윈도우XP 지원 종료 후 보안 사고들 터진 것과 비슷한 예
멀버타이징과 탈옥 유틸리티, 드라이브 바이 다운로드 혼합된 공격
[보안뉴스 문가용] 안드로이드 기기를 잠그고 200불짜리 애플 아이튠즈 기프트카드 코드를 요구하는 랜섬웨어가 등장했다. 아직 이름이 붙여지지 않은 이 랜섬웨어는, 이제 지겹기까지 한 랜섬웨어 공격의 새로운 장을 열었다는 평가를 받고 있다. 애플의 기프트카드를 요구해서도 아니고, 굉장히 놀라운 기술력으로 기기에 암호화를 적용시켜서도 아니다. 공격의 대상이 오래된 안드로이드 기기이기 때문이다.
▲ 조심해! 낡은 걸 보니, 감염되었을 수도 있어!
이는 MS가 윈도우XP의 서비스를 종료함에 따라 많은 보안 문제들이 우려되고 또 실제로 발생한 것과 비슷한 맥락의 사건이라고 블루코트(Blue Coat)의 분석가이자 보안 연구원인 앤드류 브랜트(Andrew Brandt)는 설명한다. 패치될 가능성이 굉장히 낮은 환경으로 랜섬웨어 공격자들이 눈을 돌렸다는 건, 눈 뜨고 공격을 당할 위기에 놓였다는 것과 동일하기 때문이다.
이 랜섬웨어를 발견한 블루코트에 의하면 해당 공격은 안드로이드 4.x 버전에 적용이 가능하다고 한다. 이는 이미 수년 전인 2012~2013년에 안드로이드 사용자들이 주로 사용하던 버전이지만 구글 자체 조사에 따르면 아직도 세계 안드로이드 인구의 60%가 이를 사용 중에 있다. 하지만 사용자의 퍼센티지가 어쨌든 구글에서 이미 5년이나 지난 낡은 OS를 패치할 가능성은 무척 낮다는 게 브랜트의 설명이다.
공격은 세 갈래로 이루어진다. 먼저는 안드로이드 4.0.3과 4.4.4 버전의 디폴트 브라우저에 침투하기 위해 광고에 드라이브바이 lbxslt 익스플로잇을 심어놓는다. 즉, 멀버타이징 공격을 한다는 것인데, 현재까지는 성인물 웹사이트에서만 발견되고 있다. 그 이유는 뒤에 설명될 예정이다. 이 lbxslt 익스플로잇은 작년 해킹팀(Hacking Team)의 해킹 사건을 통해 유출된 내용이라고 블루코트는 설명한다.
침투에 성공하면 타월루트(Towelroot)라는 탈옥 유틸리티를 설치하는데, 당연히 악성 무기화 된 상태다. 타월루트는 안드로이드 OS나 기기를 잘 모르는 일반인들이 안드로이드(4.4.2 버전) 기기를 루팅할 때 사용하던 도구로 한때 큰 인기를 끈 적이 있다. 이는 사실 CVE-2014-3153의 익스플로잇이었으며, 유명 해커인 지오핫(geohot)이 개발에 관여한 것으로 알려져 있다.
물론 타월루트가 해킹에 사용된 것은 이번이 처음은 아니다. 다만 드라이브 바이 다운로드 기법과 맞물린 건 처음이라는 게 듀오 시큐리티(Duo Security)의 캉 응구옌(Khang Nguyen) 연구원의 설명이다. 이렇게 2단계에서 다운로드 되는 타월루트의 기능은 크게 두 가지인데, 하나는 구글 플레이의 ‘설치 알림’ 팝업이 나타나지 않도록 막는 것이다. 그래야 사용자 몰래 애플리케이션을 설치할 수 있기 때문이다. 또 다른 하나는 사이버폴리스(Cyber.Police)라는 랜섬웨어를 다운로드해 설치하는 것이다.
사이버폴리스 랜섬웨어는 파일의 암호화를 하지 않는 랜섬웨어로, 단순히 사용자에게 공식 경찰 혹은 국가 수사 기관에서 배포하는 경고문처럼 보이는 화면을 노출시키는 기능을 가지고 있다. 즉, 불법 성인물 웹사이트에 접속한 것을 빌미 삼아 협박을 하는 것이다. 실제로 사이버폴리스 랜섬웨어가 출력하는 내용은 “지금 당신이 하는 행위는 불법이며. 미국 국토안보부 데이터베이스에 모든 히스토리 및 로그가 저장되었다”고 협박한다. 때에 따라 국토안보부가 경찰국이나 NSA로 둔갑하기도 한다. 그리고 파일의 암호화 대신 기기 자체를 잠가버린다. 아이튠즈 기프트카드로 벌금을 내면 풀어준다는 식이다.
응구옌은 “결국 안드로이드 4버전에서 벗어나, 상위 버전으로 바꿔야 한다”고 해결책을 제시한다. 블루코트는 일단 한 번 감염되었다면 공장초기화를 통해 복구하는 게 가능하다며, “그렇게 되면 데이터가 다 사라지니 주기적으로 백업을 해놓는 편이 도움이 된다”고 설명했다.
한편 브랜트는 “일단 저희가 조사한 바에 따르면 이번에 발견된 랜섬웨어의 자체 이름은 넷프로스펙터스(net.prospectus)”라고 했지만, 아직 해외 외신 어디에서도 이 랜섬웨어를 ‘이름으로’ 부르고 있지는 않다.
[국제부 문가용 기자(globoan@boannews.com)]
멀버타이징과 탈옥 유틸리티, 드라이브 바이 다운로드 혼합된 공격
[보안뉴스 문가용] 안드로이드 기기를 잠그고 200불짜리 애플 아이튠즈 기프트카드 코드를 요구하는 랜섬웨어가 등장했다. 아직 이름이 붙여지지 않은 이 랜섬웨어는, 이제 지겹기까지 한 랜섬웨어 공격의 새로운 장을 열었다는 평가를 받고 있다. 애플의 기프트카드를 요구해서도 아니고, 굉장히 놀라운 기술력으로 기기에 암호화를 적용시켜서도 아니다. 공격의 대상이 오래된 안드로이드 기기이기 때문이다.
▲ 조심해! 낡은 걸 보니, 감염되었을 수도 있어!
이는 MS가 윈도우XP의 서비스를 종료함에 따라 많은 보안 문제들이 우려되고 또 실제로 발생한 것과 비슷한 맥락의 사건이라고 블루코트(Blue Coat)의 분석가이자 보안 연구원인 앤드류 브랜트(Andrew Brandt)는 설명한다. 패치될 가능성이 굉장히 낮은 환경으로 랜섬웨어 공격자들이 눈을 돌렸다는 건, 눈 뜨고 공격을 당할 위기에 놓였다는 것과 동일하기 때문이다.
이 랜섬웨어를 발견한 블루코트에 의하면 해당 공격은 안드로이드 4.x 버전에 적용이 가능하다고 한다. 이는 이미 수년 전인 2012~2013년에 안드로이드 사용자들이 주로 사용하던 버전이지만 구글 자체 조사에 따르면 아직도 세계 안드로이드 인구의 60%가 이를 사용 중에 있다. 하지만 사용자의 퍼센티지가 어쨌든 구글에서 이미 5년이나 지난 낡은 OS를 패치할 가능성은 무척 낮다는 게 브랜트의 설명이다.
공격은 세 갈래로 이루어진다. 먼저는 안드로이드 4.0.3과 4.4.4 버전의 디폴트 브라우저에 침투하기 위해 광고에 드라이브바이 lbxslt 익스플로잇을 심어놓는다. 즉, 멀버타이징 공격을 한다는 것인데, 현재까지는 성인물 웹사이트에서만 발견되고 있다. 그 이유는 뒤에 설명될 예정이다. 이 lbxslt 익스플로잇은 작년 해킹팀(Hacking Team)의 해킹 사건을 통해 유출된 내용이라고 블루코트는 설명한다.
침투에 성공하면 타월루트(Towelroot)라는 탈옥 유틸리티를 설치하는데, 당연히 악성 무기화 된 상태다. 타월루트는 안드로이드 OS나 기기를 잘 모르는 일반인들이 안드로이드(4.4.2 버전) 기기를 루팅할 때 사용하던 도구로 한때 큰 인기를 끈 적이 있다. 이는 사실 CVE-2014-3153의 익스플로잇이었으며, 유명 해커인 지오핫(geohot)이 개발에 관여한 것으로 알려져 있다.
물론 타월루트가 해킹에 사용된 것은 이번이 처음은 아니다. 다만 드라이브 바이 다운로드 기법과 맞물린 건 처음이라는 게 듀오 시큐리티(Duo Security)의 캉 응구옌(Khang Nguyen) 연구원의 설명이다. 이렇게 2단계에서 다운로드 되는 타월루트의 기능은 크게 두 가지인데, 하나는 구글 플레이의 ‘설치 알림’ 팝업이 나타나지 않도록 막는 것이다. 그래야 사용자 몰래 애플리케이션을 설치할 수 있기 때문이다. 또 다른 하나는 사이버폴리스(Cyber.Police)라는 랜섬웨어를 다운로드해 설치하는 것이다.
사이버폴리스 랜섬웨어는 파일의 암호화를 하지 않는 랜섬웨어로, 단순히 사용자에게 공식 경찰 혹은 국가 수사 기관에서 배포하는 경고문처럼 보이는 화면을 노출시키는 기능을 가지고 있다. 즉, 불법 성인물 웹사이트에 접속한 것을 빌미 삼아 협박을 하는 것이다. 실제로 사이버폴리스 랜섬웨어가 출력하는 내용은 “지금 당신이 하는 행위는 불법이며. 미국 국토안보부 데이터베이스에 모든 히스토리 및 로그가 저장되었다”고 협박한다. 때에 따라 국토안보부가 경찰국이나 NSA로 둔갑하기도 한다. 그리고 파일의 암호화 대신 기기 자체를 잠가버린다. 아이튠즈 기프트카드로 벌금을 내면 풀어준다는 식이다.
응구옌은 “결국 안드로이드 4버전에서 벗어나, 상위 버전으로 바꿔야 한다”고 해결책을 제시한다. 블루코트는 일단 한 번 감염되었다면 공장초기화를 통해 복구하는 게 가능하다며, “그렇게 되면 데이터가 다 사라지니 주기적으로 백업을 해놓는 편이 도움이 된다”고 설명했다.
한편 브랜트는 “일단 저희가 조사한 바에 따르면 이번에 발견된 랜섬웨어의 자체 이름은 넷프로스펙터스(net.prospectus)”라고 했지만, 아직 해외 외신 어디에서도 이 랜섬웨어를 ‘이름으로’ 부르고 있지는 않다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
