직이 AES-NI라는 랜섬웨어로 2분만에 윈도 서버 보안 취약점을 이용하여 미국 국가 안보국을 해킹해 '사이버 무기'로 쓰던 윈도 서버 취약점 공격 툴을 탈취 후 공개했습니다.
감염 증상
- 256비트 키 AES 암호 알고리즘을 이용하여 암호화 후 사용한 키를 다시 RSA 공개키를 이용해 암호화 ▷해커가 가지고 있는 RSA 개인키 없이 복호화 불가능 - 윈도 서버 2008 등 윈도 서버 시스템 장악 후 서버 내 실행파일을 제외한 모든 파일 암호화 - 웹서버에서 운영되는 CGI 파일, 이미지 문서 암호화 - 파일명 '.aes_ni_0day' 확장자
대응 방안
사내 지정된 프로세스만 사용할 수 있는 화이트리스트 운영으로 백신 우회/취약점 공격/신종 랜섬웨어 통제 가능