오피스 매크로 기능 활용하다가 해시 팩토리 기술 사용하기도
최근엔 클라우드 이메일 서비스 노려... 하지만 음성 협박은 그대로
.jpg)
▲ 변하는 것도 있고 아닌 것도 있다
[보안뉴스 문가용] 서버(Cerber) 랜섬웨어의 변종이 다시 떠오르고 있다. 이번에는 오피스 365 이메일 사용자들을 집중적으로 노리고 있다고 한다. 전문가들에 의하면 지난 한 주 동안에만 수백만 사용자가 공격에 노출되었을 것이라고 한다. 클라우드 전문업체인 아바난(Avanan)은 오늘 관련 보고서를 발표하기도 했다.
해당 보고서에 의하면 서버 랜섬웨어는 오피스 365 이메일 서비스에 탑재된 보안 툴을 우회할 수 있는 제로데이 취약점을 발견했고, 이를 적극 악용하는 쪽으로 공격 방법을 바꿨다고 한다. 이때 가장 빈번하게 사용되는 방법은 피싱이다.
아직 감염자 수나 규모에 대해서는 밝혀진 바가 없지만 “오피스 365를 사용하는 기업들 중 약 57%가 공격을 받았다”고 보고서는 설명하고 있다. 이 사실은 체크포인트(Check Point)의 샌드블라스트 제로데이 프로텍션(SandBlast Zeroday Protection) 서비스를 사용하는 사용자들이 처음 발견했다. 대부분의 백신 프로그램들로서는 오피스 365에 대한 공격을 탐지하지 못했다고 한다.
“오피스 365와 같은 클라우드형 이메일 서비스를 사용하는 사람들은 MS와 구글에게 모든 것을 맡겼다고 생각합니다. 여기엔 보안도 포함되지요.” 아바난의 CEO 길 프라이드리히(Gil Friedrich)의 설명이다. “하지만 현실은 정 반대입니다. 해커들은 제일 먼저 자신들이 만든 멀웨어가 메이저 클라우드 이메일 서비스에 통하는지부터 실험해보거든요. 즉 가장 새롭고 기발한 멀웨어들이 오히려 최근 각광받고 있는 클라우드 이메일 서비스에서부터 시작된다는 거죠.”
기존에 성공을 거둔 랜섬웨어들이 다 그랬듯 서버 역시 업그레이드와 재개발을 통해 성공을 이어가고 있다는 것이 눈에 띈다. 지난 2월 서버는 멀버타이징을 통해 당시 기승을 부리던 랜섬웨어 시장에서도 두각을 나타냈다. 당시에는 플래시에 있는 제로데이 취약점과 광고 시장의 취약점을 동시에 악용했다.
그러다 5월, 서버는 드리덱스(Dridex)라는 금융계 트로이목마와 함께 퍼지기 시작했다. 당시 드리덱스는 악성 MS 오피스 문서가 첨부된 이메일을 통해 사용자들을 공격했고, 특히 오피스의 매크로 기능을 철저히 악용했었다. 그러던 것이 6월 초, 해시 팩토리(hash factory)라는 기술을 사용해 탐지 기술을 우습게 피하는 것을 인빈시아(Invincea)라는 업체가 발견했다.
해시 팩토리 기술이란 해시를 짧은 주기로 계속해서 바꾸는 것으로, 6월 초 인빈시아가 서버 랜섬웨어의 샘플을 발견했을 때 그 주기는 15초였다. 샘플을 다운로드 받아 분석을 위해 복사를 할 때마다 다른 해시가 적용되어 분석에도 큰 어려움을 겪었다. 수분 후 인빈사아가 손에 들고 있던 건 40개의 다른 해시를 가진 랜섬웨어 샘플이었다.
이렇게 변화무쌍한 모습 속에서도 그대로 남아있는 서버만의 특징은 ‘말을 한다’는 것이다. “어떤 모습으로 변화해도 사용자에게 보내는 협박 내용을 음성으로 전달한다는 점만은 그대로 남아있습니다. 랜섬웨어 제작자가 남기고픈 자기만의 고유한 특성일까요? 변화의 폭이 크다는 것도 재미있는데, 음성 방식이 그대로 남아있다는 것도 흥미롭습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
최근엔 클라우드 이메일 서비스 노려... 하지만 음성 협박은 그대로
▲ 변하는 것도 있고 아닌 것도 있다
[보안뉴스 문가용] 서버(Cerber) 랜섬웨어의 변종이 다시 떠오르고 있다. 이번에는 오피스 365 이메일 사용자들을 집중적으로 노리고 있다고 한다. 전문가들에 의하면 지난 한 주 동안에만 수백만 사용자가 공격에 노출되었을 것이라고 한다. 클라우드 전문업체인 아바난(Avanan)은 오늘 관련 보고서를 발표하기도 했다.
해당 보고서에 의하면 서버 랜섬웨어는 오피스 365 이메일 서비스에 탑재된 보안 툴을 우회할 수 있는 제로데이 취약점을 발견했고, 이를 적극 악용하는 쪽으로 공격 방법을 바꿨다고 한다. 이때 가장 빈번하게 사용되는 방법은 피싱이다.
아직 감염자 수나 규모에 대해서는 밝혀진 바가 없지만 “오피스 365를 사용하는 기업들 중 약 57%가 공격을 받았다”고 보고서는 설명하고 있다. 이 사실은 체크포인트(Check Point)의 샌드블라스트 제로데이 프로텍션(SandBlast Zeroday Protection) 서비스를 사용하는 사용자들이 처음 발견했다. 대부분의 백신 프로그램들로서는 오피스 365에 대한 공격을 탐지하지 못했다고 한다.
“오피스 365와 같은 클라우드형 이메일 서비스를 사용하는 사람들은 MS와 구글에게 모든 것을 맡겼다고 생각합니다. 여기엔 보안도 포함되지요.” 아바난의 CEO 길 프라이드리히(Gil Friedrich)의 설명이다. “하지만 현실은 정 반대입니다. 해커들은 제일 먼저 자신들이 만든 멀웨어가 메이저 클라우드 이메일 서비스에 통하는지부터 실험해보거든요. 즉 가장 새롭고 기발한 멀웨어들이 오히려 최근 각광받고 있는 클라우드 이메일 서비스에서부터 시작된다는 거죠.”
기존에 성공을 거둔 랜섬웨어들이 다 그랬듯 서버 역시 업그레이드와 재개발을 통해 성공을 이어가고 있다는 것이 눈에 띈다. 지난 2월 서버는 멀버타이징을 통해 당시 기승을 부리던 랜섬웨어 시장에서도 두각을 나타냈다. 당시에는 플래시에 있는 제로데이 취약점과 광고 시장의 취약점을 동시에 악용했다.
그러다 5월, 서버는 드리덱스(Dridex)라는 금융계 트로이목마와 함께 퍼지기 시작했다. 당시 드리덱스는 악성 MS 오피스 문서가 첨부된 이메일을 통해 사용자들을 공격했고, 특히 오피스의 매크로 기능을 철저히 악용했었다. 그러던 것이 6월 초, 해시 팩토리(hash factory)라는 기술을 사용해 탐지 기술을 우습게 피하는 것을 인빈시아(Invincea)라는 업체가 발견했다.
해시 팩토리 기술이란 해시를 짧은 주기로 계속해서 바꾸는 것으로, 6월 초 인빈시아가 서버 랜섬웨어의 샘플을 발견했을 때 그 주기는 15초였다. 샘플을 다운로드 받아 분석을 위해 복사를 할 때마다 다른 해시가 적용되어 분석에도 큰 어려움을 겪었다. 수분 후 인빈사아가 손에 들고 있던 건 40개의 다른 해시를 가진 랜섬웨어 샘플이었다.
이렇게 변화무쌍한 모습 속에서도 그대로 남아있는 서버만의 특징은 ‘말을 한다’는 것이다. “어떤 모습으로 변화해도 사용자에게 보내는 협박 내용을 음성으로 전달한다는 점만은 그대로 남아있습니다. 랜섬웨어 제작자가 남기고픈 자기만의 고유한 특성일까요? 변화의 폭이 크다는 것도 재미있는데, 음성 방식이 그대로 남아있다는 것도 흥미롭습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
