그러면서 아웃룩 통해 자신을 각종 시스템들에 퍼트려
[보안뉴스 문가용 기자] 랜섬웨어와 봇넷을 합친 새로운 멀웨어가 보안 업체 트렌드 마이크로(Trend Micro)에 의해 발견됐다. 이름은 바이로봇(Virobot)으로, 시스템에 침투해 파일들을 암호화시킬뿐만 아니라, 그 시스템을 봇넷에 편입시켜 바이로봇을 퍼트리기도 한다.
[이미지 = iclickart]
바이로봇은 2018년 9월 17일에 처음 발견된 것으로, 기기에 침투한 이후 특정 레지스트리 키들이 있는지부터 확인함으로써 암호화를 해야 하는지 아닌지를 결정한다.
랜섬웨어는 난수 발생기를 사용해 암호화 키 및 복호화 키를 생성한다. 이 암호화 및 복호화 키 정보와, 바이로봇이 컴퓨터로부터 모은 다른 데이터는 POST를 통해 C&C 서버로 전송된다.
바이로봇은 다음과 같은 파일들을 표적으로 삼고 암호화를 진행한다.
1) .txt 2) .docx 3) .xlsx, 4) .pptx, 5) .jpg 6) .png, 7) .csv, 8) .sql, 9) .mdb 10) .php 11) .asp 12) .xml 13) .psd 14) .odt 15) html.
암호화 과정이 전부 완료되면 바이로봇은 협박 편지를 화면에 띄워 사용자가 볼 수 있게 만든다. 이 편지는 불어로 작성되어 있지만, 신기하게 주요 감염 지역은 미국이라고 한다.
현재 바이로봇의 서버는 폐쇄된 상태다. 파일을 암호화 하려면 C&C 서버와의 통신이 필요하므로, 지금 당장 바이로봇은 랜섬웨어로서의 기능을 발휘하지는 못한다.
트렌드 마이크로에 의하면 바이로봇에는 키로깅 기능도 있다. 감염된 컴퓨터의 키보드가 눌리는 걸 전부 기록하고, 이걸 C&C 서버로 보내는 것이다. C&C와의 연결이 이뤄지고 나면 또 다른 멀웨어 바이너리를 다운로드 받고, 이를 파웨셸을 활용해 실행하기도 한다.
또한 바이로봇은 감염된 시스템에 설치된 마이크로소프트 아웃룩을 통해 스팸 이메일을 사용자의 연락처 목록에 있는 모든 사람들에게 보내기도 한다. 이 이메일에는 바이로봇의 복사본이나 C&C 서버로부터 추가로 다운로드 된 악성 페이로드가 첨부되어 있다.
트렌드 마이크로는 “바이로봇과 비슷한 복합형 멀웨어가 최근 들어 나타나기 시작했다”며, “이런 멀웨어를 막기 위해서는 여러 층위의 보안 장치와 전략들로 구성된 다단계 방어법을 사용해야 한다”고 강조했다.
3줄 요약
1. 새롭게 발견된 바이로봇 멀웨어, 랜섬웨어와 봇넷의 복합형.
2. C&C 서버와 통신하며 암호화하고, 추가 악성 페이로드 다운로드 받고.
3. 아웃룩 통해 바이로봇 첨부된 악성 메일 보내기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>