USB 통해 감염, 자동으로 실행... 현대 기술로 탐지 어려워
최근 멀웨어, 혁신적이기 보단 가볍고 단순하게
[보안뉴스 문가용] 보통 보안뉴스와 비슷한 매체들의 헤드라인을 장식하는 건 새로 등장한 멀웨어에 대한 소식들이다. ‘새로운 멀웨어’라는 타이틀을 달고 태어난 기사들은 각종 소셜 네트워크의 좋아요도 엄청나게 끌어 모은다.
▲ 오래돼도 충분히 쓸모 있을 수 있다
그런데 전혀 반대의 이유로 비슷한 효과를 자아내고 있는 멀웨어가 있다. 바로 지크립트(Zcrypt)다. 지크립트는 보안 전문업체인 체크 포인트(Check Point)가 발견해 보고한 랜섬웨어로, 특이하게도 새로운 기술력이 아니라 오래된 테크닉을 사용해 피해자들을 만들어가고 있다.
지크립트는 다른 랜섬웨어들과 유사하게 피싱 이메일과 익스플로잇 킷을 통해 주로 퍼진다. 여기에 지크립트는 USB라는 확산 통로도 가지고 있다. 감염된 USB를 시스템에 꼽으면 지크립트가 자동으로 실행된다. 이때 실행되는 파일 이름은 invoice.exe다.
“이렇게 자동으로 실행되는 감염 방식은 한 3년 전에나 유행하던 겁니다.” 체크 포인트의 수석 기술 담당관인 타마라 레이더파브(Tamara Leiderfarb)의 설명이다. “자동실행 감염 기술은 다른 기술에 비해 훨씬 느립니다. 그래서 요즘은 잘 사용되지 않죠. 하지만 느리기 때문에 좋은 점도 있습니다. 탐지가 잘 안 된다는 것이죠. 크리덴셜 정보도 필요치 않고요.” 또한 USB가 아니면 침투가 불가능한 네트워크도 있다는 것도 장점으로 작용한다.
지크립트는 DLL 파일을 만들기도 한다. DLL 파일을 언패킹하기 위해 지크립트는 Nullsoft Scriptable Install System(NSIS)라는 프로세스를 사용하는데, 이 프로세스는 기타 다른 소프트웨어들도 사용하는 프로세스다. 이렇게 DLL을 사용하는 것 또한 오래된 테크닉 중 하나다. 샌드박스 탐지를 우회하는 데에 특장점이 있다. 컴퓨터가 보기에 프로세스가 정상이기 때문이다. 이처럼 구식 기술을 쓴다고 해서 지크립트를 우습게 볼 것은 아니다. 기능성이나 위협적인 측면에서 새로운 무기를 장착한 랜섬웨어와 비교해 떨어지지 않는다.
지크립트는 표적이 된 파일을 오버라이트 하도록 설계되어 있는데, 한 번만 오버라이트 하는 게 아니라 두 번 한다. 제일 먼저 파일을 오염시키고, 그것을 다시 암호화시켜 디스크 복구 툴을 사용해도 별 효과가 없도록 만든다. 표적 파일의 암호화가 끝나면 지크립트는 파일의 변화가 있는지 없는지 모니터링하고, 새로운 파일이 등장할 때마다 암호화를 새롭게 적용한다. 이것은 새로운 공격 방식이다.
지크립트가 오래된 기술과 새로운 기술을 섞어서 사용한다는 점을 통해 시스템을 감염시키기 위해 해커들이 하는 노력이 상상을 초월한다는 걸 알 수 있다. 레이더파브는 “해커들이 목적을 이루기 위해 별별 것을 다 시도해보는 것”이라고 설명한다. 이렇게 다양한 기술력을 접목한 랜섬웨어는 최근에만 벌써 두 번째다. 첫 번째는 CryptXXX였다. 세 번째, 네 번째가 등장하지 말라는 법이 없다.
“랜섬웨어가 변화한다는 것 자체야 흔히 있는 일입니다. 그런데 그 변화의 추세가 달라지고 있다는 걸 주목해야 해요. 처음엔 랜섬웨어 공격자들이 복잡하고 혁신적인 방법으로 보안 장치들을 우회하려고 했어요. 그런데 복잡하고 무겁기 때문에 탐지가 잘 된다는 걸 어느 순간 깨달았는지, 랜섬웨어 공격자들의 스텝이 가벼워지기 시작했어요. 혁신성을 덜 가미해도, 가볍고 느리게 가는 것이 탐지율 측면에서 훨씬 유리한 것이 사실이기도 합니다.” 그런 면에서 ‘옛 기술’을 가진 랜섬웨어가 등장한 것은 그리 놀라울 것이 없는 사실이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
최근 멀웨어, 혁신적이기 보단 가볍고 단순하게
[보안뉴스 문가용] 보통 보안뉴스와 비슷한 매체들의 헤드라인을 장식하는 건 새로 등장한 멀웨어에 대한 소식들이다. ‘새로운 멀웨어’라는 타이틀을 달고 태어난 기사들은 각종 소셜 네트워크의 좋아요도 엄청나게 끌어 모은다.
▲ 오래돼도 충분히 쓸모 있을 수 있다
그런데 전혀 반대의 이유로 비슷한 효과를 자아내고 있는 멀웨어가 있다. 바로 지크립트(Zcrypt)다. 지크립트는 보안 전문업체인 체크 포인트(Check Point)가 발견해 보고한 랜섬웨어로, 특이하게도 새로운 기술력이 아니라 오래된 테크닉을 사용해 피해자들을 만들어가고 있다.
지크립트는 다른 랜섬웨어들과 유사하게 피싱 이메일과 익스플로잇 킷을 통해 주로 퍼진다. 여기에 지크립트는 USB라는 확산 통로도 가지고 있다. 감염된 USB를 시스템에 꼽으면 지크립트가 자동으로 실행된다. 이때 실행되는 파일 이름은 invoice.exe다.
“이렇게 자동으로 실행되는 감염 방식은 한 3년 전에나 유행하던 겁니다.” 체크 포인트의 수석 기술 담당관인 타마라 레이더파브(Tamara Leiderfarb)의 설명이다. “자동실행 감염 기술은 다른 기술에 비해 훨씬 느립니다. 그래서 요즘은 잘 사용되지 않죠. 하지만 느리기 때문에 좋은 점도 있습니다. 탐지가 잘 안 된다는 것이죠. 크리덴셜 정보도 필요치 않고요.” 또한 USB가 아니면 침투가 불가능한 네트워크도 있다는 것도 장점으로 작용한다.
지크립트는 DLL 파일을 만들기도 한다. DLL 파일을 언패킹하기 위해 지크립트는 Nullsoft Scriptable Install System(NSIS)라는 프로세스를 사용하는데, 이 프로세스는 기타 다른 소프트웨어들도 사용하는 프로세스다. 이렇게 DLL을 사용하는 것 또한 오래된 테크닉 중 하나다. 샌드박스 탐지를 우회하는 데에 특장점이 있다. 컴퓨터가 보기에 프로세스가 정상이기 때문이다. 이처럼 구식 기술을 쓴다고 해서 지크립트를 우습게 볼 것은 아니다. 기능성이나 위협적인 측면에서 새로운 무기를 장착한 랜섬웨어와 비교해 떨어지지 않는다.
지크립트는 표적이 된 파일을 오버라이트 하도록 설계되어 있는데, 한 번만 오버라이트 하는 게 아니라 두 번 한다. 제일 먼저 파일을 오염시키고, 그것을 다시 암호화시켜 디스크 복구 툴을 사용해도 별 효과가 없도록 만든다. 표적 파일의 암호화가 끝나면 지크립트는 파일의 변화가 있는지 없는지 모니터링하고, 새로운 파일이 등장할 때마다 암호화를 새롭게 적용한다. 이것은 새로운 공격 방식이다.
지크립트가 오래된 기술과 새로운 기술을 섞어서 사용한다는 점을 통해 시스템을 감염시키기 위해 해커들이 하는 노력이 상상을 초월한다는 걸 알 수 있다. 레이더파브는 “해커들이 목적을 이루기 위해 별별 것을 다 시도해보는 것”이라고 설명한다. 이렇게 다양한 기술력을 접목한 랜섬웨어는 최근에만 벌써 두 번째다. 첫 번째는 CryptXXX였다. 세 번째, 네 번째가 등장하지 말라는 법이 없다.
“랜섬웨어가 변화한다는 것 자체야 흔히 있는 일입니다. 그런데 그 변화의 추세가 달라지고 있다는 걸 주목해야 해요. 처음엔 랜섬웨어 공격자들이 복잡하고 혁신적인 방법으로 보안 장치들을 우회하려고 했어요. 그런데 복잡하고 무겁기 때문에 탐지가 잘 된다는 걸 어느 순간 깨달았는지, 랜섬웨어 공격자들의 스텝이 가벼워지기 시작했어요. 혁신성을 덜 가미해도, 가볍고 느리게 가는 것이 탐지율 측면에서 훨씬 유리한 것이 사실이기도 합니다.” 그런 면에서 ‘옛 기술’을 가진 랜섬웨어가 등장한 것은 그리 놀라울 것이 없는 사실이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
